informatique

Intrusion dans un système informatique

Le piratage informatique est aujourd’hui un problème quotidien qui affecte notamment de nombreuses entreprises. Pour lutter contre ce fléau, le législateur est intervenu.  Avec la loi Godfrain du 5 janvier 1988 qui est venue créer des infractions nouvelles comme l’accès et le maintien frauduleux dans un système de traitement automatisé de données. Cependant, des problèmes nouveaux en lien avec le numérique apparaissent constamment.

NOUVEAU : Utilisez nos services pour vous défendre en cas de piratage informatique en passant par le formulaire !

A titre d’exemple, l’aspiration d’un site web est aujourd’hui une technique répandue. Elle consiste à récupérer entièrement ou en partie, le contenu d’une surface interactive et de l’archiver dans le disque dur de son ordinateur. Ainsi, l’internaute peut y avoir accès même lorsqu’il se trouve  hors connexion.

On remarque de nombreuses similitudes entre la technique d’intrusion dans un système informatique et celle de l’aspiration de site. Notamment en ce qui concerne le mode d’exécution. Pour les deux techniques, des programmes ou logiciels spécifiques sont utilisés, que ce soit pour accéder dans un système de traitement automatisé de données ou pour ” aspirer ” un site web. Néanmoins, les deux techniques ne font pas l’objet des mêmes poursuites.


Besoin de l’aide d’un avocat pour un problème de piratage informatique?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Concernant le cas de l’accès et maintien frauduleux dans un système informatique, on parle bien ici d’une infraction pénale. Elle se caractérise par le fait d’entrer dans un système informatique en forçant l’accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d’un programme ou d’un fichier sans autorisation etc), le maintien frauduleux, l’entrave d’un système ou l’altération de son fonctionnement (virus, mail bombing etc), ainsi que l’altération, la suppression ou l’introduction de données pirates.

Dans le cas de l’aspiration de site, il n’existe pas de disposition légale spécifique. Cependant, copier une partie ou intégralement un site web qui ne nous appartient pas dans l’objectif de visualiser le contenu sans être connecté, peut porter atteinte aux droits d’auteur du créateur dudit site.

I. L’intrusion dans un système informatique.

Le hacker dans le monde informatique, ne cherche pas nécessairement à entrer dans un système pour y voler des données ou les supprimer. Il existe différents types de hacker, certains ont juste pour objectif de démontrer l’existence d’une faille de sécurité. Dans tous les cas, le fait de s’introduire dans un système informatique est susceptible de poursuite pénale.

Afin de s’introduire dans un système, le hacker peut utiliser un programme cachant lui-même un programme « net »  (par exemple reçu dans la boite aux lettres ou téléchargé). Il sera par exemple possible de tenter d’accéder au Back office pour pouvoir administrer l’ordinateur à distance. Également, l’objectif du hacker peut porter sur le fait d’obtenir par le biais d’un programme le mot de passe du système informatique, il pourra également utiliser des programmes de déchiffrage.

Une fois que le pirate a accès au système il pourra : modifier les données, supprimer des données, copier les données ou encore installer des programmes malveillants tels que des virus.

A) La responsabilité pénale

Dès 1988 le législateur s’est emparé de la question de l’intrusion dans un système avec la loi Godfrain du 8 janvier 1988.

Aujourd’hui les dispositions de cette loi ont été reprises et améliorées. On retrouve dans le code pénal un chapitre intitulé ” Des atteintes aux systèmes de traitement automatisé de données “,

Ainsi, les intrusions non autorisées seront sanctionnées. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.

Il est prévu à l’article L.323-1 du Code pénal que ” le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende” “.

1) Accès frauduleux

Dans un arrêt rendu le 5 avril 1994, la Cour d’appel a considéré que ” l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication “.

Mais alors, quand est-il si le système en question n’est pas protégé ? Dans un arrêt rendu le 30 octobre 2002, la Cour d’appel de Paris a énoncé que le fait de pouvoir accéder à des données qui sont stockées sur un site en utilisant un simple navigateur, dès lors que des failles de sécurité existent, n’était pas répréhensible.

Le Tribunal de grande instance de Paris avait quant à lui estimé que l’existence de faille de sécurité ne constituait ” en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale “.

Il est à noter que l’article 226-17 du Code pénal réprime « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures » de sécurité et toute les précautions utiles pour préserver la sécurité de ces informations.

2) Le maintien frauduleux

Également, le simple fait de se maintenir dans un système de traitement automatisé de données est réprimandé. Sur l’élément intentionnel de l’infraction, la doctrine et la jurisprudence s’accordent sur le fait que même si une personne s’est retrouvée par erreur dans un système informatique, le simple fait de s’y être maintenue constitue un maintien « frauduleux ». En effet, dès lors le délinquant à conscience qu’il n’a pas le droit de se trouver ici car ni l’accès ni le maintien ne lui a été autorisé.

En ce sens la Cour d’appel de Paris dans un jugement rendu le 5 avril 1994 a énoncé que « le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement »

3) Les intrusions avec dommages

L’article 323-1 du Code pénal a prévu des sanctions plus importantes lorsque l’intrusion dans le système et le maintien frauduleux à des conséquences. L’alinéa 2  prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 euros d’amende

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’entrave volontaire au système est définie à l’article 323-2 du Code pénal comme ” Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données “. Le peine encourue est de cinq ans d’emprisonnement et de 150 000 € d’amende.”

Est notamment visé par cette infraction : l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

Est sanctionné par l’article 323-3 nouveau du Code pénal : l’introduction, l’extraction, la détention, la reproduction, la transmission dans un système informatique.

Ainsi, l’article s’applique pour des faits très nombreux. Les infractions peuvent être par exemple l’introduction afin de réduire le prix d’une marchandise sur un site de e-commerce ou de supprimer intégralement le contenu d’une base de données d’une entreprise.

Les agissements du hacker constituent généralement une perte financière très importante pour l’entreprise ciblée.

B ) La responsabilité civile

1) La responsabilité civile délictuelle

La notion de faute est au fondement du droit commun de la responsabilité civile délictuelle. On l’a retrouve à l’article 1382 du Code civil.

Pour que la responsabilité civile délictueuse soit engagée, il faut : une faute, un dommage et un lien de causalité entre la faute et le dommage.

Dans cette infraction, la faute correspond au fait de s’introduire dans un système informatique sans y avoir été autorisé préalablement. En ce qui concerne le dommage, celui-ci pourra par exemple être caractérisé par une perte financière, une altération des données ou encore par la communication d’informations privées à des tiers. Il faudra ensuite établir de manière claire le lien de causalité.

Que se passe-t-il si le hacker n’est pas de nationalité française ou si ce dernier commet l’infraction de l’étranger ? Qui dispose de la compétence juridique et quelle loi est applicable ?

En droit français, par principe le tribunal compétent est celui du domicile du défendeur. , à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement “, puis, en 2012, le règlement ” concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale “.

S’il s’agit d’un délit ou d’un quasi délit, au regard des articles 5§3 et 7§2 de la Convention de Bruxelles et du règlement n° 1215/2012 de la Convention de Bruxelles et du règlement 44/2001 précité, il existe une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735).

Si le dommage qui a été causé par l’intrusion est survenu au sein système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.

Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. Dans un arrêt rendu par La Cour de Cassation en sa première chambre civile le 14 janvier 1997, il a été jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier.

2) La responsabilité civile contractuelle.

La responsabilité civile contractuelle de l’hébergeur du site peut être engagée. Tout dépendra des clauses prévues dans le contrat d’hébergement, notamment en ce qui concerne les clauses de sécurité du site et de la mise en place de systèmes informatiques de protection contre toute forme d’intrusion.

Si une telle clause existe, il convient de qualifier l’obligation de l’hébergeur. Est-ce une obligation de résultat ou seulement de moyen. Généralement, il s’agira d’obligation de moyen, ainsi le prestataire devra être en mesure d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée. S’il rapporte une telle preuve, alors sa responsabilité ne sera pas retenue.

Il convient de parler de la blockchain. Il s’agit d’un outil numérique permettant de sécuriser un réseau informatique. Différentes opérations peuvent être enregistrées par le biais de cette plateforme numérique. Initialement elle était utilisée pour enregistrer toutes les opérations financières effectuées en bitcoin. Dès lors qu’une vente était réalisée à partir du Bitcoin, la transaction apparaissait automatiquement sur un registre blockchain.

Pour imager la blockchain, il suffit de penser un gigantesque livre numérique ou un tableau Excel qui liste chacune des actions entreprises dans l’ordre chronologique dans lesquelles elles ont eu lieu. Une blockchain est donc comparable à un historique de compte d’une banque sur lequel toutes les opérations financières sont recensées.

Toute la sécurité de la blockchain repose notamment sur le fait qu’elle soit décentralisée, il est donc beaucoup plus difficile de la pirater. Car pour ce faire, il faudrait déjouer le système de sécurité de tous les utilisateurs du registre en même temps. Par conséquent, à l’inverse des moyens classiques de stockage (USB, disque dur, cloud etc) qui sont gérés par un membre en particulier ou une entité (entreprise, état, banque etc), ici, la gestion de la blockchain sera partagée entre tous ses membres sans tiers intermédiaire.

Un nouveau bloc se crée à chaque nouvel utilisateur intégré à la blockchain. Ce block s’ajoutera au précédent. Ils contiennent chacun les informations partagées avec chaque utilisateur. Ces blocs sont scellés les uns aux autres ce qui forme donc une chaîne de blocs. Ainsi, dès lors qu’ un acte malveillant est détecté les autres participants appelés aussi nœuds du réseau sont immédiatement informés et peuvent empêcher cette intrusion.

Des mineurs sont nommés parmi les nœuds pour participer à la sécurisation du système. Ces derniers devront résolver des énigmes cryptographiques ce qui permet la validation des opérations.

La véracité de l’information est automatiquement garantie dès lors qu’elle est enregistrée sur un registre de la blockchain. Elle ne pourra donc plus être supprimée ou modifiée. La seule et unique possibilité sur cette base de données est donc d’ajouter des éléments.

Pour protéger des données sensibles, la blockchain s’avère particulièrement utile. C’est notamment le cas avec les données de santé. Ici, les informations pourront être protégées car elles seront décentralisées ce qui empêchera le risque lié aux données dès lors que la base de données d’un hôpital est attaquée. En effet, aujourd’hui les hôpitaux sont souvent la cible d’attaque. Actuellement, les dossiers médicaux de chaque patient, les laboratoires les résultats d’analyse, les généralistes et les pharmaciens ont aussi leurs propres données comme le dossier pharmaceutique.

Ainsi, une confiance maximale pourrait être instaurée entre le médecin et son patient avec l’utilisation de la blockchain. . Le patient peut ainsi nouer en toute quiétude un contact avec différents professionnels de santé qui représentent chacun un bloc du réseau de la blockchain. Ces derniers peuvent alors apporter des informations supplémentaires au registre du patient avec son consentement. Le consentement du patient permet d’accéder au registre, de consulter les informations qui s’y trouvent ou d’ajouter de nouveaux blocs.

En effet si la blockchain fonctionne sans intermédiaire, les données appartiennent quand même à un « propriétaire » qui doit plus être considéré comme un gestionnaire des données, en l’occurrence dans cette hypothèse c’est le patient. Pour sécuriser son dossier blockchain, le patient dispose de deux clés de sécurité, une clé publique et une clé privée.

Une clé privée permet de déchiffrer une clé publique, elles fonctionnent ensemble, mais l’inverse n’est pas possible. Cela permet une sécurité très importante du moment que la clé privée reste avec son propriétaire. La clé publique est une adresse de réception. Elle est comparable à une adresse postale permettant de recevoir du courrier dans sa boîte aux lettres. La clé privée est dans cet exemple le seul moyen d’ouvrir cette boîte.

La blockchain a d’abord été utilisée pour le bitcoin. Mais cette technologie peut servir dans bien d’autres cas. Elle possède de nombreuses qualités : Immutabilité, sécurité, traçabilité, intégrité.

Son intérêt pour les professionnels, les clients ou encore les patients n’est plus à prouver. Aujourd’hui la sécurité est essentielle et il est difficile de cacher des informations confidentielles sur internet, cet outil pourrait bien s’avérer être la meilleure solution pour lutter efficacement contre les fraudes, les cyberattaques ou le piratage de données.

D’autant que d’un côté l’utilisation d’internet et des appareils connectés s’accroît d’année en année, mais de l’autre la méfiance qu’ils suscitent aussi. Les bases de données centralisées contiennent énormément d’informations concernant leurs utilisateurs et le seul moyen de les protéger est de faire confiance au site, à l’entité qui détient toutes ces données.

Les utilisateurs leur sont donc complètement dépendants et n’ont d’autre choix que de se fier à la protection offerte par ces tiers. Si celle-ci est insuffisante, défaillante ou inexistante alors l’utilisateur ne pourra rien faire pour protéger ses données. La blockchain apparaît donc comme l’outil idoine pour remédier à toutes ces carences.

II. Les mesures préventives

Bien qu’il soit possible d’intenter une action a posteriori contre le responsable de l’intrusion existe. Est-ce, pourtant, une solution efficace ?

Toute la difficulté de l’action réside dans la preuve de l’intrusion. Surtout si celle-ci a été effectuée à partir d’un réseau ouvert de type Internet.

Bien que l’on puisse détecter l’origine de cette intrusion, identifier la personne à l’origine de celle-ci peut s’avérer particulièrement compliqué.

Il est à rappeler l’importance des dommages qu’une intrusion dans un système informatique peut causer, tant sur la crédibilité de l’entreprise que sur ses finances. Ainsi, avant tout, il convient de mettre en place des mesures de sécurité.

Il est donc nécessaire d’insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique.

Dans le premier cas, il s’agira de déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne etc).

Dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à l’Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique. Les systèmes de signature électronique et de cryptologie permettent également d’assurer la sécurité des échanges.

Une entreprise pourrait souscrire une assurance contre le risque d’attaque informatique, ici, le dédommagement dépendra alors du type d’assurance souscrite.

III. L’aspiration de site

Comme expliqué précédemment, l’aspiration d’un site correspond à copier en partie ou entièrement un site web sur le disque dur de son ordinateur pour y avoir accès même hors connexion. Une fois le site « aspiré » l’utilisateur pourra l’ouvrir sans aucun problème, il n’aura plus de risque de coupure de connexion.

Certains logiciels tels que Mémoweb permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).

Cette technique d’aspiration de site pose de nombreux problèmes, notamment au regard du droit d’auteur. On verra que les réponses données par l’application du droit de la propriété intellectuelle peuvent varier selon la catégorie à laquelle l’œuvre en cause s’attache.

A) L’aspiration de site face aux droits de propriété intellectuelle

1) Droit d’auteur

En France, l’auteur d’un œuvre bénéficie d’une protection importante. La protection est prévue dans le code de la propriété intellectuelle. Également, au niveau européen, la directive CE 2001/29 du 22 mai 2001 porte sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information.

Le tribunal de commerce de Paris a énoncé dans un arrêt rendu le 9 février 1998 que le contenu des pages web est protégeable au titre des droits d’auteurs. Pour cela, il faut que les critères posés par le CPI – création originale, fixée sur un support- soient remplis. Ainsi, l’art. L.122-4 du CPI dispose que ” Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants cause est illicite ” et elle est donc punie à titre de contrefaçon.

Il est à souligner que l’interdiction de reproduction intégrale ou partielle de l’œuvre réaliser dans le consentement de son auteur ne s’applique pas pour ” les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective ” selon l’article 122-5 2° du CPI

Ainsi, il est tout à fait possible de considérer que l’aspiration d’un site puisse être considérée comme l’exercice par l’utilisateur de son droit de copie privée d’une œuvre déjà divulguée.

En d’autres termes, la légitimité de la technique d’aspiration d’un site, face au droit d’auteur qu’on présume applicable, dépend, comme c’est le cas pour tous les œuvres de l’esprit bénéficiant de la protection par ce dernier, de l’utilisation qu’en est faite. Ainsi, la projection d’un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l’œuvre et serait, donc, interdite, à moins que le titulaire des droits n’ait pas donné préalablement son accord.

2) La protection des bases de données

L’article L.341 du Code de propriété intellectuel énonce que « Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et assure le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s’exerce sans préjudice de cesses résultant de celles du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs “.

L’article L.342-1 du CPI prévoit quant à lui que « Le producteur de bases de données a le droit d’interdire : 1. L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ; 2.  La réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme. Ces droits peuvent être transmis ou cédés ou faire l’objet d’une licence. Le prêt public n’est pas un acte d’extraction ou de réutilisation. »

Enfin, l’article 122-4 du CPI exclu quant à lui le droit de copie privée pour les ” copies et reproductions d’une base de données électronique “.

Mais qu’entend-on par base de donnée ? L’article L. 112-3 du CPI dispose qu’ ” on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen “.

Cependant, bien que certains sites web puissent être considérés comme des bases de données, la majorité d’entre eux ne le sont pas.

Cela s’explique car ils ne répondent pas à la définition de ” recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique “.

De ce fait, un site de compilation de données tel qu’un annuaire en ligne par exemple constitue bien une base de données, un site classique de type e-commerce ne semble quant à lui pas pouvoir être assimilé à une base de données. En effet, dans le cas de ce dernier, l’assemblage d’images, de sons et de textes n’a rien ni d’une disposition systématique, ni d’un recueil de données.

Mais alors, qu’en est-il des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ?

Il faudra considérer qu’ici l’objet de la protection ne porte pas sur le site entier, mais uniquement sur la base elle-même. Cette dernière, d’ailleurs, n’est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L’accès à une telle base constituerait l’infraction, décrite ci-dessus, d’accès et de maintien dans un système de traitement automatisé de données.

B) L’aspiration d’un site peut-elle être considérée comme une intrusion dans un système informatique ?

L’article 323-1 du Code pénal prévoit que pour sanctionner il faut une intrusion dans un système informatique. Or, il n’y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée.

La cour d’appel de Paris a démontré qu’il ne suffisait pas que la personne n’ait pas le droit d’accès au système, il fallait pouvoir démontrer qu’elle en ait forcé l’accès, en utilisant une méthode particulière et non pas un simple navigateur.

L’aspiration d’un site s’effectue bien sûr avec des logiciels spéciaux. En plus, dans la plupart de cas, l’utilisateur ne demande pas l’autorisation préalable du créateur du site. Or, l’accès à ce dernier n’est nullement forcé !

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l’aspiration et le dommage.

Finalement, l’aspiration d’un site n’est rien d’autre qu’un téléchargement simultané de tous les éléments d’une page ou d’un site web. Mis à part l’hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l’accès à celui-ci est libre, rien a priori ne semble s’opposer à son aspiration pour des fins privés.

Intelligence artificielle

Woody Allen l’a dit : “L’intelligence artificielle se définit comme le contraire de la bêtise humaine”. Cette phrase, à moitié pleine d’ironie, cache en réalité un constat indéniable : celui d’une avancée exponentielle en la matière.

La peur que les machines surpassent les hommes, est avec l’intelligence artificielle, une crainte bien réelle. Quand est-il lorsque cette machine crée un dommage ? Qui peut être tenu responsable ?

NOUVEAU ! Pour tenter de faire supprimer un contenu qui pénalise vos droits, vous pouvez utiliser le service d’envoi de lettre de mise en demeure mis en place par le cabinet Murielle-Isabelle CAHEN.

Ces dernières années, l’intelligence artificielle s’est particulièrement développée et a été au cœur de nombreuses avancées. On peut notamment citer un exploit récent réalisé par l’intelligence artificielle AlphaGo créée par la société Deepmind, qui a, en 2016 été capable de batte le champion du monde de Go Lee Sedol. Ce jeu de plateau était pourtant réputé “impraticable” par une machine du fait des innombrables combinaisons possibles.

Même si ces nouvelles technologies fascinent, elles ne sont pas sans risque.

C’est donc naturellement qu’un débat autour de l’intelligence artificielle et plus précisément de la détermination du responsable (sur le plan civil comme pénal) dans le cadre d’un dommage causé par l’intelligence artificielle, ne fait pas encore consensus (I), il est pourtant essentiel de trouver une solution à des litiges de plus en plus fréquents (II).

I) Les enjeux du débat sur la responsabilité

Premièrement, nous devons définir précisément l’intelligence artificielle, et de ses différentes déclinaisons (A), pour ensuite se pencher sur la façon la plus pragmatique de définir le responsable en cas de litige (B).

A) L’intelligence artificielle : qu’est ce que c’est ?

Naturellement il convient avant toute chose de définir l’intelligence artificielle. Le terme générique caractérise en effet “l’ensemble de théories et de techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence” .

La paternité du terme d’intelligence artificielle est attribuée à John McCarthy. Ce terme a par la suite été défini par son compère Marvin Lee Minsky comme “la construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour l’instant, accomplies de façon plus satisfaisante par des êtres humains, car elles demandent des processus mentaux de haut niveau […]”.

Cette définition résonne tout particulièrement, en ce que la notion de temporalité y est parfaitement encadrée. “Pour l’instant” : le mot est lâché, et il sonne toujours plus vrai aujourd’hui puisque le progrès scientifique en la matière n’a jamais été aussi rapide et d’actualité.

Le propre de l’intelligence artificielle est d’emmagasiner de nombreuses connaissances et de constituer une base sur laquelle se fonder pour réaliser les tâches demandées, grâce à ses interactions avec l’environnement et son “expérience”.

“Tay”, l’intelligence artificielle de Microsoft, est un “chatbot” qui fut lancée par l’entreprise sur le réseau Twitter et répondant parfaitement à cette définition en ce que sa mission consistait à discuter avec les internautes en s’inspirant du langage, du savoir et du comportement de ces derniers à son égard.

Pour autant, les concepteurs retirèrent du réseau le programme, après que celui-ci ait tenu des propos racistes et diffamatoires à l’encontre de la communauté, qui s’amusait à tester ses limites en faussant son apprentissage.


Besoin de l’aide d’un avocat pour un problème d’intelligence artificielle ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien_


L’intelligence artificielle se caractérise par le stockage de vastes quantités de connaissances et, par son interaction avec l’environnement et son «expérience», constitue la base pour l’exécution des tâches requises.

Microsoft a développé un « chatbot » nommé « Tay ». C’est sur le réseau social Twitter qu’elle a été lancée. La mission de cette IA consistait à discuter avec les utilisateurs tout en s’inspirant de leur langage et de leur comportement. Cependant, ce programme a été retiré du réseau social rapidement.

Cependant, après que le programme ait tenu des propos racistes et diffamatoires sur la communauté, les concepteurs ont retiré le programme du réseau

Ce cas, parmi tant d’autres, illustre parfaitement les dérives liées à l’intelligence artificielle, et pose donc la question de savoir : qui est responsable ??

Le Parlement européen, dans une résolution en date du 12 février 2019 sur « la politique industrielle européenne globale sur l’intelligence artificielle et sur la robotique », tente de définir la notion d’IA et le régime juridique qui doit lui être applicable. Le Parlement abandonne l’idée de donner à l’intelligence artificielle une personnalité juridique et vient plus observer les conséquences de l’intelligence artificielle sur le régime de responsabilité civile, par exemple. En effet, le droit de la responsabilité civile doit être adapté pour « tenir compte de l’intelligence artificielle et de la robotique ».

Dans un projet de règlement sur l’IA présenté en avril 2021, l’Union européenne vient confirmer cette position et refuse d’accorder la personnalité juridique à l’IA.

Ce projet apporte tout de même un certain cadre juridique. Il est prévu plusieurs niveaux d’intelligence artificielle selon les risques de cette dernière sur l’humain. Le premier niveau correspond aux IA avec un risque inacceptable. Ces IA sont interdites en raison de leur système qui pourrait par exemple « manipuler les personnes au moyen de techniques subliminales afin de modifier leur comportement ce qui causerait un préjudice à la personne ou un tiers ». Ce type d’IA concerne également le scoring social portant une atteinte disproportionnée à la liberté des personnes.

Le second niveau concerne les IA avec un risque élevé. Elles sont autorisées, mais elles doivent s’accompagner de mesures importantes pour démontrer que cette IA est bien conforme aux mesures de sécurité imposées en raison du niveau élevé de risque. Le troisième niveau est l’IA à faible risque, elle devra respecter un guide de conduite. Le dernier niveau concerne les IA à risques minimes qui ne font l’objet d’aucune exigence.

B) Comment déterminer un responsable ?

Par définition, et comme l’affirment certains, “la responsabilité civile du fait d’un individu ou d’une chose est inhérente à l’action humaine […] Seul l’individu est responsable de ses décisions conduisant aux actes et aux conséquences malencontreuses induites par la faillibilité humaine” .

Dès lors, la responsabilité du fait des choses place aujourd’hui l’objet sous la garde de celui qui en dispose par un pouvoir d’usage, de direction et de contrôle, et responsabilise donc ce dernier lorsque l’objet en question se trouve impliqué dans le fait dommageable.

Une telle réflexion pose problème, en effet, bien qu’elle s’applique parfaitement à toutes sortes d’objets, elle n’est pas adaptée à l’intelligence artificielle, car par définition, l’homme n’a pas (pleinement, du moins) les pouvoirs précités.

Le problème d’une telle réflexion, c’est qu’elle s’applique parfaitement à toute sorte d’objets, mais pas vraiment à l’intelligence artificielle sur lequel, par définition, l’homme n’a pas (pleinement, du moins) les pouvoirs précités.

L’intelligence artificielle, amenée à fonctionner de manière autodidacte, conserve naturellement cette part d’indétermination et d’imprévisibilité qui met en péril une telle responsabilisation de l’homme.

Stéphane Larrière affirme très justement que : “Dès lors, l’homme laisse la main à l’intelligence artificielle dans l’exercice de ses facultés augmentées par ce complément cognitif : il se réalise alors une sorte de délégation conférée à la machine pour décider et faire à sa place”.

Par conséquent, le régime qui semble être le plus favorable est celui de la responsabilité sans faute, celle du fait d’autrui, celle “permettant d’imputer les frais du dommage à celui qui était le mieux placé, avant le dommage, pour contracter l’assurance destinée à garantir le risque” (G. Viney, Introduction à la responsabilité, Traité de droit civil, LGDJ 2008, p.40).

Néanmoins, au vu de la multitude de cas possibles, cette détermination n’est pas des plus aisée.

Le rapport de la Commission européenne portant sur les conséquences de l’intelligence artificielle, de l’internet des objets et de la robotique sur la sécurité s’est attelé à la question de la responsabilité. La Commission retient que « bien que la directive sur la responsabilité du fait des produits donne une définition large de la notion de produit, celle‑ci pourrait être précisée pour mieux traduire la complexité des technologies ». Par conséquent, la Commission européenne considère qu’en matière d’intelligence artificielle,  le régime de la responsabilité du fait des choses n’a pas à s’appliquer.

II) Un débat de plus en plus fréquent

Si les accidents liés aux voitures autonomes sont fréquents ces derniers temps (A), ne sont pas à exclure les risques liés aux autres formes d’intelligences artificielles (B).

A) Le cas des voitures autonomes

La détermination d’une telle responsabilité est un débat que l’actualité place régulièrement sur le devant de la scène médiatique, et souvent pour le pire. C’est le secteur de l’automobile qui en fait les frais aujourd’hui ; deux accidents auront marqué les esprits ces dernières semaines.

Le premier, survenu le 19 mars dernier en Arizona, concerne l’entreprise Uber. Suite à des tests sur la voie publique, l’un de ses modèles autonomes a percuté un piéton, décédé par la suite de ses blessures.

Le système de l’automobile mis en cause, n’ayant pas activé le système de freinage avant l’impact, a contraint la société de suspendre ses activités dans le domaine . Pour autant, celle-ci soutient que l’automobiliste est à mettre en cause dans l’affaire.

Le deuxième accident récent concerne cette fois-ci Tesla et son modèle X, au volant de laquelle est décédé un conducteur 4 jours après le drame précédent.

Encore une fois, l’autopilote se trouve au cœur des débats, et si la famille de la victime accuse l’entreprise, celle-ci se dédouane de toute responsabilité en soulignant que la victime “n’avait pas les mains sur le guidon au moment de l’accident”, et contre toute indication de la voiture l’invitant à prendre de telles mesures.

Le 12 février 2019, le Parlement européen a rendu une résolution dans laquelle elle vient aborder la question des voitures automatiques en disposant que « la prévalence de véhicules autonomes présentera des risques […] de défaillances techniques et va transférer à l’avenir la responsabilité du conducteur vers le fabricant, imposant aux compagnies d’assurances de modifier la manière dont elles intègrent le risque dans leur souscription ».
Ces affaires mettent en lumière tout l’enjeu de l’autonomie de l’intelligence artificielle face au pouvoir de contrôle du conducteur sur la chose, dans la détermination du responsable du fait dommageable.

Le 14 avril 2021, une ordonnance est venue prévoir un nouveau régime de responsabilité pénale applicable pour les véhicules à délégation de conduite. Par la suite, le gouvernement a précisé par décret le 29 juin 2021  les modalités d’application de l’ordonnance.

L’article 123-1 du Code de la route prévoit désormais que la responsabilité pénale du conducteur ne sera pas retenue dans le cas où l’infraction commise serait le résultat d’une manœuvre d’un véhicule dont les fonctions sont totalement déléguées à un système automatisé, si, au moment des faits ce système exerçait le contrôle dynamique du véhicule.

L’article 123-2 de ce même Code prévoit en revanche que la responsabilité pénale du constructeur sera quant à elle retenue. Le constructeur est tenu responsable des atteintes involontaires à la vie et à l’intégrité des personnes. Sa responsabilité sera retenue, si l’existence d’une faute est établie au moment où l’IA exerçait le contrôle dynamique du véhicule. Également,  dès lors qu’il y a un défaut de conception, le constructeur sera tenu responsable.

B) D’autres risques potentiels à envisager

Il existe également d’autres circonstances ou les questions de responsabilité civile ou pénale se posent.

L’exemple de l’intelligence artificielle “Tay” qui a déjà été cité laisse penser que l’on pourrait voir un jour survenir un litige portant sur des propos dénigrants, voir du harcèlement avec pour origine de ces délits, l’intelligence artificielle.

Il faut également se questionner sur les assistants personnels intelligents comme Siri, Alexa, ou encore Google Home, définis comme des  “agents logiciel qui peuvent effectuer des tâches ou des services pour un individu” .

L’utilisation quotidienne qui est faite de ces technologies par leur propriétaire repose sur le fait d’effectuer des actions simples (lancer une playlist, envoyer un message ou encore passer un appel). Cependant, ces assistants personnels intelligents peuvent aussi  être utilisés pour effectuer des recherches plus complexes, avec degré d’importance de la réponse qui peut varier, et par conséquent avoir un impact plus ou moins grave en cas d’erreur.

Une actualité récente démontre bien ces risques. En effet, en décembre 2021, c’est l’assistant vocal d’Alexa qui s’est retrouvé au cœur d’une polémique. Ce dernier a dû faire l’objet d’une mise à jour d’urgence par Amazon. Un enfant avait demandé à Alexa de lui proposer des défis à réaliser. L’assistant intelligent d’Amazon a proposé à l’enfant de jouer avec une prise électrique.

Bien que l’enfant se porte bien aujourd’hui, cette affaire force à se poser des questions quant à la responsabilité des assistants personnels intelligents.

Ces technologies vont être utilisées dans des domaines tels que le médical par exemple qui ne laisse pas de place à l’erreur. La question sur la détermination d’un responsable pourrait se poser, dans le cas où la machine apporterait un résultat erroné à un calcul. Mais la question est complexe, car bien souvent, de toute façon, ce calcul n’était pas réalisable par l’Homme.

On en revient à cette idée de délégation soulevée plus haut. Reste à savoir quels critères prédomineront en la matière, à mesure des avancées technologies, mais aussi, malheureusement, à mesure de la variété des accidents…

Pour lire une version plus adaptée au mobile de cet article sur l’intelligence artificielle, cliquez

SOURCES :
(1) http://www.larousse.fr/encyclopedie/divers/intelligence_artificielle/187257
(2) http://laloidesparties.fr/responsabilite-ia
(3) G. Viney, Introduction à la responsabilité, Traité de droit civil, LGDJ 2008, p.40
(4) https://www.numerama.com/business/336940-uber-suspend-ses-activites-dans-la-voiture-autonome-apres-un-mort.html
(5) https://fr.wikipedia.org/wiki/Assistant_personnel_intelligent
Résolution du Parlement européen du 12 février 2019 sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique
https://www.europarl.europa.eu/doceo/document/TA-8-2019-0081_FR.html
Livre Blanc sur l’intelligence artificielle du 19 février 2020
https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043370894
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006074228/LEGISCTA000043371833/#LEGISCTA000043371833

CLOUD COMPUTING ET RISQUES JURIDIQUES

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Cloud Computing a fait émerger, en dépit de son caractère récent, une foule de questions notamment sur les avantages, mais surtout sur les risques liés à ce Cloud Computing. Alors doit-on se méfier ou au contraire approuver le Cloud ?

Le monde est fait de révolutions industrielles et de « modes » 1990 : le PC Windows, 2000 : Internet dans les entreprises, et… 2010 : le Cloud Computing !

Le Cloud Computing ou « l’informatique dans les nuages », fait référence à une technique de service informatique qui permets aux utilisateurs tiers d’accéder aux ressources Internet d’un hébergeur, sans être contraints d’acquérir ou de louer le matériel informatique ou le logiciel ou encore de conclure des contrats de maintenance et de prestation de services y afférents. Plus précisément, cette technologie permet d’utiliser la puissance de serveurs informatiques à distance par l’intermédiaire d’un réseau.

Le National Institute of Standards and Technology (NIST) définit le cloud computing comme étant « l’accès via un réseau de télécommunications, à la demande et en libre-service, à des ressources informatiques partagées configurables ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Les multiples utilisateurs peuvent partager certaines données, générer automatiquement leurs propres fichiers et communiquer en ligne avec des tiers auxquels ils auront préalablement autorisé l’accès auxdites données, et ce, grâce à un système d’authentification (mot de passe et codes d’authentification. Mais l’usage de cet outil novateur que constitue le Cloud Computing contient, en son sein, des risques juridiques liés à la protection des données qu’il permet de traiter.

Dans ce sens, le début de la première initiative s’était concrétisé par le partenariat entre les entreprises Intel, Hewlett Packard et Yahoo! fin juillet 2008 dans le but de promouvoir la recherche dans ce domaine du Cloud Computing. On parlait alors de « cloud computing test bed », ayant pour objectif de créer un « environnement distribué » à l’échelle mondiale, permettant notamment la recherche sur les logiciels et le matériel informatique, ainsi que la centralisation de données.

Ensuite, le gouvernement américain suivait cette ligne en lançant le 22 novembre 2010 sa politique de « cloud prioritaire ».

Aujourd’hui, les services de cloud computing, qui déjà lancés par un certain nombre de sociétés dont Amazon et Google, et même Microsoft avec sa plateforme cloud Azure qui répond déjà aux attentes des développeurs, pourraient bien révolutionner l’informatique des entreprises.

Le cloud computing, permettant désormais d’externaliser l’utilisation de la mémoire ainsi que les capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier, offre en effet aux entreprises une formidable puissance informatique s’adaptant de surcroît à la demande. Mais le cloud computing présente également un certain nombre de risques juridiques dont il convient de se prémunir dans le cadre d’un contrat adapté.

Il s’agit d’une technique qui diffère des contrats classiques d’outsourcing aux termes desquels un prestataire tiers sera en charge du traitement technique des données (données personnelles comprises).

Le droit français et la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n° 95/46/CE du 24 octobre 1995, considèrent en principe ce prestataire tiers (hébergeur du système de Cloud Computing) comme un sous-traitant des données agissant conformément aux instructions d’un responsable du traitement des données.

Le RGPD, dans son article 28, impose l’existence d’un contrat liant le responsable de traitement, à savoir le client, et le sous-traitant qui n’est autre que le prestataire de services de cloud.

Néanmoins, il peut s’avérer que cette qualification peut s’avérer plus complexe comme ses conséquences sur le plan contractuel. L’affaire Swift, concernant une société de droit belge, qui assure le transfert de fonds internationaux à des établissements financiers, témoigne de cette complexité.

La société Swift prétendait qu’elle était le sous-traitant des données en question lorsqu’elle exportait des données personnelles et des données financières hors de l’Union européenne dans le cadre d’opérations financières. Et la Justice belge a en effet considéré que les établissements financiers impliqués dans ces opérations étaient les responsables des données personnelles en question et que Swift devait ainsi être considéré comme sous-traitant de ces données de fait et délégué desdits établissements financiers. Cette affaire révèle assez clairement les risques juridiques qu’entretient l’innovation du Cloud Computing.

Enfin, le cloud permet à l’entreprise de s’affranchir des contraintes traditionnelles (la bonne appréciation du nombre de serveurs, de la capacité nécessaire) et d’avoir une approche modulaire en fonction des besoins. Sur le plan juridique, on se rapproche du cas dans lequel une entreprise déciderait d’externaliser tout ou partie de son système d’information.

Une démarche prudente consiste en l’appréhension des risques et la prise des mesures nécessaires à la garantie la continuité du service, la sécurité des données, la qualité du service, la réversibilité… Finalement, la question liée à la confidentialité doit rester une préoccupation centrale. Ces différents sujets sont très similaires à ceux de l’outsourcing. Donc, dans l’ensemble, des réponses existent déjà et pourraient être mises en œuvre.

Il conviendra donc d’exposer ce qu’est le concept de cloud computing (1), pour ensuite définir et se prémunir des risques juridiques liés à son utilisation (2).

I. Qu’est-ce que le cloud computing ?

Il convient de définir le cloud computing (A), ainsi que ses avantages (B).

A) La définition du cloud computing

Le cloud computing présente un concept récent permettant d’utiliser de la mémoire et des capacités de calcul d’ordinateurs et de serveurs répartis dans le monde entier et liés par un réseau tel Internet. Le cloud computing permet ainsi de disposer, à la demande, de capacités de stockage et de puissance informatique sans disposer matériellement de l’infrastructure correspondante.

L’infrastructure du fournisseur est ainsi totalement autonome et déconnectée de celle du client, ce qui permet à ce dernier de s’affranchir de tout investissement préalable (homme ou machine). L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté, le plus souvent au moyen d’un simple navigateur Internet.

Il existe également des clouds computing publics qui constituent des services partagés auxquels toute personne peut accéder à l’aide d’une connexion Internet et d’une carte de paiement, sur une base d’utilisation sans abonnement. Ce sont donc des infrastructures virtualisées que se partagent plusieurs utilisateurs.

Les clouds privés (ou d’entreprise), quant à eux, ils tendent à reprendre le même modèle de distribution des clouds computing publics, à la différence qu’ils sont détenus et gérés de manière privée, l’accès pouvant être limité à une seule entreprise ou à une partie de celle-ci. Ces derniers peuvent ainsi apparaître comme plus sûrs en termes de sécurité, de stabilité, de confidentialité et de persistance des données.

Globalement, le cloud computing constitue une nouvelle forme d’informatique à la demande, à géométrie variable, que l’on pourrait classer d’un point de vue juridique, au croisement des services d’externalisation, et des services ASP et SaaS.

En effet, les services d’externalisation (ou « outsourcing ») consistent à confier la totalité d’une fonction ou d’un service à un prestataire externe spécialisé, pour une durée pluriannuelle. Grâce à de tels contrats, le client peut s’exonérer des contraintes de gestion et de maintenance d’un système informatique.

Les services « ASP » (pour « Application Service Provider ») dérivent des contrats d’outsourcing. Sauf que dans les contrats ASP, le client ne fait que louer un droit d’accès et d’utilisation du système informatique auprès du prestataire. Le client dispose ainsi d’un accès à distance à des applications sur un serveur extérieur, ce qui le dispense d’acquérir lui-même une infrastructure informatique, des licences d’utilisation de progiciels etc.

Les services SaaS (pour « Software As A Service »), sont quant à eux des dérivés des contrats ASP dont ils constituent une forme particulière (application personnalisée), en externalisant le système informatique du client, auquel celui-ci à accès exclusivement par Internet.

B) Les apports du cloud computing

Le cloud computing offre la possibilité d’étendre le système d’information d’une entreprise à la simple demande de celle-ci, en fonction de l’utilisation attendue (pics d’activité, pics de fréquentation, etc.).

Les services fournis dans le cadre du cloud computing sont vastes. L’entreprise peut notamment bénéficier d’une capacité de traitement de l’information (sans acquérir des ordinateurs et ressources nécessaires), d’infrastructures informatiques (de type réseaux), de capacités de stockage et d’archivage (sans avoir à se doter de serveurs spécifiques) mais aussi d’applications informatiques (sans avoir à acquérir les licences correspondantes).

Ainsi, le cloud computing permet, sans investissement majeur en termes d’infrastructure et de dépenses en capitaux, de bénéficier d’un service à moindre coût fondé sur la consommation, de type “pay-per-use”, et par suite d’optimiser la gestion des coûts d’une entreprise.

De ce fait, le prix d’un tel service est calculé en fonction de la consommation effective d’une entreprise, tout comme pour l’utilisation du gaz ou de l’électricité. L’entreprise achète en quelque sorte la possibilité d’utiliser de la puissance informatique sur demande.

Au-delà du service en lui-même, les avantages du cloud computing, résident donc d’une part dans la simplicité et la rapidité de mise en œuvre dudit service, et d’autre part dans la grande flexibilité liée à l’offre sur demande que celui-ci permet.

Enfin, il convient de noter que techniquement, il est possible de mettre n’importe quelle application dans un cloud computing. Néanmoins, ses usages principaux concerneront essentiellement le management lié aux nouvelles technologies, la collaboration, les applications personnelles ou d’entreprise, le développement ou le déploiement des applications et enfin les capacités serveurs et de stockage.

A titre d’illustration, Microsoft a investi des centaines de millions de dollars cette année pour construire et améliorer les centres de données (le dernier, ouvert à Chicago, compte 300000 serveurs !) qui rendent ses ambitions de cloud computing possibles. Malgré la crise économique, Microsoft a investi 9 milliards de $ en R&D, 10 % de plus que l’année dernière, et les spécialistes prédisent déjà que le géant américain, malgré les critiques faites à son encontre, sera l’acteur le plus prééminent et le plus rentable en la matière.

Le cloud computing constitue donc un service mutualisé et virtualisé, dont le coût varie uniquement en fonction de l’utilisation effective, qu’il conviendra d’encadrer spécifiquement sur un plan juridique.

 

II . Les risques juridiques liés à l’utilisation du cloud computing

Les principaux risques juridiques du cloud computing sont inhérents aux données (A). Il convient de s’en prémunir dans des contrats sécurisés (B).

A) La sécurité et la sécurisation des données

La mise en place de services de cloud computing n’est pas sans risques, notamment au regard de la sécurité et de sécurisation des données. En effet, l’accès aux données et aux applications est réalisé entre le client et la multiplicité des serveurs distants. Ce risque se trouve donc amplifié par la mutualisation des serveurs et par la délocalisation de ceux-ci.

L’accès aux services induira donc des connexions sécurisées et une authentification des utilisateurs. Se posera alors le problème de la gestion des identifiants et celui des responsabilités (accès non autorisé, perte ou vol d’identifiants, niveau d’habilitation, démission ou licenciement, etc.).

Il existe également un risque de perte de données qu’il conviendra de prendre en considération, d’évaluer et d’anticiper dans le cadre de procédures de sauvegarde adaptées (stockage dans des espaces privés, en local, en environnement public, etc.). De même, il existe également des risques au regard de la confidentialité des données (fuites), vu le nombre de serveurs et la délocalisation de ceux-ci.

De surcroît, la réalisation des services de cloud computing étant assurée par un prestataire externe, celle-ci comporte des risques au regard de la qualité de service obtenue, et de la propriété et de l’intégrité des données et/ou applications confiées, risques qu’il conviendra donc de prévoir contractuellement.

En outre, la mise en place de ce type de service peut parfois s’avérer onéreuse. Il existe en effet des risques financiers liés aux outils de contrôle servant à évaluer la consommation du cloud computing, et sa facturation. Il conviendra ainsi de définir contractuellement une unité de mesure du stockage, et des ressources informatiques utilisées, ou encore du nombre d’utilisateurs actifs,  afin que cela reste avantageux pour l’entreprise concernée.

Finalement, la mise en place de services de cloud computing fait naître pour l’entreprise un certain nombre de risques au regard des données personnelles et des formalités imposées par la CNIL. Ces risques sont aggravés en cas de transfert de données hors de l’Union européenne (UE). La rédaction de contrats de cloud computing devra donc également prendre en considération ces problématiques.

En effet, le contrat doit tenir compte de ces contraintes, d’autant que le fait de confier ses données à un sous-traitant n’exonère pas le responsable du traitement de ses obligations. Cette question prend une ampleur particulière, car les serveurs sont délocalisés et le client n’a pas à connaître la localisation des serveurs.

Cependant, la loi impose, pour les transferts de données à caractère personnel hors de l’Union européenne, des formalités d’autorisation. Il est donc prudent d’imposer au prestataire de cloud computing soit un engagement de maintenir ses serveurs au sein de l’Union européenne, soit de veiller à être bien informés dans le cas d’un transfert hors Union européenne.

Il convient de distinguer entre les données personnelles telles que définies par le Règlement général sur la protection des données (RGPD) et les données commerciales non personnelles. Le RGPD, dans son article 4, définit les données personnelles comme toute information relative à une personne physique identifiée ou identifiable de manière directe ou indirecte par référence à des éléments qui lui sont propres. Sachant que les données à caractère personnel sont protégées par ce règlement, les données commerciales, quant à elles, sont régies par les dispositions de la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires et plus précisément en vertu l’article L151-1 du Code de commerce. (1)

B) Les précautions juridiques nécessaires à la rédaction d’un contrat de cloud computing

Il conviendra d’un point de vue général de mettre en place, pour pallier les risques précédemment évoqués, comme dans le cadre de tout projet d’externalisation, une convention de niveau de service, également appelée « SLA » (pour « Service Level Agreement »), permettant au client d’obtenir du prestataire une qualité de service convenue contractuellement.

En outre, la convention pourra comporter des indications quant aux attentes du client relatives à la réalisation des obligations du prestataire et notamment instaurer un système de malus ou de pénalités.

Il s’avère primordial de contractualiser un plan de réversibilité permettant d’assurer le transfert des services à d’autres prestataires, et ce, pour assurer une pérennité des services de cloud computing.

Plus particulièrement, il conviendra de prévoir les facteurs déclencheurs de cette réversibilité (carence du prestataire, libre choix du client après un certain nombre d’années), les conditions de cette réversibilité (simple discontinuité du service, ou arrêt total du service) et enfin le coût de celle-ci.

Il sera préconisé de prévoir la réplication des données sur plusieurs sites distants ou l’obligation de résultat de restauration des données dans des délais contractuels définis afin de palier leur perte. L’accord de Cloud Computing devra aussi stipuler une garantie de paiement d’une indemnité aux personnes physiques concernées par les données personnelles, en cas de traitement illicite ou de perte de ces dernières.

Le contrat prendra soin de préciser que l’ensemble des traitements ne seront opérés par l’hébergeur que sur instructions et contrôle des utilisateurs, c’est-à-dire sans prise d’initiative sans instructions expresses des utilisateurs considérés comme responsables de traitements.

En ce qui concerne l’intégrité et de la confidentialité des données, il pourra être prévu une clause d’audits externes, chargés d’une mission de contrôle acceptée par l’hébergeur du service. Notons aussi qu’il conviendra de s’assurer de la bonne rédaction de la clause de responsabilité du contrat, et d’encadrer tout particulièrement la traçabilité, l’accès frauduleux, l’atteinte à l’intégrité, voire la perte de données sensibles.

Mais s’agissant plus particulièrement les données sensibles que sont les données personnelles, le client pourra exiger que celles-ci restent localisées sur des serveurs exclusivement situés dans l’UE et prévoir les moyens de contrôle de cette obligation.

Le client s’exonérera ainsi d’un ensemble de formalités CNIL liées au transfert de données personnelles en dehors de l’UE. Pour se prémunir, il pourra aussi stipuler une interdiction pour l’hébergeur de regrouper, ou de stocker sur des serveurs identiques, un fichier de données avec d’autres fichiers comportant des données dites sensibles (par exemple : des fichiers comportant des informations bancaires et financières).

Enfin, nouveau modèle d’intégration de services informatiques, utilisables à la demande via Internet, reposant sur l’hébergement et l’accès à distance, attractif pour les entreprises, le cloud computing reste complexe à maîtriser.

Il conviendra par conséquent pour les entreprises de mettre en place un cadre contractuel adapté. L’encadrement juridique est en effet primordial pour prévenir les risques liés à ce service, qui, d’ici 2020, permettra aux entreprises de faire migrer l’essentiel de leurs applications dans les « nuages ».

Cela étant, il est intéressant d’évoquer le Cloud Act (Clarifying Lawful Overseas Use of Data Act) qui avait été adopté, le 8 mars 2018, par le Congrès américain. Ce Cloud Act permet aux agences de renseignement américaines ou aux forces de l’ordre d’obtenir les informations stockées dans les serveurs des opérateurs de télécoms et des fournisseurs de services de Cloud computing.

En effet, les prestataires de services sont obligés de communiquer « les contenus de communications électroniques et tout enregistrement ou autre information relative à un client ou abonné, qui sont en leur possession ou dont ils ont la garde ou le contrôle, que ces communications, enregistrements ou autres informations soient localisés à l’intérieur ou à l’extérieur des États-Unis ». (2)

Suivant l’exemple américain, les instances européennes ont entamé le travail sur un Cloud Act européen ayant pour objectif l’établissement d’un cadre juridique permettant d’instaurer une souveraineté de l’Union européenne sur son propre cloud. Ces mesures se justifient par les difficultés de mises en œuvre inhérentes au recours au cloud. Comme l’a formulé Frédéric Forster : « Si le recours au cloud a la particularité d’être aisé et convivial, il ne se heurte toutefois pas à des difficultés juridiques de mise en œuvre, voire à des convoitises dont il est évidemment indispensable qu’elles soient régulées et coordonnées ». (3)

Pour lire une version plus complète de cet article sur les risques juridiques du cloud computing, cliquez

Sources