logiciel

La menace croissante du quishing : Comprendre, prévenir et se protéger

Dans un monde où la digitalisation s’est immiscée dans tous les aspects de notre quotidien, la sécurité des données et des informations personnelles est devenue une préoccupation primordiale.
NOUVEAU : Utilisez nos services pour se défendre contre une escroquerie en passant par le formulaire !

Au cours des dernières décennies, l’évolution rapide des technologies de l’information et de la communication a engendré des méthodes de cybercriminalité de plus en plus sophistiquées.

Parmi celles-ci, émerge avec une inquiétante prévalence une pratique dénommée « quishing », qui constitue une menace insidieuse et croissante pour les individus, les entreprises et les institutions. Cette forme de cyberattaque, s’appuyant sur la manipulation habile des comportements humains et des technologies de communication, requiert une attention particulière tant de la part des juristes que des professionnels de la cybersécurité.

Le quishing représente une évolution inquiétante des pratiques de phishing traditionnelles, qui reposaient principalement sur des courriels frauduleux ou des sites web trompeurs.

Le terme « quishing » est une contraction des mots « QR code » et « phishing », désignant ainsi une méthode de fraude qui utilise des codes QR malveillants pour tromper les utilisateurs et les amener à divulguer des informations sensibles ou à effectuer des transactions non autorisées.

À l’ère où les smartphones sont devenus des outils omniprésents dans nos vies, permettant un accès instantané à des informations variées, le quishing exploite la confiance inhérente que les utilisateurs accordent aux codes QR, souvent perçus comme des éléments pratiques et innocents.

Cette manipulation de la perception, conjuguée à la facilité d’utilisation des technologies modernes, place les victimes potentielles dans une position de vulnérabilité accrue. Dès lors, il importe de s’interroger sur les implications juridiques et sociales de cette menace grandissante.

Dans un premier temps, nous aborderons les bases conceptuelles et techniques du quishing, en examinant ses mécanismes, ses cibles privilégiées et les conséquences néfastes qu’il engendre. Cela nous conduira à une analyse approfondie des dispositifs législatifs et réglementaires en vigueur, visant à protéger les consommateurs et à encadrer la cybersécurité dans un environnement numérique en constante évolution.


Besoin de l’aide d’un avocat pour un problème d’escroquerie ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


La nécessité d’une réponse législative adaptée est d’autant plus pressante que le cadre juridique actuel peut parfois apparaître insuffisant face à la rapidité d’adaptation des cybercriminels et à la complexité croissante des techniques utilisées.

Dans un second temps, nous nous attacherons à explorer les stratégies de prévention et de protection susceptibles d’être mises en œuvre à différents niveaux — individuel, organisationnel et institutionnel. Il est essentiel d’éduquer les utilisateurs sur les risques associés au quishing, de promouvoir des comportements prudents et de développer une culture de la cybersécurité. La sensibilisation du public, l’instauration de mesures de sécurité adéquates et la collaboration entre les acteurs du secteur privé et public sont autant de leviers sur lesquels il conviendra de s’appuyer pour atténuer cette menace.

Enfin, il sera pertinent d’examiner les perspectives d’avenir en matière de lutte contre le quishing, en tenant compte des évolutions technologiques à venir, ainsi que des défis juridiques que ces changements pourraient engendrer. Dans un contexte où la technologie continue de progresser à un rythme effréné, il est impératif de rester vigilant et proactif face aux nouvelles formes de cybercriminalité, afin de garantir la sécurité des données et la protection des droits des individus dans le monde numérique.

Ainsi, cette étude vise à fournir une compréhension exhaustive du phénomène du quishing, tout en proposant des pistes concrètes pour sa prévention et sa lutte effective. Ce faisant, nous espérons contribuer à l’élaboration d’un cadre juridique et pratique robuste, capable de faire face aux défis posés par cette menace croissante et de protéger les citoyens dans un univers numérique de plus en plus complexe et interconnecté.

I. Le fonctionnement du quishing : Mécanismes et méthodes d’attaque

Le quishing, en tant que technique de cyberattaque, repose sur une méthodologie précise, qui exploite les caractéristiques des QR codes pour tromper les utilisateurs.

A. La création et la distribution des QR codes malveillants

Les cybercriminels commencent par générer un QR code qui, sous des apparences innocentes, renvoie vers une URL malveillante. Cette URL est souvent conçue pour imiter des sites légitimes, tels que des plateformes bancaires, des services de paiement en ligne ou des réseaux sociaux. La crédibilité de ces sites est renforcée par des éléments visuels familiers, rendant la fraude d’autant plus convaincante.

Une fois le QR code créé, sa distribution s’effectue par divers moyens. Les canaux électroniques, tels que les courriels, les réseaux sociaux ou les applications de messagerie, sont couramment utilisés.

Parallèlement, les QR codes peuvent également être placés stratégiquement sur des supports physiques, tels que des affiches dans des lieux publics, des bornes de stationnement ou des tables de restaurant. Cette omniprésence rend les utilisateurs plus enclins à scanner ces codes, souvent sans prendre le temps de réfléchir à leur provenance.

B. La redirection vers des sites malveillants : Techniques d’hameçonnage

Le quishing, ou phishing basé sur des QR codes, représente une menace croissante dans le paysage numérique actuel. En exploitant la facilité d’accès et la confiance que les utilisateurs accordent à ces codes, les cybercriminels parviennent à rediriger les victimes vers des sites malveillants. Une fois le QR code scanné, l’utilisateur est souvent conduit vers une façade trompeuse d’un site légitime, où de nombreuses techniques d’hameçonnage sont mises en œuvre.

  1. Construction de sites web imitant des plateformes légitimes

Les sites malveillants sont soigneusement conçus pour ressembler à des plateformes de confiance, telles que des banques, des services de paiement ou des comptes de réseaux sociaux. Les cybercriminels investissent du temps et des ressources pour créer des copies presque parfaites de ces sites, en utilisant des logos, des couleurs et des mises en page familières. Cela augmente la probabilité que les utilisateurs, en état de confiance, fournissent leurs informations personnelles.

  1. Collecte d’informations personnelles

Une fois sur un site frauduleux, l’utilisateur est souvent confronté à des formulaires lui demandant de fournir des informations sensibles. Les cybercriminels peuvent utiliser des techniques de persuasion, telles que des messages d’urgence ou des alertes de sécurité, pour inciter les utilisateurs à agir rapidement sans réfléchir. Par exemple, un message indiquant que le compte de l’utilisateur a été compromis peut le pousser à réinitialiser son mot de passe sur le site malveillant, révélant ainsi des informations critiques.

  1. Téléchargement de logiciels malveillants

Dans certains cas, les sites malveillants incitent les utilisateurs à télécharger des applications ou des logiciels. Ces téléchargements peuvent contenir des logiciels espions, des chevaux de Troie ou d’autres types de malwares. Une fois installés, ces programmes peuvent accéder aux données personnelles de l’utilisateur, surveiller ses activités en ligne ou même prendre le contrôle de son appareil à distance. Cela expose non seulement l’utilisateur à des pertes financières, mais également à des atteintes à sa vie privée.

  1. Techniques de manipulation psychologique

Les cybercriminels exploitent des techniques de manipulation psychologique pour maximiser l’efficacité de leurs attaques. Par exemple, ils peuvent utiliser le principe de la rareté en affirmant qu’une offre spéciale est disponible pour une durée limitée, incitant ainsi les victimes à agir rapidement. De plus, des éléments de design tels que des compteurs de temps ou des alertes de sécurité peuvent créer un sentiment d’urgence, réduisant la capacité de l’utilisateur à évaluer la situation de manière rationnelle.

  1. Le rôle de la confiance et de la familiarité

La facilité avec laquelle les utilisateurs peuvent scanner des QR codes et accéder à des sites web contribue à la vulnérabilité face à ces attaques. En effet, le simple fait de scanner un code est souvent perçu comme une action anodine et sécurisée. Cette confiance aveugle dans la technologie, couplée à un manque de sensibilisation sur les méthodes utilisées par les cybercriminels, rend les utilisateurs particulièrement susceptibles aux attaques de quishing.

II. Les enjeux du quishing : Risques et mesures de prévention

Face à cette menace croissante, il est essentiel d’analyser les divers enjeux liés au quishing et d’élaborer des stratégies de prévention efficaces.

A. Les risques associés au quishing

Les conséquences d’une attaque de quishing peuvent être désastreuses, tant sur le plan individuel que collectif. Au niveau personnel, les utilisateurs ciblés peuvent subir la perte de données sensibles, comme des informations bancaires, des mots de passe ou des documents d’identité. Cette perte peut entraîner des problèmes financiers significatifs, notamment des fraudes sur des comptes bancaires ou des cartes de crédit, ainsi qu’une usurpation d’identité. Les victimes de quishing peuvent également faire face à des atteintes à leur vie privée, car les informations recueillies peuvent être utilisées à des fins malveillantes, telles que le harcèlement ou le chantage.

Les répercussions pour les entreprises sont tout aussi préoccupantes. En plus de la perte directe de données, une attaque de quishing peut entraîner une perte de confiance des clients.

Les consommateurs, de plus en plus informés des risques liés à la sécurité numérique, sont susceptibles de se détourner d’une entreprise qui ne protège pas adéquatement leurs informations personnelles. Cette perte de confiance peut se traduire par une diminution des ventes et une dégradation de la réputation de la marque. En outre, les conséquences juridiques d’une attaque de quishing peuvent être sévères. Les entreprises sont tenues de respecter des réglementations strictes en matière de protection des données, comme le Règlement Général sur la Protection des Données (RGPD) en Europe.

En cas de fuite de données sensibles, elles pourraient être exposées à des sanctions financières importantes, voire à des poursuites judiciaires. Cela peut également entraîner des audits de sécurité coûteux et une nécessité de mise en conformité rapide, impactant encore davantage les ressources de l’entreprise.

Les conséquences d’une attaque de quishing ne se limitent pas à des pertes financières immédiates. Elles peuvent également engendrer des effets à long terme sur la confiance dans les systèmes numériques. À mesure que les incidents de sécurité se multiplient, les utilisateurs peuvent devenir plus réticents à partager des informations en ligne, ce qui pourrait freiner l’innovation et la croissance dans le secteur numérique.

En fin de compte, la menace du quishing constitue un risque systémique qui affecte non seulement les individus et les entreprises, mais également l’économie numérique dans son ensemble.

B. Mesures de prévention et de protection contre le quishing

La prévention du quishing repose sur plusieurs axes, allant de la sensibilisation des utilisateurs aux mesures techniques visant à sécuriser l’accès aux QR codes.

  1. Vérification des sources : L’une des premières mesures de précaution consiste à vérifier l’origine du QR code avant de le scanner. Les utilisateurs doivent être formés à reconnaître les signes d’une fraude potentielle. Par exemple, un QR code placé dans un contexte inhabituel, tel qu’une affiche sur un distributeur automatique, ou un code qui semble déplacé dans un cadre professionnel, doit éveiller la méfiance. En cas de doute sur la légitimité d’un QR code, il est toujours préférable de ne pas le scanner.
  2. Utilisation d’applications de sécurité : Plusieurs applications de scan de QR codes intègrent des fonctionnalités de sécurité qui permettent de vérifier l’URL avant de l’ouvrir. En optant pour ces outils, les utilisateurs peuvent se prémunir contre les redirections vers des sites malveillants. Il est conseillé d’utiliser des applications réputées et régulièrement mises à jour pour garantir un niveau de sécurité optimal.
  3. Éducation et sensibilisation : La sensibilisation des utilisateurs est cruciale dans la lutte contre le quishing. Les entreprises et organisations doivent mettre en place des programmes de formation visant à informer leurs employés des risques liés à l’utilisation des QR codes. Des ateliers, des séminaires et des campagnes de communication peuvent contribuer à renforcer la vigilance des utilisateurs face à cette menace.
  4. Mise en place de protocoles de sécurité : Les entreprises doivent également adopter des politiques de sécurité robustes concernant l’utilisation des QR codes. Cela peut inclure des vérifications régulières des codes utilisés dans le cadre de leurs opérations, ainsi que la mise en place de procédures pour signaler et gérer les incidents de quishing. De plus, il est essentiel d’intégrer des mesures de sécurité dans les systèmes d’information afin de détecter et de prévenir les accès non autorisés.
  5. Suivi et mise à jour des informations : Les cybercriminels adaptent constamment leurs méthodes d’attaque, il est donc essentiel que les utilisateurs et les entreprises restent informés des dernières tendances en matière de quishing. Suivre les actualités liées à la cybersécurité et mettre à jour régulièrement les outils de protection peut aider à anticiper et à contrer les nouvelles formes d’attaques.

Pour lire un article plus complet sur le quishing, cliquez

Sources :

1 Comment éviter l’arnaque du quishing ? (haas-avocats.com)
2 Le « quishing » : l’hameçonnage par QR code – Assistance aux victimes de cybermalveillance
3 Qu’est-ce que le quishing ? | Cloudflare
4 Cour de cassation, criminelle, Chambre criminelle, 16 février 2010, 09-81.492, Publié au bulletin – Légifrance (legifrance.gouv.fr)
5 Cour de cassation, criminelle, Chambre criminelle, 23 mai 2023, 22-86.738, Inédit – Légifrance (legifrance.gouv.fr)

LA PROTECTION DU LOGICIEL PAR LE DROIT D’AUTEUR

11Le logiciel occupe aujourd’hui une place importante de l’économie numérique, en effet, celui-ci est embarqué dans de nombreuses machines, il est devenu indispensable. C’est pourquoi il est apparu nécessaire de savoir quelle protection était accordée au logiciel, or la réponse à cette question n’était pas évidente, puisque l’on pouvait hésiter entre une protection accordée via le droit des brevets, le droit d’auteur, ou encore créer un régime propre au logiciel. C’est finalement la protection par le droit d’auteur qui a été choisie.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le Code de la propriété intellectuelle n’apporte pas de définition arrêtée en la matière, mais la Commission de terminologie française a apporté des précisions quand au terme de logiciel, dans des travaux publiés au journal officiel du 17 janvier 1982. Ainsi, le logiciel est un ensemble de programmes, procédés et règles, et éventuellement de la documentation, relatif au fonctionnement d’un ensemble de traitement de données.

Un logiciel est un produit actif qui se caractérise principalement par ses fonctionnalités, ou sa structure externe, alors qu’un programme informatique se caractérise par sa structure interne et peut ne consister qu’en un listing de données. La loi française est une des rares avoir opté pour le terme de « logiciel », alors que les législations étrangères (Royaume-Uni, Japon, Allemagne ou les États-Unis) ont préféré celui de « programme informatique ». La directive européenne, qui vise les programmes d’ordinateur, pose dans son préambule que le terme « programme d’ordinateur » comprend les travaux préparatoires de conception du logiciel aboutissant, ainsi, au développement d’un programme, à condition qu’ils soient de nature à permettre la réalisation d’un programme à un stade ultérieur.

Dans un arrêt en date du 6 octobre 2021, la Cour de justice de l’Union européenne (CJUE, 6 oct. 2021, no C-13/20), a précisé la possibilité pour un acquéreur de programme d’ordinateur d’effectuer une décompilation de tout ou partie de celui-ci pour corriger des erreurs affectant son fonctionnement, y compris dans la situation où la correction implique la désactivation d’une fonction perturbant le bon fonctionnement de l’application contenant le programme. (12)

On sait, par ailleurs, que le droit d’auteur recoupe l’ensemble des droits moraux et patrimoniaux dont dispose l’auteur d’une « œuvre de l’esprit » (de sa création, somme toute) sur celle-ci. Le Code de la propriété indique cette fois-ci, en son article L112-2, les œuvres encadrées par la protection accordée par le droit d’auteur, parmi lesquelles on compte les logiciels.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


En France, le logiciel est protégé par le droit d’auteur, même si le législateur hésitait entre la protection par le droit des brevets, une protection par le droit d’auteur, ou une protection par un droit intellectuel spécifique. En effet, le logiciel fait appel à plusieurs notions. D’abord, à des notions de brevets par son aspect technique, ensuite au droit d’auteur, en ce qu’il constitue une œuvre du langage. Même si le législateur a choisi le droit d’auteur pour assurer la protection du logiciel, celui-ci a été adapté au logiciel de façon à appréhender l’aspect technique de la notion de logiciel.

I / Le choix de la protection par le droit d’auteur

A / Les raisons de l’exclusion du droit des brevets

En France, le débat a été tranché dès 1968 avec l’adoption de la loi du 2 janvier 1968 qui expliquait le refus de l’application du droit des brevets au logiciel par son inaptitude à remplir le caractère industriel exigé pour les inventions brevetables.

En effet, pour qu’une invention soit brevetable, elle doit remplir plusieurs conditions cumulatives, à savoir : une invention nouvelle, une invention impliquant une activité inventive, une invention licite, et enfin, une invention susceptible d’application industrielle. En vertu de l’article L. 611-15 du code la propriété intellectuelle, une invention est considérée comme susceptible d’application industrielle si son objet peut être fabriqué ou utilisé dans tout genre d’industrie, y compris l’agriculture.

Par ailleurs, le législateur a opté de ne pas choisir la protection par le droit des brevets pour des motifs économiques et techniques. Il craignait que les États Unis inondent le marché français de demande de brevet et qu’ils bloquent ainsi la recherche française. En somme, les praticiens auraient eu plus de difficulté à apprécier l’état de la technique antérieure en matière de logiciel.

Toutefois l’exclusion de brevetabilité n’est pas absolue. En effet l’article L 611-10 CPI n’exclut le logiciel de la brevetabilité « qu’en tant que tel ». Cela signifie que le logiciel ne peut pas être déposé que s’il est revendiqué en tant que tel, mais qu’il devient brevetable lorsqu’il est intégré à une invention plus globale.

Ainsi, bien qu’un algorithme ou un logiciel ne soit pas brevetable, en tant que tel, il le devient s’il constitue une étape importante dans un processus industriel et/ou dans le fonctionnement d’un système. Ce principe a été consacré, en matière de logiciel, dans l’arrêt rendu par la cour d’appel de Paris dans l’affaire « Schlumberger ».

La loi exclut donc de la brevetabilité les logiciels en tant que tels et non les machines ou les systèmes, dont une ou plusieurs étapes sont mises en œuvre par un logiciel, comme le précisent les directives de l’Office européen des brevets (OEB).

Enfin l’avantage de la protection par le droit d’auteur est que celle-ci est acquise sans aucune formalité de dépôt, contrairement au brevet qui implique un dépôt entraînant un certain coût, soit auprès de l’Institut national de la propriété intellectuelle, soit auprès de l’Office européen des brevets (OEB).

B / La notion de logiciel

Il faut se référer à la jurisprudence pour délimiter les contours de la notion de « logiciel ». Du point de vue technique le logiciel se définit comme un processus comprenant deux phases, à savoir une phase d’analyse et une phase de programmation. La phase de programmation consiste enfin à rédiger des instructions dans un langage informatique, ce qui se concrétise par le passage du code source au code objet, qui permet de passer à une version automatisable par l’ordinateur de la solution donnée.

On distingue le logiciel d’application du logiciel d’exploitation. Leur différence tient dans leur nature et leur fonctionnalité. En effet, le logiciel d’exploitation permet l’utilisation et organise le fonctionnement de la machine, tandis que le logiciel d’application ne sera qu’une fonctionnalité incluse dans l’ordinateur, sachant qu’il doit être compatible avec le logiciel d’exploitation et avec l’ordinateur sur lequel il sera installé.

II / L’adaptation du droit d’auteur au logiciel

A / Les éléments du logiciel protégeables par le droit d’auteur

Selon un célèbre adage attribué à Henri Debois, « les idées sont par essence et par destination de libre parcours ». Les idées doivent librement circuler dans nos esprits. L’exclusion de la protection des idées se justifie par la volonté de ne pas bloquer la création ni entraver la libre concurrence. Or certains éléments du logiciel sont assimilés aux idées (les algorithmes et les fonctionnalités du logiciel).

Toutefois, il convient de noter que la Cour de Justice de l’Union européenne a précisé, dans une décision, que « ne sont pas protégeables des fonctionnalités de logiciel (CJUE, SAS Institue c/ World Programming).

Un des éléments protégeables par le droit d’auteur est d’une part le matériel de conception préparatoire. L’article L 111-2 du CPI dispose en effet que la protection est accordée au logiciel y compris son matériel de conception préparatoire. Cela recouvre l’ensemble des travaux de conception aboutissant au développement d’un programme de nature à constituer un logiciel à un stade ultérieur. C’est dans ce concept de « matériel de conception préparatoire » que se situent les analyses fonctionnelles et organiques, qui sont donc protégées.

Le deuxième élément du logiciel protégé est son programme. Les programmes recouvrent le code source et le code objet du logiciel. Par programme source, on entend la liste des instructions qui composent le logiciel. Pour déterminer s’il y a contrefaçon d’un programme source, les experts le comparent avec celui du logiciel contrefaisant afin d’établir le nombre de lignes identiques des deux programmes.

Concernant le programme objet, la jurisprudence n’a jamais douté de l’application du droit d’auteur aux programmes objet, c’est-à-dire à l’enregistrement ou à la transcription en code binaire, sur bande, disque ou disquette magnétiques ou à l’intérieur d’une mémoire de type « ROM », du programme source d’un logiciel. Le droit d’auteur protège le œuvres quelle que soit leur forme, et la doctrine et la jurisprudence française ne voient dans le programme objet qu’une traduction du programme source en langage codé magnétiquement.

Le troisième élément protégé est la documentation d’utilisation. Le statut du cahier des charges, et des informations qu’il contient, est normalement réglés par les dispositions du contrat de développement de logiciel.

Dans un arrêt en date du 6 mars 2024, (Cass. com., 6 mars 2024, no 22-23657,) la chambre commerciale a précisé que lorsqu’un logiciel est mis à disposition par téléchargement accompagné de la conclusion d’un contrat de licence d’utilisation permettant au client d’utiliser cette copie de manière permanente, en contrepartie d’un paiement, cela implique un transfert de la propriété de cette copie. (14)

Mais, même en l’absence de dispositions contractuelles, commets un acte de concurrence déloyale la SSII ou le constructeur qui utilise pour son compte un cahier des charges ou d’autres informations techniques qui lui ont été communiquées par un client dans le cadre de relations contractuelles. Cependant, le réalisateur demeure libre d’utiliser le « savoir-faire général » acquis par l’étude du cahier des charges, mais par prudence, il aura intérêt à le mentionner spécifiquement dans le contrat de commande.

Le quatrième élément du logiciel bénéficiant de la protection est la page-écran. Elle consiste en la manifestation graphique du logiciel, passant par des dessins, des icônes, etc.

Enfin, d’autres éléments du logiciel pouvant faire l’objet d’une protection par le droit d’auteur sont : les interfaces techniques et fonctionnelles, le manuel d’utilisation et documents commerciaux, le titre des logiciels, etc.

B / Les droits moraux et patrimoniaux du créateur

Concernant les droits patrimoniaux, l’article L 122-6 du CPI prévoit trois prérogatives au bénéfice de l’auteur d’un logiciel, à savoir un droit de reproduction, de modification et de mise sur le marché.

La première prérogative, à savoir, le droit de reproduction permet à l’auteur d’avoir un monopole sur la fixation de l’œuvre sur tout support qui en permet la communication au public. Ce droit implique pour l’auteur du logiciel d’être protégé à la fois contre la reproduction permanente de son logiciel, mais aussi contre toute reproduction provisoire.

Le droit de modification permet quant à lui à l’auteur du logiciel de s’opposer à la traduction, l’adaptation, l’arrangement ou toute autre modification de son logiciel. Ces actes nécessitent en effet l’autorisation de l’auteur du logiciel, sous peine d’être déclarés contrefacteur.

Enfin le droit de mise sur le marché est totalement étranger au droit d’auteur classique. Cela signifie que l’auteur dispose du droit de mettre son logiciel sur le marché à titre onéreux ou gratuit. Il existe toutefois une limite à ce droit dans la mesure où la première vente d’un logiciel dans un État membre de la communauté européenne, par l’auteur ou avec son consentement, épuise le droit de mise sur le marché de cet exemplaire dans tous les États membres. Le logiciel étant considéré comme une marchandise, il est logique qu’on lui applique le principe communautaire de libre circulation des marchandises.

La location reste cependant réservée à l’auteur même lorsqu’il y a eu une première vente dans un État membre.

Concernant les droits moraux, là aussi le droit d’auteur s’est adapté au logiciel notamment en paralysant certaines attributions qui font en principe partie des attributions de l’auteur au titre de ses droits moraux. La finalité de la limitation est d’éviter un exercice débridé de ces droits, notamment parce qu’ils sont perpétuels alors que les droits patrimoniaux courent jusqu’à 70 ans après la mort de l’auteur, puisse nuire à la commercialisation des logiciels.

L’auteur du logiciel conserve le droit de divulgation et le droit à la paternité de l’œuvre. Selon un arrêt rendu par la Cour d’appel de Douai, « le droit moral du programmeur, par interprétation a contrario de l’article L. 127-7 du CPI, se réduit en matière de logiciel au droit au nom . ». Cela sous-entend qu’il suffit que le nom de l’auteur soit crédité sur l’écran de l’ordinateur lors de la mise en route du logiciel, pour que son droit au respect soit respecté. Le nom de l’auteur doit donc être mentionné.

Concernant le droit au respect de son œuvre, il est limité dans la mesure où un auteur ne peut pas s’opposer à la modification du logiciel par le cessionnaire des droits patrimoniaux si elle n’est pas préjudiciable à son honneur ou à sa réputation. Ce droit consiste pour l’auteur à pouvoir s’opposer à une dénaturation de son œuvre. En droit d’auteur classique, il n’est pas nécessaire de prouver une atteinte à son honneur ou à sa réputation pour pouvoir invoquer son droit au respect de l’œuvre.

Enfin le droit de retrait, ou droit de repentir, est totalement paralysé en matière de logiciel. Ce droit consiste au fait que l’auteur peut en principe à tout moment décider d’arrêter la divulgation de son œuvre.

III / Protection des logiciels autres que par le droit d’auteur

A – Protection par le droit des dessins et modèles

Un logiciel peut bénéficier de la protection par le droit des dessins et modèles, dans son aspect télévisuel si l’on suit la logique du Livre V du CPI (an. L. 14 juill. 1909). Toutefois, sont exclus de la protection accordée par le Livre V les dessins dont la forme est inséparable de leur fonction par leur fonction. Enfin, ne sont protégés que les dessins « nouveaux » : ainsi, la protection de la loi a été refusée à un jeu vidéo ayant le même aspect télévisuel que des jeux existants antérieurement.

B – Protection des logiciels par le droit des marques

La marque fait l’objet d’une protection autonome qui élargit l’arsenal juridique à la disposition des créateurs de logiciels. Par exemple : en cas de piratage par des distributeurs, il y aura également contrefaçon de marque. Mais le dépôt de la marque ne confère que des droits sur celle-ci et non sur le logiciel lui-même.

C – Protection des logiciels par le droit pénal

L’appropriation frauduleuse d’un logiciel est susceptible de tomber sous le coup d’une large variété de lois pénales (vol, abus de confiance, corruption active ou passive d’employé, violation de secret professionnel, divulgation de secret de fabrique). D’ailleurs, il a déjà été jugé que constituait :

« Le délit de vol prévu par le Code pénal la copie d’un logiciel spécifique par un employé à l’insu de son employeur. »

Dans un arrêt en date du 9 mars 2021, (Cass. crim., 9 mars 2021, no 20-90034) la chambre criminelle a considéré qu’était dénuée de caractère sérieux la question prioritaire de constitutionnalité concernant la conformité de l’article L335-3 alinéa 2 du CPI au principe de légalité des délits et des peines. Cet article dispose : « Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit. » (15)

IV / Sanctions de la contrefaçon de logiciels

L’alinéa 1er de l’article 6 de la directive européenne sur la protection juridique des programmes d’ordinateur dispose que : « Le fait d’importer, de posséder ou de prendre en charge une copie illicite d’un programme d’ordinateur en sachant ou en ayant de bonnes raisons de croire qu’il s’agit effectivement d’une copie illicite constitue une infraction aux droits exclusifs de l’auteur sur ce programme. »

En matière pénale, la contrefaçon est punie par l’article L. 335-2 du CPI qui, depuis la loi du 29 octobre 2007, prévoit une peine d’emprisonnement de trois ans et 300 000 euros d’amende.

En matière civile, le contrefacteur peut être condamné non seulement à la confiscation des logiciels contrefaits, à celui du matériel utilisé pour la contrefaçon, à la publication du jugement dans diverses revues professionnelles, mais surtout au paiement de dommages et intérêts destinés à compenser le préjudice subi.

L’attribution de dommages et intérêts est généralement effectuée d’une manière stricte, sur le fondement du gain manqué ou de la perte du chiffre d’affaires, compte tenu des éléments commerciaux fournis par le demandeur.

Dans un arrêt en date du 8 décembre 2023 (CA Paris, P. 5, ch. 2, 8 déc. 2023, no 21/19696), la cour d’appel de Paris a précisé que l’éditeur d’un logiciel peut agir en contrefaçon contre son cocontractant pour bénéficier des garanties de la directive 2004/48/CE du 29 avril 2004 tenant à l’évaluation des dommages et intérêts et à la saisie réelle des marchandises prétendument contrefaisantes. (13)

Pour lire une version plus complète de cet article sur la contrefaçon de logiciel, cliquez

Sources :

  1. Le Stanc, « Exclusions de brevetabilité règles relatives au logiciel » J.-cl. brevets, fasc. 155 J.-P. Martin, « La < protection > des < logiciels > informatiques : droit d’auteur ou brevet d’invention ?
  2. CA Paris, 4e ch., 15 juin 1981
  3. 3 juin 1986, no 84-16.97
  4. CA Douai, 1re ch., 1er juill. 1996, PIBD 1993, III, 129 qui alloue l’équivalent de 3 000 euros pour l’atteinte portée au droit au nom de l’auteur.
  5. corr. Nanterre, 15e ch., Coreland c/ Fama
  6. TGI Paris, 3e ch., 9 mars 1984
  7. CA Versailles, 3e ch., 21 avr. 1989, Rigoult c/ Verveer, Juris-data no 43864
  8. -L. Goutal, « La < protection > pénale des < logiciels > », Exp. 1986, no 80, p. 2
  9. TGI Montbéliard, 26 mai 1978, Peugeot c/ X, Exp. 1978.
  10. TGI Paris, 31e ch., 19 mars 1990 GST c/ E., Cah. dr. Auteur 1990
  11. TGI Paris, 3e ch., 13 févr. 1989, Sisro c/ Ampersand, Exp. 1989.
  12. CJUE, 6 oct. 2021, noC-13/20 https://curia.europa.eu/juris/liste.jsf?language=fr&td=ALL&num=C-13/20
  13. CA Paris, P. 5, ch. 2, 8 déc. 2023, no21/19696 https://www.courdecassation.fr/decision/657412aed0916383187adcd2?search_api_fulltext=21/19696&op=Rechercher&date_du=&date_au=&judilibre_juridiction=all&previousdecisionpage=&previousdecisionindex=&nextdecisionpage=0&nextdecisionindex=1
  14. com., 6 mars 2024, no22-23657, https://www.legifrance.gouv.fr/juri/id/JURITEXT000049261474?init=true&page=1&query=22-23.657&searchField=ALL&tab_selection=all
  15. crim., 9 mars 2021, no20-90034 https://juricaf.org/arret/FRANCE-COURDECASSATION-20210309-2090034

 

Intelligence artificielle

Woody Allen l’a dit : « L’intelligence artificielle se définit comme le contraire de la bêtise humaine ». Cette phrase, à moitié pleine d’ironie, cache en réalité un constat indéniable : celui d’une avancée exponentielle en la matière.

La peur que les machines surpassent les hommes, est avec l’intelligence artificielle, une crainte bien réelle. Quand est-il lorsque cette machine crée un dommage ? Qui peut être tenu responsable ?

NOUVEAU ! Pour tenter de faire supprimer un contenu qui pénalise vos droits, vous pouvez utiliser le service d’envoi de lettre de mise en demeure mis en place par le cabinet Murielle-Isabelle CAHEN.

Ces dernières années, l’intelligence artificielle s’est particulièrement développée et a été au cœur de nombreuses avancées. On peut notamment citer un exploit récent réalisé par l’intelligence artificielle AlphaGo créée par la société Deepmind, qui a, en 2016 été capable de batte le champion du monde de Go Lee Sedol. Ce jeu de plateau était pourtant réputé “impraticable” par une machine du fait des innombrables combinaisons possibles.

Le 26 août 2022, une œuvre entièrement générée par une intelligence artificielle a remporté le premier prix de la Colorado State Fair Fine Art Compétition, un concours d’art états-unien. (6)

Même si ces nouvelles technologies fascinent, elles ne sont pas sans risque.


Besoin de l’aide d’un avocat pour un problème d’intelligence artificielle ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien_


C’est donc naturellement qu’un débat autour de l’intelligence artificielle et plus précisément de la détermination du responsable (sur le plan civil comme pénal) dans le cadre d’un dommage causé par l’intelligence artificielle, ne fait pas encore consensus (I), il est pourtant essentiel de trouver une solution à des litiges de plus en plus fréquents (II).

I) Les enjeux du débat sur la responsabilité

Premièrement, nous devons définir précisément l’intelligence artificielle, et de ses différentes déclinaisons (A), pour ensuite se pencher sur la façon la plus pragmatique de définir le responsable en cas de litige (B).

A) L’intelligence artificielle : qu’est ce que c’est ?

Naturellement il convient avant toute chose de définir l’intelligence artificielle. Le terme générique caractérise en effet « l’ensemble de théories et de techniques mises en œuvre en vue de réaliser des machines capables de simuler l’intelligence » .

La paternité du terme d’intelligence artificielle est attribuée à John McCarthy. Ce terme a par la suite été défini par son compère Marvin Lee Minsky comme “la construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour l’instant, accomplies de façon plus satisfaisante par des êtres humains, car elles demandent des processus mentaux de haut niveau […]”.

Cette définition résonne tout particulièrement, en ce que la notion de temporalité y est parfaitement encadrée. « Pour l’instant » : le mot est lâché, et il sonne toujours plus vrai aujourd’hui puisque le progrès scientifique en la matière n’a jamais été aussi rapide et d’actualité.

La proposition de Règlement « législation de l’IA » de 2021 défini le système d’intelligence artificielle comme un « logiciel qui est développé au moyen dune ou plusieurs des techniques et approches énumérées à lannexe I et qui peut, pour un ensemble donné dobjectifs définis par lhomme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ». (7)

Le propre de l’intelligence artificielle est d’emmagasiner de nombreuses connaissances et de constituer une base sur laquelle se fonder pour réaliser les tâches demandées, grâce à ses interactions avec l’environnement et son « expérience ».

« Tay », l’intelligence artificielle de Microsoft, est un « chatbot » qui fut lancée par l’entreprise sur le réseau Twitter et répondant parfaitement à cette définition en ce que sa mission consistait à discuter avec les internautes en s’inspirant du langage, du savoir et du comportement de ces derniers à son égard.

Pour autant, les concepteurs retirèrent du réseau le programme, après que celui-ci ait tenu des propos racistes et diffamatoires à l’encontre de la communauté, qui s’amusait à tester ses limites en faussant son apprentissage.


Besoin de l’aide d’un avocat pour un problème d’intelligence artificielle ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien_


L’intelligence artificielle se caractérise par le stockage de vastes quantités de connaissances et, par son interaction avec l’environnement et son «expérience», constitue la base pour l’exécution des tâches requises.

Le Parlement européen, dans une résolution en date du 12 février 2019 sur « la politique industrielle européenne globale sur l’intelligence artificielle et sur la robotique », tente de définir la notion d’IA et le régime juridique qui doit lui être applicable. Le Parlement abandonne l’idée de donner à l’intelligence artificielle une personnalité juridique et vient plus observer les conséquences de l’intelligence artificielle sur le régime de responsabilité civile, par exemple. En effet, le droit de la responsabilité civile doit être adapté pour « tenir compte de l’intelligence artificielle et de la robotique ».

Dans un projet de règlement sur l’IA présenté en avril 2021, l’Union européenne vient confirmer cette position et refuse d’accorder la personnalité juridique à l’IA.

Ce projet apporte tout de même un certain cadre juridique. Il est prévu plusieurs niveaux d’intelligence artificielle selon les risques de cette dernière sur l’humain. Le premier niveau correspond aux IA avec un risque inacceptable. Ces IA sont interdites en raison de leur système qui pourrait par exemple « manipuler les personnes au moyen de techniques subliminales afin de modifier leur comportement ce qui causerait un préjudice à la personne ou un tiers ». Ce type d’IA concerne également le scoring social portant une atteinte disproportionnée à la liberté des personnes.

Le second niveau concerne les IA avec un risque élevé. Elles sont autorisées, mais elles doivent s’accompagner de mesures importantes pour démontrer que cette IA est bien conforme aux mesures de sécurité imposées en raison du niveau élevé de risque. Le troisième niveau est l’IA à faible risque, elle devra respecter un guide de conduite. Le dernier niveau concerne les IA à risques minimes qui ne font l’objet d’aucune exigence.

Le Parlement européen et le Conseil de l’Union européenne ont trouvé un accord sur le texte du projet de loi le 8 décembre 2023. Le 13 mars dernier, les députés européens ont approuvé ce texte par 523 votes pour 46 contre et 49 abstentions, faisant de cette proposition la première loi sur l’intelligence artificielle dans le monde. Le règlement est actuellement en phase de vérification finale par un expert en droit et linguistique, avant son adoption officielle par le Conseil. (8)

B) Comment déterminer un responsable ?

Par définition, et comme l’affirment certains, « la responsabilité civile du fait d’un individu ou d’une chose est inhérente à l’action humaine […] Seul l’individu est responsable de ses décisions conduisant aux actes et aux conséquences malencontreuses induites par la faillibilité humaine » .

Dès lors, la responsabilité du fait des choses place aujourd’hui l’objet sous la garde de celui qui en dispose par un pouvoir d’usage, de direction et de contrôle, et responsabilise donc ce dernier lorsque l’objet en question se trouve impliqué dans le fait dommageable.

Une telle réflexion pose problème, en effet, bien qu’elle s’applique parfaitement à toutes sortes d’objets, elle n’est pas adaptée à l’intelligence artificielle, car par définition, l’homme n’a pas (pleinement, du moins) les pouvoirs précités.

Le problème d’une telle réflexion, c’est qu’elle s’applique parfaitement à toute sorte d’objets, mais pas vraiment à l’intelligence artificielle sur lequel, par définition, l’homme n’a pas (pleinement, du moins) les pouvoirs précités.

L’intelligence artificielle, amenée à fonctionner de manière autodidacte, conserve naturellement cette part d’indétermination et d’imprévisibilité qui met en péril une telle responsabilisation de l’homme.

Stéphane Larrière affirme très justement que : « Dès lors, l’homme laisse la main à l’intelligence artificielle dans l’exercice de ses facultés augmentées par ce complément cognitif : il se réalise alors une sorte de délégation conférée à la machine pour décider et faire à sa place ».

Par conséquent, le régime qui semble être le plus favorable est celui de la responsabilité sans faute, celle du fait d’autrui, celle “permettant d’imputer les frais du dommage à celui qui était le mieux placé, avant le dommage, pour contracter l’assurance destinée à garantir le risque” (G. Viney, Introduction à la responsabilité, Traité de droit civil, LGDJ 2008, p.40).

Néanmoins, au vu de la multitude de cas possibles, cette détermination n’est pas des plus aisée.

Le rapport de la Commission européenne portant sur les conséquences de l’intelligence artificielle, de l’internet des objets et de la robotique sur la sécurité s’est attelé à la question de la responsabilité. La Commission retient que « bien que la directive sur la responsabilité du fait des produits donne une définition large de la notion de produit, celle‑ci pourrait être précisée pour mieux traduire la complexité des technologies ». Par conséquent, la Commission européenne considère qu’en matière d’intelligence artificielle,  le régime de la responsabilité du fait des choses n’a pas à s’appliquer.

Une proposition de nouvelle directive sur la responsabilité du fait des produits défectueux a été adoptée le 28 septembre 2022. La commission européenne, qui en est à l’origine, a fait le constat que le régime de responsabilité du fait des produits née de la directive 85/374 de 1985, n’est plus adapté pour les produits complexes tels que l’IA. Elle tente alors de modifier ce régime, notamment en restreignant le champ d’application des victimes, et en étendant celui des responsables. (9)

II) Un débat de plus en plus fréquent

Si les accidents liés aux voitures autonomes sont fréquents ces derniers temps (A), ne sont pas à exclure les risques liés aux autres formes d’intelligences artificielles (B).

A) Le cas des voitures autonomes

La détermination d’une telle responsabilité est un débat que l’actualité place régulièrement sur le devant de la scène médiatique, et souvent pour le pire. C’est le secteur de l’automobile qui en fait les frais aujourd’hui ; deux accidents auront marqué les esprits ces dernières semaines.

Le premier, survenu le 19 mars dernier en Arizona, concerne l’entreprise Uber. Suite à des tests sur la voie publique, l’un de ses modèles autonomes a percuté un piéton, décédé par la suite de ses blessures.

Le système de l’automobile mis en cause, n’ayant pas activé le système de freinage avant l’impact, a contraint la société de suspendre ses activités dans le domaine . Pour autant, celle-ci soutient que l’automobiliste est à mettre en cause dans l’affaire.

Le deuxième accident récent concerne cette fois-ci Tesla et son modèle X, au volant de laquelle est décédé un conducteur 4 jours après le drame précédent.

Encore une fois, l’autopilote se trouve au cœur des débats, et si la famille de la victime accuse l’entreprise, celle-ci se dédouane de toute responsabilité en soulignant que la victime « n’avait pas les mains sur le guidon au moment de l’accident », et contre toute indication de la voiture l’invitant à prendre de telles mesures.

Le 12 février 2019, le Parlement européen a rendu une résolution dans laquelle elle vient aborder la question des voitures automatiques en disposant que « la prévalence de véhicules autonomes présentera des risques […] de défaillances techniques et va transférer à l’avenir la responsabilité du conducteur vers le fabricant, imposant aux compagnies d’assurances de modifier la manière dont elles intègrent le risque dans leur souscription ».
Ces affaires mettent en lumière tout l’enjeu de l’autonomie de l’intelligence artificielle face au pouvoir de contrôle du conducteur sur la chose, dans la détermination du responsable du fait dommageable.

Le 14 avril 2021, une ordonnance est venue prévoir un nouveau régime de responsabilité pénale applicable pour les véhicules à délégation de conduite. Par la suite, le gouvernement a précisé par décret le 29 juin 2021  les modalités d’application de l’ordonnance.

L’article 123-1 du Code de la route prévoit désormais que la responsabilité pénale du conducteur ne sera pas retenue dans le cas où l’infraction commise serait le résultat d’une manœuvre d’un véhicule dont les fonctions sont totalement déléguées à un système automatisé, si, au moment des faits ce système exerçait le contrôle dynamique du véhicule.

L’article 123-2 de ce même Code prévoit en revanche que la responsabilité pénale du constructeur sera quant à elle retenue. Le constructeur est tenu responsable des atteintes involontaires à la vie et à l’intégrité des personnes. Sa responsabilité sera retenue, si l’existence d’une faute est établie au moment où l’IA exerçait le contrôle dynamique du véhicule. Également,  dès lors qu’il y a un défaut de conception, le constructeur sera tenu responsable.

Pendant la session plénière à Strasbourg le 15 janvier 2018, le député néerlandais Win Van de Camp, membre du parti démocrate-chrétien, a présenté un rapport d’initiative sur la conduite autonome qui a été soumis au vote durant une session plénière à Strasbourg. (10)

B) D’autres risques potentiels à envisager

Il existe également d’autres circonstances ou les questions de responsabilité civile ou pénale se posent.

L’exemple de l’intelligence artificielle “Tay” qui a déjà été cité laisse penser que l’on pourrait voir un jour survenir un litige portant sur des propos dénigrants, voir du harcèlement avec pour origine de ces délits, l’intelligence artificielle.

Il faut également se questionner sur les assistants personnels intelligents comme Siri, Alexa, ou encore Google Home, définis comme des  “agents logiciel qui peuvent effectuer des tâches ou des services pour un individu” .

L’utilisation quotidienne qui est faite de ces technologies par leur propriétaire repose sur le fait d’effectuer des actions simples (lancer une playlist, envoyer un message ou encore passer un appel). Cependant, ces assistants personnels intelligents peuvent aussi  être utilisés pour effectuer des recherches plus complexes, avec degré d’importance de la réponse qui peut varier, et par conséquent avoir un impact plus ou moins grave en cas d’erreur.

Une actualité récente démontre bien ces risques. En effet, en décembre 2021, c’est l’assistant vocal d’Alexa qui s’est retrouvé au cœur d’une polémique. Ce dernier a dû faire l’objet d’une mise à jour d’urgence par Amazon. Un enfant avait demandé à Alexa de lui proposer des défis à réaliser. L’assistant intelligent d’Amazon a proposé à l’enfant de jouer avec une prise électrique.

Bien que l’enfant se porte bien aujourd’hui, cette affaire force à se poser des questions quant à la responsabilité des assistants personnels intelligents.

Ces technologies vont être utilisées dans des domaines tels que le médical par exemple qui ne laisse pas de place à l’erreur. La question sur la détermination d’un responsable pourrait se poser, dans le cas où la machine apporterait un résultat erroné à un calcul. Mais la question est complexe, car bien souvent, de toute façon, ce calcul n’était pas réalisable par l’Homme.

L’ONU a adoptée une première résolution sur l’intelligence artificielle le 21 mars 2024. Celle-ci a encouragé l’adoption de normes internationales visant à garantir des outils « sûrs » et respectant les droits humains. (11)

On en revient à cette idée de délégation soulevée plus haut. Reste à savoir quels critères prédomineront en la matière, à mesure des avancées technologies, mais aussi, malheureusement, à mesure de la variété des accidents…

Pour lire une version plus adaptée au mobile de cet article sur l’intelligence artificielle, cliquez

SOURCES :
(1) http://www.larousse.fr/encyclopedie/divers/intelligence_artificielle/187257
(2) http://laloidesparties.fr/responsabilite-ia
(3) G. Viney, Introduction à la responsabilité, Traité de droit civil, LGDJ 2008, p.40
(4) https://www.numerama.com/business/336940-uber-suspend-ses-activites-dans-la-voiture-autonome-apres-un-mort.html
(5) https://fr.wikipedia.org/wiki/Assistant_personnel_intelligent
Résolution du Parlement européen du 12 février 2019 sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique
https://www.europarl.europa.eu/doceo/document/TA-8-2019-0081_FR.html
Livre Blanc sur l’intelligence artificielle du 19 février 2020
https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_fr.pdf
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043370894
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000006074228/LEGISCTA000043371833/#LEGISCTA000043371833
(6)  https://www.village-justice.com/articles/prompt-art-intelligence-artificielle-droit-auteur-guide-pratique,43649.html
(7) https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52021PC0206#:~:text=La%20proposition%20%C3%A9tablit%20des%20r%C3%A8gles,%C3%A0%20l’%C3%A9preuve%20du%20temps
(8) https://www.vie-publique.fr/questions-reponses/292157-intelligence-artificielle-le-cadre-juridique-europeen-de-lia
(9) https://www-dalloz-fr.ezpum.scdi-montpellier.fr/documentation/Document?id=NOTE_DZ%2FPRECIS%2FDROITDES-ACTIVITESNUMERIQUES%2F2023%2FPARA%2F1407_1&ctxt=0_YSR0MD1MYSBwcm9wb3NpdGlvbiBkZSBSw6hnbGVtZW50IGzDqWdpc2xhdGlvbiBkZSBs4oCZSUHCoMKneCRzZj1zaW1wbGUtc2VhcmNo&ctxtl=0_cyRwYWdlTnVtPTHCp3MkdHJpZGF0ZT1GYWxzZcKncyRzb3J0PSNkZWZhdWx0X0Rlc2PCp3Mkc2xOYlBhZz0yMMKncyRpc2Fibz1UcnVlwqdzJHBhZ2luZz1UcnVlwqdzJG9uZ2xldD3Cp3MkZnJlZXNjb3BlPUZhbHNlwqdzJHdvSVM9RmFsc2XCp3Mkd29TUENIPUZhbHNlwqdzJGZsb3dNb2RlPUZhbHNlwqdzJGJxPcKncyRzZWFyY2hMYWJlbD3Cp3Mkc2VhcmNoQ2xhc3M9&scrll=DZ%2FPRECIS%2FDROITDES-ACTIVITESNUMERIQUES%2F2023%2FPARA%2F1410
(10) https://www.europarl.europa.eu/topics/fr/article/20190110STO23102/vehicules-autonomes-dans-l-ue-de-la-science-fiction-a-la-realite
(11) https://www.rtl.fr/actu/debats-societe/l-assemblee-generale-de-l-onu-appelle-a-reguler-l-intelligence-artificielle-7900366119

OBJETS CONNECTES ET DONNEES PERSONNELLES

Aujourd’hui, les objets connectés sont partout autour de nous. De notre montre en passant même par notre aspirateur. Ces derniers sont connectés à un réseau de communication et procurent à l’utilisateur un certain confort, néanmoins, ils ne sont pas sans danger face à nos données personnelles. Quelle protection est-elle apportée quant à l’utilisation de nos données personnelles par ces objets connectés ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu  de contrefaçon en passant par le formulaire !

Isaac Asimov décrivait il y a plus de 50 ans « l’ère du tout connecté », les objets connectés en tout genre qu’il avait prédit à l’époque existent presque tous aujourd’hui.

Cependant, un problème alerte, l’utilisation des données personnelles collectée et stockée par les objets connectés. En cause une affaire, l’entreprise DoctorBeet, concepteur de logiciels a dénoncé l’espionnage exercé par un téléviseur LG. En effet, l’entreprise avait remarqué des lorsqu’une publicité s’affichait sur l’écran de la télévision, alors celle-ci collectait les données sur le comportement de l’utilisateur vis-à-vis de cette publicité. De plus, DoctorBeet s’est rendu compte que même après avoir désactivité l’option collecte de données, cette dernière continuait. Les données d’une clé USB branchées à l’ordinateur avaient également fait l’objet d’une collecte. L’entreprise LG a par la suite réalisé une mise à jour de son logiciel.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Cette affaire a donc mis en évidence la problématique de la collecte des données personnelles des utilisateurs par les objets connectés.

La société IoT Analyctics a annoncé dans une étude qu’il y avait environ 12,3 milliards d’objets connectés dans le monde à la fin de l’année 2021. Aujourd’hui, les objets connectés apparaissent sous de nombreuses formes diverses et variées. On retrouve des télévisions, voitures, montres, lunettes, balances, frigidaires connectés et encore bien d’autres. Il  y a environ 10 objets connectés par foyer en 2021.

Également, l’assistant vocal de l’enceinte connectée s’est énormément développé, parmi eux la célèbre Alexa de Google Home ou encore le HomePod d’Apple. L’enceinte connectée est présente dans environ 1 foyer sur 4 aux États-Unis en 2019. La CNIL s’est penchée sur ce sujet et a publié un livre blanc en septembre 2020 sur les assistants vocaux.

Nombreux utilisateurs ne peuvent plus se passer de cette expérience qui parfois facilite leur quotidien. Néanmoins, il convient de rappeler que ces objets connectés utilisent les données personnelles pour pouvoir fonctionner.

Ces données personnelles permettant de personnaliser l’expérience client, également ces données sont envoyées aux entreprises qui récoltent donc des informations sur leurs clients. De nombreuses données de santé sont également récoltées aujourd’hui, avec les balances connectées, les montres ou encore les tensiomètres.

Par conséquent, il convient de se demander si nos données personnelles peuvent tout de même être protégées face à l’invasion des objets connectés dans notre quotidien ?

Il existe de nombreux risques face à l’utilisation des objets connectés (I) qu’il convient d’encadrer pour une utilisation respectant la vie privée des utilisateurs (II).

I. Les risques juridiques relatifs à l’utilisation de ces objets connectés

Les risques pouvant apparaître quant à l’utilisation de ces objets connectés concernent d’une part la surveillance clandestine (A) et d’autre part le traitement des données personnelles (B).

A) Une surveillance clandestine

Comme présentée en introduction, l’affaire de la surveillance de l’utilisateur par la télévision LG a mis sur le devant de la scène une forme de surveillance clandestine. Dès lors que les objets sont connectés à internet, la question de la surveillance voir de l’espionnage se pose.

Ces données intéressent forcément les pirates informatiques. En effet, la société de sécurité Kapersky a révélé dans une étude qu’entre 2018 et 2019, les attaques réalisées par les Hackers ont été multipliées par 9. Ainsi, près de 105 millions d’attaques ont eu lieu envers des objets connectés. Il s’agit d’une cible facile pour les pirates informatiques et la cybercriminalité en général, les objets connectés permettent de surveiller à distance en prenant contrôle de ces derniers. Il a été démontré par des experts informatiques en 2013 qu’il était tout à fait possible de désactiver la fonction de freinage d’une voiture électrique à distance.

Ainsi, ces informations peuvent faire peur, l’utilisation des appareils connectés peut s’avérer dangereuse. Les objets connectés collectent de nombreuses données personnelles telles que la géolocalisation qui sont des informations qui peuvent s’avérer intrusive pour l’utilisateur voir dangereuse tant la vie entière de l’utilisateur peut être collecté.

La société HP avait dès 2014, énoncé qu’environ 70 % des appareils connectés ont des failles de sécurité importantes pouvant permettre aux pirates informatiques de les exploiter facilement.

Également, il est prévu qu’en 2025 il y aura près de 38 milliards d’objets connectés dans le monde.

Selon un sondage réalisé par Havas Media France en 2014, les internautes estimaient que les objets connectés étaient source de progrès (75 %) et facilitent la vie (71 %).

Le développement de ces appareils connectés doit amener à un encadrement plus important.

B) Un traitement des données personnelles

Les objets connectés tels que les montres ou les podomètres collectent de nombreuses données de santé. Celles-ci sont des données personnelles dites sensibles. Par conséquent, la protection apportée à ces données doit être importante.

Ces données peuvent être communiquées à des tiers, notamment des assureurs. Mais les données de santé ne sont pas les seules concernées, les données liées à la géolocalisation doivent également faire l’objet d’une protection importante.

Nombreux sont les objets connectés qui enregistrent notre position géographique, cela a pu s’avérer utile notamment pour les autorités. Dans le cadre des enquêtes ces données peuvent s’avérer très précieuses. En 2019, un meurtrier a pu être retrouvé grâce à un objet connecté qui avait pu fournir aux enquêteurs la géolocalisation du meurtrier. Les enquêteurs en vertu de la loi du 28 mars 2014 sur la géolocalisation peuvent dans le cadre d’une enquête et sous l’autorité du juge avoir recours à « tout moyen technique destiné à la localisation en temps réel » d’une personne, « d’un véhicule ou de tout autre objet ».

Néanmoins, bien que cela puisse s’avérer utile, les données peuvent également se retrouver entre les mauvaises mains. Les cybercriminels ou simplement des personnes malveillantes peuvent utiliser ses données. Ainsi, l’utilisation des objets connectés peut rapidement être détournée.

Par conséquent, dès la conception du produit, les industriels sont soumis à une obligation de sécurité. L’article 226-17 du Code pénal précise que le non-respect de cette obligation porté à tout traitement de données à caractère personnel sera sanctionné. Il est prévu 5 ans d’emprisonnement et 300 000 euros d’amende. Pour une personne morale, l’amende peut être portée à 1,5 million d’euros.

II- La protection juridique relative à l’utilisation de ces objets connectés

La CNIL, autorité indépendante compétence en la matière exerce un contrôle (A) mais expose également des recommandations (B).

A) Le contrôle de la CNIL

Rapidement, la CNIL a pris en considération ce sujet. En 2009, elle a publié un article sur l’internet des objets. Dans cet article, la CNIL a rappelé les enjeux du développement de ce secteur, mais a surtout mis en avant la nécessité de toujours protéger la vie privée des utilisateurs en protégeant leurs données personnelles.

Les données personnelles sont soumises à la loi informatique et liberté modifiée en 2018 pour prendre en compte le règlement général de la protection des données européen.

Une donnée personnelle se définit comme « « toute information se rapportant à une personne physique identifiée ou identifiable » peu importe qu’elle puisse être identifiée directement ou indirectement.

Certaines données dites sensibles telles que les données de santé sont soumises à une protection renforcée.

Néanmoins, dès lors que l’utilisateur consent, cela  permet d’autoriser les traitements de nombreuses données personnelles. Le traitement sera alors licite ayant reçu le consentement de la personne concernée. Parfois, le traitement sera licite en raison de la bonne exécution du contrat, et ce, sans le consentement express de la personne. C’est le cas pour les réseaux sociaux, en s’inscrivant vous consentez implicitement à fournir vos données personnelles pour pouvoir créer votre compte. Si vous ne voulez pas que vos données soient récoltées, vous devrez vous abstenir de vous inscrire.

Toutefois, le responsable de traitement doit s’assurer que les principes du RGPD sont respectés (licéité du traitement, base légale de traitement, durée, finalité, proportionnalité, pertinence).

La CNIL a rappelé dans un guide pratique publié en novembre 2020 que les assistants vocaux utilisés dans le cadre professionnel doivent respecter tous les principes imposés par le RGPD pour tout traitement de données personnelles.

B) Les recommandations de la CNIL

La CNIL informe régulièrement les utilisateurs sur les dangers auxquels ils peuvent être exposés sur internet et sur la protection de leurs données personnelles.

Elle a donc publié un guide en 2017 pour fournir des recommandations quant à l’utilisation des objets connectés.

Elle a notamment recommandé de manière générale à :

Vérifier les différentes connexions liées à vos objets connectés pour s’assurer que personne d’autre n’est connecté ; Changer régulièrement les mots de passe ou les codes PIN de vos appareils et ne jamais garder ceux fournis par défaut ; Vérifier que vos téléphones ainsi que vos tablettes demandent un mot de passe pour les déverrouiller et s’assurer que le réseau WIFI est correctement protégé ; Désactiver les partages automatiques de données entre vos objets connectées et vos réseaux sociaux s’ils sont liés ; Faire attention à vos données de santé ; Vérifier que vous avez toujours un accès à vos données et que celles-ci puissent faire l’objet d’une suppression ; Enfin, éteindre les objets connectés que vous n’utilisez pas.

La CNIL fournit d’autres recommandations pour les objets connectés qui nécessitent pour fonctionner d’ouvrir un compte en ligne :

Utiliser si possible des pseudonymes et ne pas fournir de manière générale votre véritable identité ; Donnez le moins information que possible ; Utiliser des adresses mail différentes pour vos différents objets connectés ; Toujours sécuriser les accès à ces comptes avec des mots de passe différents pour chaque objet connecté.

Pour lire  une version plus complète de cet article sur les objets connectés, cliquez

Sources :