BSA n°6

Le BSA 6 – juin 2016, spécial directive sur le secret des affaires du 8 juin 2016

BSA_ 06_2016

La cyber-sécurité, une nécessité vitale pour la Nation

En dépit des avancées technologiques manifestes, il est patent que tout système d’information demeure plus ou moins vulnérable. Toute forteresse, même digitale, n’est jamais inexpugnable.

 

La cyber-sécurité est donc plus que jamais une préoccupation des pouvoirs publics, même si l’époque soumise à la terreur meurtrière veut que la sécurité des biens et des personnes demeure privilégiée par rapport à la protection des informations.

 

A noter, l’adoption de la Directive UE 2016/1148 du 6 juillet 2016 adoptant un mode référentiel de sécurité des réseaux et systèmes d’informations http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.FRA&toc=OJ:L:2016:194:TOC

 

Dans le même esprit, en application de la Loi de programmation militaire (LPM), une première série d’arrêtés a été rendus en vue de déterminer les Opérateurs d’Importance Vitale (OIV), lesquels doivent se soumettre désormais à des règles de sécurité informatique drastiques. Le but recherché, avec le concours de l’ANSSI, est de protéger les sites et davantage encore les activités sensibles du potentiel économique et scientifique de la France en cas d’atteinte extérieure (voire intérieure au vu les temps actuels) et plus précisément assurer le bon fonctionnement des services essentiels en cas de crise http://www.ssi.gouv.fr/entreprise/protection-des-oiv/protection-des-oiv-en-france/

 

La règlementation adoptée le 1er juillet 2016 identifie 250 métiers susceptibles de répondre aux critères d’exigence retenus, en matière notamment de santé, eau, énergie et alimentation.

Florilège de décisions sur la surveillance électronique

Compte tenu des moyens techniques qui peuvent être déployés, il n’est pas rare de voir des autorités supérieures vouloir en user pour contrôler les comportements d’individus. Nous avons déjà maintes fois abordé la question, raison pour laquelle nous nous dispensons de devoir rappeler les règles principales http://www.cairn.info/revue-securite-et-strategie-2015-2-page-12.htm

 

Il convient essentiellement de garder à l’esprit que tout contrôle intrusif constitue une violation de la vie privée, à moins d’être strictement encadré et/ou préalablement autorisé.

 

C’est ainsi, en matière d’état d’urgence, prorogé par la loi n°2016-987 du 21 juillet 2016, qu’il a été autorisé, en matière antiterroriste, à procéder au recueil en temps réel, auprès des opérateurs téléphoniques, aux données de connexion d’un individu. Mise en œuvre, une telle procédure a été validée par le Conseil d’Etat, statuant en référé, le 5 août 2016, estimant « que la procédure de saisie avait été régulièrement menée », le téléphone portable saisi étant « susceptible de contenir des données relatives à une menace pour la sécurité et l’ordre publics ».

 

 

En revanche, ce que le juge administratif autorise en matière d’ordre public, ne vaut pas en droit social, là où un employeur avait fait surveiller un de ses salariés par un agent de recherche privé (ARP – détective privé) en vue de contrôler ses agissements. Le procédé n’ayant pas été porté préalablement à la connaissance du salarié, toute preuve issue de ce moyen devait être écartée (Cass. Civ 2ème, 17 mars 2016, n°15.11412).

 

En application de cette même règle, si le dispositif est antérieurement connu des salariés, un système de géocontrôle au site d’un site de production n’est alors pas interdit, sous réserve que cette surveillance ne soit pas permanente et que le but poursuivi soit légitime et pas seulement pour sanctionner les comportements constatés http://business.lesechos.fr/directions-ressources-humaines/ressources-humaines/harcelement-au-travail/021898731668-la-geolocalisation-intra-muros-des-salaries-n-est-pas-interdite-210221.php?google_editors_picks=true

 

De même en est-il pour l’installation de logiciels de criblage (destinés à contrôler les messageries des salariés, et à pouvoir identifier des messages réputés sensibles aux moyens de mots-clefs préenregistrés qui génèrent un scan du message et une alerte), lesquels peuvent être utilisés à condition d’avoir été signalés aux salariés de l’entreprise, d’une part, et à la CNIL, d’autre part https://fr.finance.yahoo.com/actualites/employeur-surveille-mails-professionnels-100940462.html

 

Rappelons enfin combien toute communication électronique devient une source appréciable d’information. C’est ce qu’a démontré une étude réalisée par des chercheurs américains sur des métadonnées où, sans accéder au message lui-même, la simple connaissance de ses interlocuteurs, de la durée de conversation, de la concentration des appels sur une période donnée, … la déduction suffit à violer la vie privée des utilisateurs http://www.lemonde.fr/pixels/article/2016/05/18/les-metadonnees-telephoniques-revelent-des-informations-tres-privees_4921532_4408996.html

Données de connexion : exigibles uniquement par les services judiciaires

Dans le cadre d’une négociation commerciale, une personne de l’entreprise partie aux discussions s’adressait par e-mail à l’autre en vue de se faire communiquer des éléments sur cette opération. Il s’avérait que l’adresse électronique utilisée reprenait frauduleusement les coordonnées d’un véritable salarié de l’entreprise concernée. Il s’agissait en réalité d’une manœuvre pour percer à jour un accord entre entreprises, au moyen d’une fausse adresse de messagerie constituée pour la cause avec un compte Gmail et un emprunt d’identité.

 

Ayant porté plainte, l’émetteur de la proposition commerciale, particulièrement courroucé par ce procédé, assignait, après un premier refus, le fournisseur d’accès afin d’identifier l’auteur du message destiné à tromper son partenaire commercial.

 

Par une ordonnance de référé du 10 août 2016, le TGI de MEAUX n’a pas fait droit à cette demande, estimant que l’opérateur attrait en Justice n’avait pas à communiquer directement ou par voie judiciaire les coordonnées d’un tiers, estimant que seuls les services judiciaires « sont alors autorisées à se faire communiquer les données personnelles conservées, à titre exceptionnel, par l’opérateur. » http://www.legalis.net/spip.php?page=breves-article&id_article=5093

De l’instrumentalisation d’un jugement à des fins concurrentielles

En matière de guerre économique et d’affrontement commercial, vouloir stigmatiser un concurrent en justice est un artifice qui se rencontre couramment. Sans attendre les suites d’une enquête ou l’issue d’un procès, une telle entreprise peut parfois servir d’argument commercial auprès de la clientèle.

 

En l’espèce, une entreprise rivale faisait état d’un jugement publié sur Internet, ayant condamné un concurrent pour contrefaçon de logiciel, sans autre forme de commentaire.

La Cour d’appel de Paris a estimé que le simple fait de communiquer une décision de Justice, librement accessible (la prochaine loi sur le numérique devant élargir cette base de données), n’était pas constitutif de concurrence déloyale http://www.legalis.net/spip.php?page=breves-article&id_article=5054

 

En revanche, tel n’est pas le cas lorsque le jugement rendu a été volontairement tronqué par celui qui communique une telle décision à ses partenaires commerciaux ou prospects http://www.legalis.net/spip.php?page=breves-article&id_article=5063

Petit florilège de décisions en matière de concurrence déloyale et parasitisme

S’agissant des faits d’espèce, constituant un faisceau de jurisprudence rendu en la matière, une veille régulière est toujours nécessaire :

 

–          Ainsi, dans une première décision, la chambre commerciale de la Cour de cassation, appelée à trancher un litige sur la base d’une clause de non-concurrence post-contractuelle (en matière de franchise, à ne pas confondre avec les critères érigés en matière sociale), a jugé que les effets étaient disproportionnés (interdiction de réinstallation sur 6 départements). Le juge n’ayant pas le pouvoir de réduire la zone géographique, il ne pouvait qu’annuler purement et simplement cette disposition protectrice. Les rédacteurs de telles clauses doivent donc mesurer avec prudence l’éventuelle censure totale des juges qui priverait de tout effet le but recherché, sans alternative.

Cass. Com. 30 mars 2016, n°14-23261

 

–          Deux ascensoristes concurrents s’affrontaient, le premier reprochant au second d’avoir reproduit et mis en œuvre dans son réseau son protocole de communication, qui aurait été obtenu par des moyens frauduleux. Les juges ont tout d’abord écarté le droit d’auteur comme le droit du logiciel sur un tel procédé qui, s’il emploie des moyens techniques, n’est pas éligible en vertu des droits de propriété intellectuelle. En revanche, le juge a vu dans les moyens déployés un savoir-faire protégé directement concurrencé de manière déloyale par un tiers qui n’est pas en mesure de justifier de sa possession.

TGI Lille, 1e ch., 19 janvier 2016, Amphitech /Aivre LTP

 

–          Toujours au titre de la protection judiciaire des efforts commerciaux déployés par une entreprise, sanctionnés par le parasitisme, figure le site Internet, dont la présentation visuelle, le graphisme, le choix des couleurs, les onglets, … témoigne d’une identité commerciale propre, indépendamment de tout droit privatif. C’est en ce sens qu’un concurrent a été condamné pour avoir répliqué un site Internet – ce que rien ne justifiait – avec une présentation générale identique, reprenant les mêmes champs et les mêmes rubriques, mais pour d’autre produits proposés à la vente. La Cour d’appel, au vu des faits de l’espèce, a estimé que même si les parties à l’instance n’étaient pas en situation de concurrence sur le même marché, le fait de s’être inspiré du site Internet original d’un autre acteur économique constitue un acte de parasitisme.

CA Paris, 15 avril 2016, n°14/05590

Captation de données personnelles, un acte pas toujours illicite

Par principe, les données personnelles sont protégées, tant par la loi Informatique et libertés, que parfois au titre de la base de données. Seul son titulaire peut en faire usage et doit assurer leur protection à l’égard des tiers.

Tel n’est pas le cas lorsque les données personnelles sont librement accessibles.

 

C’est en ce sens que le Tribunal correctionnel s’est prononcé dans un cas où une société commerciale avait recueilli sur un site Internet tiers, au moyen d’un robot, un nombre important de données personnelles d’internautes.

La prétendue victime faisait valoir sa légitimité sur cette base de données.

 

Ce ne fut pas l’analyse du tribunal qui a constaté que celle-ci « n’avait pas eu l’intention de restreindre l’accès de certaines données qui étaient dès lors en libre circulation et récupérables sans intrusion par simple consulation. »

 

TGI Paris, 12e ch. Corr., 20 juin 2016-09-06

 

 

A noter par ailleurs la réponse ministérielle sur la pratique des IP tracking procédant par suivi du comportement des internautes permettant de moduler les prix de vente des sites d’e-commerce. Sur ce point, le gouvernement a évoqué un double risque pour le consommateur en ce que :

–          La pratique peut s’avérer déloyale et trompeuse, susceptible d’altérer le comportement économique du consommateur en ligne ;

–          Elle est susceptible de porter atteinte à la protection des données personnelles des internautes à défaut de mention préalable et de déclaration à la CNIL.

 

Rép. Min., n°17522 JO Sénat Q 7 juill. 2016