Qualification juridique de la notion d’espionnage industriel

Notre propos en parallèle de l’affaire d’espionnage des bornes techniques AUTOLIB’ dans Les Echos, à lire ici :

logo_les-echos (1)

 

 

http://lecercle.lesechos.fr/economie-societe/recherche-innovation/intelligence-economique/221179640/notion-espionnage-industriel

Une directive européenne pour harmoniser les sanctions contre les auteurs d’attaques contre les systèmes d’information

Si la France dispose d’un arsenal répressif efficient pour sanctionner les actes de piratage informatique, tels que relevant de la Loi Godfrain (articles 323-1 et suivants du Code pénal) depuis 1998 (http://demaisonrouge-avocat.com/2012/07/02/la-loi-godfrain-durcie-pour-les-atteintes-aux-systemes-d%E2%80%99information-de-l%E2%80%99etat/ ), l’Union Européenne, dans son rôle d’harmonisation, a adopté une directive ayant « pour objectif de rapprocher le droit pénal des états membres dans le domaine des attaques contre les systèmes d’information ».

 

Cette directive, qu’il appartient aux états membres de transposer et qui n’est donc pas d’application directe, vise le piratage mais aussi l’interception entendue comme étant : « sans que cette liste soit limitative, l’écoute, le contrôle ou la surveillance du contenu des communications et l’obtention du contenu des données, soit directement, au moyen d’accès aux systèmes d’information, et de leur utilisation, soit indirectement, au moyen de l’utilisation de dispositifs d’écoute électroniques ou de dispositifs d’écoute par des moyens techniques ».

 

L’UE préconise de 2 à 5 ans de prison pour les différents actes répréhensibles.

 

Directive 2013/40/UE du 12 août 2013

Apple vs Samsung – Part IV

Dans le prolongement de nos précédents post sur la guerre des brevets à laquelle se livrent les deux géants des Smartphones, suite à la décision de l’ITC ayant bloqué la vente de produits Apple sur le territoire nord-américain, http://demaisonrouge-avocat.com/2013/06/21/samsung-apple-part-iii/ le secours de la firme à la pomme est venu du président américain en personne qui a mis son veto à cette sanction.

 

http://www.lefigaro.fr/hightech/2013/08/05/01007-20130805ARTFIG00199-obama-apporte-son-soutien-a-apple-contre-samsung.php

 

En matière de politique publique d’intelligence économique, les naïfs doivent savoir que dans la guerre économique entre les états, les nations ne sont pas nécessairement respectueuses des lois, sinon de celle du plus fort, au nom de l’affirmation de puissance et du patriotisme (que d’aucuns réduisent à tort au protectionnisme).

 

Ite missa est.

Les membres du gouvernement invités à utiliser les téléphones cryptés

Les failles techniques permettant l’interception de données sont connues, et l’affaire PRISM n’a fait que confirmer ce qui était largement appréhendé par les services concernés.

 

C’est pourquoi l’ANSSI a préconisé l’usage des téléphones cryptés pour éviter que des correspondances et/ou échanges émanant des ministres puissent être captés par des tiers.

 

A lire l’interview de Bernard CARAYON fin connaisseur du sujet :

http://www.lefigaro.fr/actualite-france/2013/09/11/01016-20130911ARTFIG00481-bernard-carayon-il-n-existe-plus-de-protection-absolue-de-nos-communications.php

Droit à la protection des secrets d’affaires dans les instances anticoncurrentielles

Dans une récente affaire tranchée par la Cour de Justice de l’Union Européenne (CJUE), concernant un dossier traité par l’Autorité de la concurrence autrichienne, les victimes de pratiques anticoncurrentielles voulaient accéder à certains éléments du dossier.

La juridiction autrichienne s’y était opposée au nom du respect du secret des affaires.

 

Saisie d’un recours contre cette décision judiciaire, la cour suprême européenne a rappelé le droit applicable en pareille matière, à savoir que « la consécration d’un droit d’accès systématique aux pièces du dossier ne serait pas opportune, car elle pourrait porter atteinte à d’autres droit protégés par l’UE, comme le secret professionnel ou celui des affaires. »

 

Cette affirmation est toujours bienvenue et montre la conformité du droit français à a cet égard.

Rappelons en effet que les articles 463-1 et suivants du Code de commerce  http://www.legifrance.gouv.fr/affichCode.do;jsessionid=6C8E2B2BE1FE8E4FADFEFE5F4083563E.tpdjo03v_3?idSectionTA=LEGISCTA000006146080&cidTexte=LEGITEXT000005634379&dateTexte=20130906 prévoient une procédure spécifique de communication et de diffusion des pièces afin de préserver le secret des affaires

 

CJUE 6 juin 2013

Une norme AFNOR sur les avis de consommateur

En matière d’influence commercial, on sait que les avis figurant sur les sites des e-commerçants n’émanent pas toujours de véritables acheteurs mais sont postés par l’entreprise elle-même ou des cabinets spécialisés.

 

Pour remédier à ces pratiques discutables, l’AFNOR a établi une norme destinée à régir ces comportements http://www.afnor.org/profils/activite/tic/afnor-publie-la-premiere-norme-volontaire-pour-fiabiliser-le-traitement-des-avis-en-ligne-de-consommateurs

 

Cass. com., 4 juin 2013, n°11-28082

Données personnelles vs activité professionnelle

Concernant cette problématique juridique, nous avons déjà eu l’occasion, à de nombreuses reprises, de faire état du droit applicable. http://www.lesechos.fr/28/09/2010/LesEchos/20772-82-ECH_proteger-les-secrets-de-l-entreprise-en-respectant-le-droit-du-travail.htm

En résumé, il est loisible d’affirmer que tout ce qui n’est pas formellement estampillé comme étant « PERSONNEL », est considéré comme professionnel par défaut, et peut donc être librement contrôlé sans l’autorisation du salarié concerné ; même s’agissant d’une clef USB connecté au poste de travail. http://demaisonrouge-avocat.com/2013/03/05/l%e2%80%99employeur-peut-acceder-a-la-clef-usb-du-salarie-si-elle-est-connectee/

 

Deux affaires furent encore récemment tranchées dans ce domaine :

 

Dans la première espèce, la Chambre sociale de la Cour de cassation a estimé que les e-mails provenant d’un compte de messagerie mis en place par l’employeur au profit du salarié étaient par nature professionnels. Ainsi en est-il, même si l’adresse ne comprend pas de manière distincte le nom de l’entreprise. En conséquence, l’employeur peut librement inspecter la messagerie hors la présence du salarié, sauf pour les e-mails estampillés PERSONNEL.

 

Dans la seconde espèce, et dans le prolongement de cette doctrine désormais bien affirmée, la même chambre élargit davantage le champ de présomption professionnelle, posant comme principe que les données importées sur l’ordinateur professionnel du salarié, depuis son compte de messagerie personnel (privé), sont également réputées professionnelles, sauf si elles sont expressément marquées comme étant personnelles.

 

Le principe qui demeure est donc le suivant : peu importe le moyen employé pour les transférer sur le poste de travail professionnel (clef USB, téléchargement par messagerie personnelle, …), toutes les données présentes sur l’ordinateur du salarié, appartenant à l’entreprise, sont réputées professionnelles pour peu qu’elles ne soient pas identifiées comme étant personnelles.

 

Cass. soc., 16 mai 2013, n°12-11866

Cass. soc., 19 juin 2013, n°12-12138

Intrusion informatique, si et seulement s’il y a protection

Nous avions précédemment rendu compte d’une décision rendu sous le visa de l’article 323-1 du Code pénal, réprimant le piratage informatique, celui-ci n’étant pas constitué dans la mesure où l’entreprise n’avait pas mis en place de mesure de sécurité efficientes pour protéger l’accès à son système d’information http://demaisonrouge-avocat.com/2013/07/04/libre-acces-meme-involontaire-nest-pas-intrusion-ni-vol/

 

Dans la même veine, un victime supposée ou prétendue de piratage informatique ne pourra pas faire valoir son préjudice si elle n’a pas pris les précautions nécessaires.

Dans cette affaire, un salarié avait transmis à un concurrent les données commerciales de l’employeur (fichier client / prospects).

Si le concurrent voit sa responsabilité être engagée pour avoir utilisé un fichier d’une entreprise rivale, sans s’être assuré au préalable des conditions d’obtention d’un tel bien informationnel, le tribunal retient néanmoins que l’employeur lésé a concouru à son propre préjudice en ne sécurisant pas suffisamment son réseau informatique, dans la mesure où il a été démontré que le salarié indélicat disposait d’un code d’accès qui servait à 3 autres personnes de l’entreprise.

 

TGI Paris, 4e ch., 3e section, 21 févr. 2013

 

A cet égard, nous avons toujours soutenu que la principale faille dans la perte et/ou la diffusion de secrets d’affaires était le facteur interne (salarié malveillant ou plus généralement par inadvertance non intentionnelle), davantage que l’intrusion externe (vol, espionnage, intrusion informatique). D’où les nécessaires efforts de sensibilisation et de formation auprès du personnel de l’entreprise pour faire admettre les enjeux d’une telle préoccupation légitime de l’outil de travail.

 

A lire sur ce même thème :

Un entretien sur le fléau que constitue la fuite de données stratégiques par des salariés quittant l’entreprise avec des fichiers confidentiels pour aller à la concurrence : http://www.atlantico.fr/decryptage/plus-dangereux-que-espionnage-industriel-que-peuvent-entreprises-francaises-face-aux-60-employes-qui-sont-partis-avec-donnees-co-800896.html

Résultat de l’enquête SYMANTEC affirmant que 60% des salariés qui ont quitté leur entreprise au cours des 12 derniers mois ont conservé des données confidentielles de leur ex-employeur http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20130211_01

Jurisprudence Facebook (suite) … les amis de vos amis ne sont pas forcément vos amis

Par un arrêt du 10 avril 2013, la 1ère chambre civile de la Cour de cassation a posé une nouvelle pierre à l’édifice jurisprudentiel en construction sur le droit des réseaux sociaux.

 

Tandis que de précédentes décisions avaient sanctionné des détenteurs de comptes Facebook sur lesquels ils s’étaient livrés à des actes de dénigrement considérant que l’accès à leur page était public, cette décision est venu en restreindre l’application.

 

Ainsi, la cour suprême estime qu’il ne peut y avoir injure si l’auteur des propos insultants a limité l’accès à sa page un nombre restreint de lecteurs. Auquel cas, le délit d’injure publique, au sens de l’article 33 de la loi de 1881, n’est pas constitué.

 

Cass. civ 1e, 10 avr. 2013, n°11-19530

La cession de fichier illicite est nulle et de nul effet

Un acheteur a obtenu la nullité de la vente d’un fichier de données personnelles de prospects, lequel n’avait pas été antérieurement déclaré à la CNIL.

 

La Cour de cassation a en effet estimé que la vente était inopérante, dans la mesure où elle était affectée par un vice constitué d’un objet illicite (article 1128 du Code civil), d’une part, et d’une violation de l’ordre public (loi Informatique et libertés du 6 janvier 1978), d’autre part.

 

Cass. com., 25 juin 2013, n°12-17037