sécurité informatique

LA RESPONSABILITE DES PRESTATAIRES DE SERVICES INFORMATIQUES

À lheure actuelle, nous assistons à une croissance massive des secteurs du numérique . De plus en plus de contrats se forment par voie dématérialisée. Il a alors fallu s’interroger sur la responsabilité des prestataires de services informatiques en matière de sécurité informatique.

NOUVEAU : Utilisez nos services pour faire respecter un contrat en passant par le formulaire !

La sécurité par voie électronique repose largement sur l’utilisation de moyens de chiffrement des échanges pour en assurer la confidentialité. Ces dernières années, le cadre juridique de la sécurité des services informatiques était mis en place, avec deux grands volets : la libéralisation de la cryptologie et la reconnaissance de la signature électronique.

Le Conseil des ministres a adopté le 15 janvier 2003 un projet de loi “sur la confiance dans l’économie numérique”, dans lequel la question de la responsabilité des “prestataires techniques” de l’Internet est un des points majeurs (chapitre 2 du projet de loi). Ce projet de loi avait, aussi, comme vocation à transposer en droit français la directive européenne du 8 juin 2000 sur le commerce électronique. Cette réglementation a mis en place le système d’une responsabilité limitée des prestataires techniques. L’article 2 du projet de loi redéfinit les obligations des prestataires intermédiaires des services de communication en ligne.


Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


I. Obligations générales du prestataire de services informatiques

En droit, l’ article 1112-1 du Code civil prévoit le devoir d’information du prestataire de services informatiques et dispose ainsi : « Celle des parties qui connaît une information dont l’importance est déterminante pour le consentement de l’autre doit l’en informer dès lors que, légitimement, cette dernière ignore cette information ou fait confiance à son cocontractant ».

Ainsi, la résolution d’un contrat aux torts du prestataire informatique a été prononcée par la Cour d’appel d’Orléans qui a considéré que le professionnel avait manqué à son obligation en ne remettant au client qu’une notice succincte que le matériel qu’il venait d’acquérir (1). Par ailleurs, la Cour d’appel de Paris a considéré qu’un prestataire avait manqué à son obligation de conseil en laissant un projet changer de nature, sans alerter le client sur les conséquences de ce changement (2).

Dans une autre affaire et suivant le même raisonnement, la Cour de Paris a jugé en 2017 que, même face à un client, professionnel de l’informatique, le prestataire demeure redevable de son obligation de conseil et doit s’assurer que ce client dispose de la capacité d’apprécier la portée des caractéristiques techniques des équipements et solutions qui lui sont proposées (3).

De plus, le prestataire de services informatiques a aussi une obligation de délivrance de la prestation et que cette prestation soit conforme aux attentes du client.

Et enfin, le prestataire de services informatiques est responsable des vices cachés en vertu de l’article 1641 du code civil.

II. Étude de cas sur les prestataires assurant des prestations de cryptologie

En matière de sécurité, un projet de loi libéralise sans réserve l’utilisation des moyens de cryptologie, définies comme “tout matériel ou logiciel conçu ou modifié pour transformer des données, qu’il s’agisse d’informations ou de signaux, à l’aide de conventions secrètes ou pour réaliser l’opération inverse avec ou sans convention secrète” (art. 29 LCEN). Cette version de l’article n’a pas changé. Elle est en vigueur depuis le 22 juin 2004.

En ce que concernent les prestataires qui assurent des prestations de cryptologie à des fins de confidentialité, le projet précise qu’ils sont présumés responsables, jusqu’à preuve contraire, et malgré toute disposition contractuelle contraire, du “préjudice causé aux personnes leur confiant la gestion de leurs conventions secrètes en cas d’atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide de ces conventions” (art. 32 LCEN).

Cette présomption pourra être levée si le prestataire démontre qu’il n’a commis aucune faute intentionnelle ou de négligence. Toute ce texte semble d’application très large et exclure la force majeure. Pourtant, il a déjà été constaté que la confidentialité de certaines données peut avoir été compromise du fait de la victime elle-même, par exemple à raison de la présence de programmes-espions préexistants dans le système d’information ou en présence de certains virus.

De ce fait, on pourrait se demander si la présence d’un virus informatique peut-il constituer un cas de force majeure et exonérer la responsabilité du prestataire informatique ?

La Cour d’appel de Paris a répondu à cette question dans une décision rendue le 7 février 2020 (4). Les magistrats de la Cour ont estimé, dans cette affaire, qu’« un virus informatique ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité. L’exécution par l’appelante de ses obligations n’ayant nullement été empêchée par les causes étrangères qu’elle invoque, sa responsabilité contractuelle est donc engagée. ».

In fine, les prestataires doivent pouvoir être reconnus responsables des dommages qui surviennent, lors de l’exécution de leurs prestations, aux personnes qui leur confient le soin d’assurer la confidentialité de certaines données ou assurer un devoir de conseil et d’information à l’égard des clients.

Par ailleurs, l’article 33 de la loi pour la confiance dans une économie numérique institue une véritable présomption de responsabilité, nonobstant qu’elle a un champ d’application limitée : ce régime ne s’appliquerait qu’en présence de certificats dits « qualifiés » ou, tout au moins, présentés comme tels par le fournisseur. La présomption de responsabilité ne jouerait qu’à l’égard des personnes ayant confié aux fournisseurs de prestations concernés la gestion de leurs conventions secrètes, lorsqu’un préjudice résulte d’une atteinte à l’intégrité, à la confidentialité ou à la disponibilité des données transformées à l’aide desdites conventions.

Il convient de préciser, toutefois, que les prestataires des services de sécurité informatique ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé à la condition que ces limites aient été clairement portées à la connaissance des utilisateurs dans le certificat (art. 33 LCEN).

L’article 34 institue un mécanisme de sanction administrative et précise que « Lorsqu’un fournisseur de moyens de cryptologie, même à titre gratuit, ne respecte pas les obligations auxquelles il est assujetti en application de l’article 30, le Premier ministre peut, après avoir mis l’intéressé à même de présenter ses observations, prononcer l’interdiction de mise en circulation du moyen de cryptologie concerné ». Cet article précise aussi que l’interdiction de mise en circulation est applicable sur l’ensemble du territoire national.

Concernant les sanctions pénales, la violation du secret professionnel expose les personnes exerçant une activité de fourniture de prestations de cryptologie aux sanctions prévues pour les articles 226-13 et 226-14 du Code pénal : 1 an d’emprisonnement et 15 000 euros d’amende.

Par ailleurs, est sanctionné le non-respect de l’obligation de déclaration, qui expose le prestataire à des peines d’emprisonnement (2 ans) et d’amende (30 000 euros), assorties des mêmes peines complémentaires que celles énumérées précédemment pour les moyens de cryptologie.

Pour conclure, le décret du 2 mai 2007 a également prévu des sanctions associées puisque le fait de fournir des prestations de cryptologie ne visant pas à assurer des fonctions de confidentialité sans avoir satisfait à l’obligation de déclaration expose aux peines prévues pour les contraventions de la 5e classe soit 1 500 euros par contravention. Cette sanction est assortie d’une peine complémentaire de confiscation, suivant les modalités prévues par l’article 131-21 du Code pénal, de la chose qui a servi ou était destinée à commettre l’infraction ou de la chose qui en est le produit, à l’exception des objets susceptibles de restitution.

Pou rlire une version plus complète de cet article sur la responsabilité des prestataires informatiques, cliquez

Sources :

(1) CA Orléans, ch. com., 31 mai 2007, SA Cybervitrine c/ Agence BIB Immobilier, Juris-Data, no 2007-342466
(2) CA Paris, 5e ch., 13 sept. 2006, Prodimpor c/ Hays IT, no 224
(3) CA Paris, pôle 5, ch. 11, 17 nov. 2017, no 15/2004, Com. com. électr. 2018. Comm. 25, obs. E. Caprioli.
(4) CA Paris, pôle 5, ch. 11, 7 févr. 2020, nº 18/03616.
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000801164/
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:01999L0093-20081211&from=LT
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000000646995/

PATRIMOINE ET SÉCURITÉ INFORMATIQUE

Tous les biens matériels informatiques et aussi toutes les œuvres multimédias, audiovisuelles ou encore cinématographiques constituent le patrimoine informatique. Se pose alors la question de comment est assurée la sécurité de ce patrimoine informatique ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

I. Sécurité des œuvres immatérielles

Les droits d’auteur protègent toute œuvre de l’esprit, c’est-à-dire toute forme d’expression originale. En effet, l’article L.111-1 du code de la propriété intellectuelle dispose que « l’auteur d’une œuvre de l’esprit jouit sur cette œuvre, du seul fait de sa création, d’un droit de propriété incorporelle exclusif et opposable à tous. Ce droit comporte des attributs d’ordre intellectuel et moral ainsi que des attributs d’ordre patrimonial. » Le critère de protection est l’originalité. L’originalité s’entend comme le reflet de la personnalité du créateur, il faut l’empreinte personnelle de l’auteur.

Toute atteinte à ces droits d’auteur est répréhensible.

Sont passibles de 3 ans d’emprisonnement et de 300 000 € d’amende au titre de la contrefaçon, les téléchargements contraires aux droits d’auteurs depuis la loi Perben II du 9 mars 2004 qui a augmenté ces peines. Celles-ci passent d’ailleurs à 5 ans de prison et 500 000 € d’amende lorsque le délit est commis en bande organisée.

En effet, les maisons de disques et producteurs de films se basent sur l’article L.335-2 du code de propriété intellectuelle pour agir contre les internautes qui téléchargent des œuvres.
Cet article définit la contrefaçon comme « toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs ». Sont également punis des mêmes peines le débit, l’exportation et l’importation des ouvrages contrefaits.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


« Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d’une œuvre de l’esprit en violation des droits de l’auteur, tels qu’ils sont définis et réglementés par la loi. » ( article L.335-3).

En outre, l’article L.335-4 dispose qu’« Est punie de trois ans d’emprisonnement et de 300 000 euros d’amende toute fixation, reproduction, communication ou mise à disposition du public, à titre onéreux ou gratuit, ou toute télédiffusion d’une prestation, d’un phonogramme, d’un vidéogramme, d’un programme ou d’une publication de presse, réalisée sans l’autorisation, lorsqu’elle est exigée, de l’artiste-interprète, du producteur de phonogrammes ou de vidéogrammes, de l’entreprise de communication audiovisuelle, de l’éditeur de presse ou de l’agence de presse.

Sont punis des mêmes peines l’importation, l’exportation, le transbordement ou la détention aux fins précitées de phonogrammes ou de vidéogrammes réalisés sans l’autorisation du producteur ou de l’artiste-interprète, lorsqu’elle est exigée. » (1)

Peuvent être déclarées responsables pénalement de ces infractions également les personnes morales, et ce, en vertu de l’article L 335-8 du code de la propriété intellectuelle.

Les bases de données sont également protégées par les droits d’auteur et par la loi du 1er juillet 1998. L’architecture de la base et les outils d’interrogation et de recherche sont protégés au titre d’un droit d’auteur spécial et du droit commun du droit d’auteur.

Le producteur d’une base de données est protégé contre toute extraction, réutilisation de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base. ( articles L. 341-1 du code de la propriété intellectuelle) Seul le producteur peut bénéficier de cette protection.

« On entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. » ( article L.112-3 du code de la propriété intellectuelle).

La Cour d’appel de Paris, dans un arrêt récent rendu 2 février 2021, confirme la protection du site leboncoin.fr exploité par la société LBC contre l’extraction et la réutilisation non autorisées d’annonces immobilières de ce dernier par la société Entreparticuliers.com, et ce, sur le fondement du droit des producteurs de bases de données prévu aux articles L.341-1 et L.342-2 du code de la propriété intellectuelle. (2)

Il peut y avoir contrefaçon d’une base de données qui est punie en vertu de l’article L 335-3.

Mais également toute atteinte aux droits du producteur d’une base de données est punie au titre de l’article L. 343-4 de trois ans d’emprisonnement et de 300 000 euros d’amende. Ces peines sont portées à sept ans d’emprisonnement et 750 000 euros d’amende lorsque le délit est commis en bande organisée.La personne qui a réalisé un investissement substantiel dans cette base est considérée comme producteur d’une base de données, c’est-à-dire celle qui a effectué les investissements nécessaires à la constitution, à la vérification et la présentation de la base de données. La protection bénéficie aux personnes physiques, comme aux personnes morales dès lors qu’elles sont ressortissantes d’un État de la Communauté européenne.

La loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel a d’ailleurs autorisé les sociétés de perception et de répartition de droits d’auteur à former, sous l’œil vigilant de la CNIL, des fichiers ou listes noires des contrevenants qui téléchargeraient des œuvres sans autorisation.

« Les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par :

1° Les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales ;

2° Les auxiliaires de justice, pour les stricts besoins de l’exercice des missions qui leur sont confiées par la loi ;

3° [Dispositions déclarées non conformes à la Constitution par décision du Conseil constitutionnel n° 2004-499 DC du 29 juillet 2004 ;]

4° Les personnes morales mentionnées aux articles L. 321-1 et L. 331-1 du code de la propriété intellectuelle, agissant au titre des droits dont elles assurent la gestion ou pour le compte des victimes d’atteintes aux droits prévus aux livres Ier, II et III du même code aux fins d’assurer la défense de ces droits. »

En outre, la Commission nationale de l’informatique et des libertés (CNIL) a autorisé, en application de l’article 9-4° de la loi de 1978 modifiée en août 2004, le syndicat des éditeurs de logiciels de loisirs (SELL) à mettre en œuvre un traitement automatisé de détection des infractions au code de la propriété intellectuelle.

En effet, le SELL avait présenté un dispositif à la CNIL visant à adresser des messages de prévention aux internautes téléchargeant et mettant à disposition des logiciels copiés illégalement sur les réseaux “peer to peer”, et à relever, dans certains cas, l’adresse IP de ces internautes. La CNIL, après étude, a autorisé la mise en place de ce dispositif en mars 2005, estimant que l’équilibre entre la protection des droits des personnes dont les données sont traitées et la protection des droits d’auteurs était préservé.

Les messages de prévention indiqueront que ces logiciels sont protégés par des droits d’auteur et que la violation de l’un des droits de l’auteur d’un logiciel, comme la mise à disposition sur internet sans autorisation, constitue un acte de contrefaçon.

S’agissant de la collecte des adresses IP, elle ne sera effectuée que pour les infractions graves et dans le seul but de permettre la mise à disposition de l’autorité judiciaire d’informations et ne pourront acquérir un caractère nominatif que dans le cadre d’une procédure judiciaire.

Les mesures techniques de protection et les Systèmes numériques de gestion des droits (Digital Rights Management Systems) constituent un ensemble de protections. Ce sont des technologies permettant de protéger les droits d’auteur en chiffrant les contenus et en n’autorisant qu’un accès limité et contrôlé. L’utilisation de la cryptographie permet de chiffrer les données à des fins de non-divulgation et de non-reproduction.

Ces nouvelles protections visent à assurer la protection des contenus numériques pour de nouvelles formes de distribution et d’exploitation. Les DRMS permettent la traçabilité des œuvres lorsqu’elles sont diffusées sur support numérique et plus particulièrement lors de leur mise en ligne.

En premier lieu, les fonctions principales remplies par les DRMS consistent dans la gestion numérique des droits, par l’identification des contenus auxquels les droits sont attachés, la description de ces droits, et le chiffrement des contenus.

En second lieu, la mise à disposition des droits par la distribution, la reconnaissance des contenus la requête des droits. Cette requête des droits suppose l’identification et l’authentification de l’utilisateur ainsi que l’autorisation d’exploiter.

En dernier lieu, l’exploitation des droits par le contrôle de l’accès aux œuvres et le contrôle de la copie.

II. Sécurité des systèmes informatiques

Les dispositions du Code pénal protègent les systèmes de traitement automatisé de données, en particulier contre la fraude informatique.

En effet, l’article 323-1 du Code pénal incrimine l’accès frauduleux et le maintien frauduleux dans un système informatique malgré l’accès licite. Cet acte est puni de deux ans d’emprisonnement et de 60 000 euros d’amende. Les peines sont portées à trois ans d’emprisonnement et 100 000 euros d’amende si l’acte frauduleux a eu pour conséquence d’altérer le fonctionnement du système ou de modifier ou supprimer les données contenues dans le système.

Ce texte vise à la fois tous les modes de pénétration irréguliers d’un système de traitement de données, ainsi que le maintien irrégulier dans un tel système de la part de celui qui y serait entré par inadvertance, ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement. ( Cour d’appel Paris 5 avril 1994).

Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données, notamment par le spamming, c’est-à-dire l’envoi massif de messages non sollicités et le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient sont punis de cinq ans d’emprisonnement et de 150 000 euros d’amende en vertu de l’article 323-2 du Code pénal.

Il découle de la loi sur la confiance en l’économie numérique du 21 juin 2004, en outre, l’article 323-3-1 qui incrimine “Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou tout donné conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3”.

Les personnes qui créent des virus ou des moyens de contourner des protections techniques, les personnes qui mettent à disposition de faux numéros de cartes bancaires sur internet peuvent être punis sur la base de ce texte.

Cela étant, il existe aussi le pharming qui permet par le biais de malware et spyware de détourner les internautes des véritables sites vers les sites frauduleux. La nouvelle infraction prévue à l’article 226-4-1 du Code pénal permet de punir d’un an de prison et de 15 000 euros d’amendes “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne”. (3)

Afin de garantir l’efficacité de cette répression, il existe “des cybergendarmes” et notamment l’office central de lutte contre la criminalité liée aux technologies de l’information et de la communication et la brigade d’enquête sur les fraudes aux technologies de l’information.

Douze gendarmes forment la “cellule Internet” au service technique de recherche judiciaire et de documentation (STRJD) du fort de Rosny-sous-Bois. Ils se relayent pour surveiller le réseau en permanence afin de traquer les cybercriminels. Ils ont à leur disposition différents logiciels, le principal effectue des recherches par mots clés, car les délinquants utilisent souvent des termes spécifiques comme le terme carding utilisés par les escrocs à la carte bleue.

Un contrôle est assuré également par la Commission nationale de l’informatique et des libertés qui vérifie que la loi est respectée. En cas de constatations d’infractions, la commission peut les dénoncer au parquet. Elle a des pouvoirs de vérification et d’investigation pour instruire les plaintes.

Enfin, au niveau international, une entraide judiciaire est prévue pour tenter de couvrir l’ensemble du réseau Internet.

Pour lire une version plus complète de cet article sur la sécurité informatique, cliquez

Sources :

Usage de la blockchain en matière de contrat commercial

Comment utiliser la technique de la blockchain dans les contrats commerciaux ?

Qu’est – ce – qu’une BLOCKCHAIN ? Il n’existe pas de définition officielle. En France, un seul texte fait référence à la blockchain, sans toutefois la citer : l’ordonnance du 28 avril 2016 relative aux minibons (titres financiers), qui la présente comme « un dispositif d’enregistrement électronique permettant l’authentification de ces opérations ».

La blockchain est généralement présentée comme une base de données, ou encore un registre électronique, contenant l’enregistrement horodaté de toutes les opérations effectuées par ses utilisateurs.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire et un avocat enverra une lettre de mise en demeure !

La blockchain ne doit pas être confondue avec une technologie de stockage ou d’hébergement de données (comme le cloud). En effet, ce qui est enregistré sur la blockchain, ce n’est en principe pas une donnée, ni un document original (comme un contrat), mais une empreinte cryptographique.

Un document original (papier ou numérique) dont l’empreinte cryptographique sera enregistrée sur une blockchain, devra donc être, en parallèle, conservé en lieu sûr.


 

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Le registre blockchain est celui d’un réseau distribué, c’est – à – dire que sa conservation n’est pas centralisée à un seul endroit, sur un serveur informatique unique, mais dupliquée sur plusieurs serveurs / ordinateur compris dans ce réseau détient, quasiment au même moment, un exemplaire intégral de ce registre et des informations cryptées qu’il contient.

Le registre blockchain est réputé infalsifiable, c’est – à – dire quasiment non piratable. C’est cet aspect fondamental de la blockchain qui fait son intérêt principal. Le niveau de sécurité informatique qu’elle présente serait exceptionnel. Cela est dû, selon les experts, à la combinaison de la cryptographie et, d’un protocole algorithmique innovant réalisé par les « nœuds du réseau », c’est – à – dire par plusieurs serveurs / ordinateurs du réseau sur lequel elle est distribuée, protocole destiné à vérifier, avant enregistrement, que l’information est exacte.

La blockchain permet « d’historiser », en leur donnant une date certaine, les informations qu’elles enregistre. On parle souvent d’horodatage mais ça n’est pas totalement exact puisque les informations sont enregistrées non pas une par une, mais par bloc.

Le registre est en principe transparent. Chaque membre du réseau peut en théorie vérifier les informations enregistrées sur le registre. Ce registre peut permettre d’assurer la traçabilité des opérations enregistrées sur la blockchain.

I. Les types de blockchain

A ) Une blockchain publique

La blockchain appartient à tous les membres de la communauté du réseau distribué.

Le logiciel qui sous-tend une blockchain publique est un logiciel libre dont les codes sources sont entièrement publics. Chaque membre peut participer librement à l’amélioration de ce logiciel.

Chaque membre du réseau distribué a potentiellement les mêmes droits (d’accès, de lecture, de lecture, de décision, de participation au protocole de vérification des informations figurant sur le registre).

Le registre d’une blockchain publique est en théorie immuable : les informations enregistrées sont inscrites pour toujours et il n’est en principe plus possible de les effacer.

B) Une Blockchain privée

Les règles ici sont très différentes. Elle fonctionne comme un réseau privé (à l’instar d’intranet) et appartient à un acteur déterminé qui décide seul des règles de fonctionnement et, en particulier des droits d’accès, de modification et de validation du registre. Le protocole peut donc être modifié selon le bon vouloir de l’administrateur du système.

C)Une blockchain « permissioned » ou de « consortium »

Elle se situe entre la blockchain privée et la blockchain publique. Les droits de consultations, d’écriture et de modification du registre des participants diffèrent selon des règles préétablies par une ou plusieurs personnes. Ce type de blockchain peut permettre de conjuguer les avantages d’une blockchain publique (notamment de sécurité informatique), une régulation humaine du système et de l’adaptation des règles de fonctionnement.

II. L’impact de la blockchain dans les contrats commerciaux

A) Blockchain et contrat commercial

Pour le commerce électronique, ces contrats intelligents permettent des transactions directes entre les vendeurs et les acheteurs. Les contrats intelligents peuvent être programmés pour s’exécuter uniquement lorsque les obligations spécifiées ont été remplies. Par exemple, un acheteur peut envoyer le prix déterminé d’un produit en crypto-monnaie au contrat.

Le vendeur envoie la preuve de propriété au contrat intelligent et lie le contrat intelligent à l’entreprise transportant le produit vendu. Une fois que le vendeur a rempli toutes ses obligations, le contrat intelligent enverra automatiquement les fonds au porte-monnaie du vendeur. Ce n’est que l’une des nombreuses applications des contrats intelligents. La même logique que celle décrite ci-dessus peut également s’appliquer à l’ensemble des chaînes d’approvisionnement, aux procédures de comptabilité organisationnelle, à la gouvernance, à la logistique et à bien d’autres processus organisationnels.

Ainsi en septembre dernier, une première transaction commerciale aurait-elle été effectuée, peut-être la première transaction immobilière au monde, entièrement basée sur cette technologie de registre de transactions sécurisées : un appartement en Ukraine a été acheté par Michael Arrington, co-fondateur du site TechCrunch en utilisant le réseau public Ethereum MainNet.

Dans le domaine du trade finance, des banques ont développé un prototype fondé sur la solution Hyperledger (Projet Blockchain en collaboration avec IBM). L’application réplique les opérations liées à une lettre de crédit en partageant les informations entre les exportateurs, les importateurs et leurs banques respectives par le biais d’un registre distribué privé. Cela permet d’exécuter une opération commerciale automatiquement grâce à une série de contrats intelligents.

En matière de commerce d’œuvres d’art, la blockchain permettrait d’attribuer un passeport digital à chacune des œuvres en les authentifiant et en traçant leurs changements de propriétaire. La technologie a vocation à remplacer tout type de registre. Le registre cadastral en constitue une application. Une réflexion est en cours pour le registre du commerce et des sociétés.

B) Blockchain et données personnelles

Les smarts contracts sont des applications qui permettent l’exécution automatisée de contrats. Il s’agit de supprimer au maximum l’intervention de l’humain et du juge. La CNIL ne pouvait qu’y être sensible dans la mesure où par exemple le profilage est strictement encadré. Une place à l’intervention humaine doit être réservée.

Pour la CNIL, il serait possible d’arriver à une limitation de l’utilisation des données dans les smart contracts, simplement en le prévoyant en amont dans le programme. Il apparaît que la décision entièrement automatisée provenant d’un smart contract est nécessaire à son exécution, dans la mesure où elle permet de réaliser l’essence même du contrat (ce pourquoi les parties se sont engagées). En ce qui concerne les mesures appropriées, la personne concernée devrait pouvoir obtenir une intervention humaine, exprimer son point de vue et contester la décision après que le smart contract ait été exécuté. Il convient donc que le responsable de traitement prévoie la possibilité d’une intervention humaine qui permette de remettre en cause la décision en permettant à la personne concernée de contester la décision, même si le contrat a déjà été exécuté, et ceci indépendamment de ce qui est inscrit dans la blockchain.

Cette position sonne le glas des conceptions quelque peu utopistes des partisans de l’automatisation à outrance du contrat. Le smart contract y perd néanmoins une grande part de son intérêt.

Pour lire une version plus complète de cet article sur les contrats commerciaux et la blockchain, cliquez

SOURCES :