La protection des données, un enjeu central

Dans la lutte engagée contre la prégnance exacerbée des GAFAM, au nom d’idéaux comme celui de la préservation de l’intimité, l’UE a riposté notamment via l’adoption du RGPD / GDPR en avril 2016. Ce texte majeur sera applicable en mai 2018, mais oblige d’ores et déjà les entreprises à se conformer aux bonnes pratiques.

 

Nos dernières réponses sur cette question : https://www.globalsecuritymag.fr/Protection-des-donnees,20170921,73828.html

 

Ainsi que nous l’avons annoncé http://demaisonrouge-avocat.com/2015/11/09/la-decision-cjue-safe-harbor-un-acte-europeen-de-souverainete-numerique/ l’Union Européenne a pris le parti de se lancer dans un bras de fer contre les Etats-Unis, sur la thématique des données personnelles, matériau des base de l’industrie numérique des géants américains. C’est pourquoi, s’agissant de mesures extraterritoriales, en réponse aux sanctions financières ayant frappé des fleurons européens (BNP Paribas, Alstom, …), la Commission veille aux intérêts des citoyens européens http://premium.lefigaro.fr/secteur/high-tech/2017/09/18/32001-20170918ARTFIG00313-donnees-personnelles-l-ue-demande-des-gages-aux-etats-unis.php

 

Note analyse du sujet : https://www.efcse.eu/fr-fr/news/20170928_[EFCSE.EU]_INTERNET_CONTINENT_IMMATERIEL_[FR].pdf

 

En déployant ces nouveaux usages destinés à protéger les données personnelles, les entreprises européennes se trouvent en conséquence confrontées à de nouvelles contraintes qui interpellent en définitive sur la finalité de la mesure : http://premium.lefigaro.fr/secteur/high-tech/2017/10/19/32001-20171019ARTFIG00301-paul-ohm-proteger-les-donnees-ne-veut-pas-dire-proteger-la-vie-privee.php

 

Aussi, peut-être est-il nécessaire d’avoir une approche plus globale et unifiée à l’échelle du continent pour admettre que la protection des données ne doit pas se cantonner à la préservation de l’intimité, mais aussi à la sécurité des données non personnelles – autrement dit stratégiques – des entreprises européennes.

 

C’est l’enjeu du secret des affaires, d’une part, et du projet de « paquet numérique » 2 en cours d’élaboration, annoncée par Jean-Claude Junker en septembre dernier, d’autre part.

 

A titre de conclusion provisoire, on se réjouira de constater qu’avec le RGPD – et la création en corollaire du statut de délégué à la protection des données (que nous sommes) – les entreprises s’obligent à mettre en œuvre un protocole de sécurité des données des tiers (les données personnelles). Reste à les amener à avoir une réflexion profonde pour associer la protection de leurs propres données essentielles, à savoir les informations stratégiques.

 

 

Raison d’Etat et protection de la vie privée

Depuis les révélations d’Edward Snowden et l’émoi affectant l’emprise des services de renseignement américain sur les communications électroniques (ayant conduit à l’annulation du Safe Harbor le 6 octobre 2015 https://portail-ie.fr/analysis/1313/laffaire-safe-harbor-un-acte-dindependance-numerique ) la protection de la vie privée prévaut largement, y compris en matière de renseignement d’Etat.

 

Ainsi, en application de l’article 851-3 du Code de la sécurité intérieure https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000025503132&idArticle=LEGIARTI000030939246 le président de la CNCTR a révélé l’activation d’une première boîte noire en octobre 2017, permettant aux services de renseignement français d’accéder à un nombre conséquents de métadonnées http://premium.lefigaro.fr/secteur/high-tech/2017/11/14/32001-20171114ARTFIG00202-loi-renseignement-une-premiere-boite-noire-a-ete-activee.php . Il a cependant pris soin de préciser que les données recueillies étaient anonymisées.

 

Concernant le fichier TAJ (traitement des antécédents judiciaires https://www.cnil.fr/fr/taj-traitement-dantecedents-judiciaires ), le Conseil constitutionnel a jugé sur la base d’une question prioritaire de constitutionnalité (QPC) que son exploitation devait être revue et corrigée, car il est insuffisamment mis à jour (données sur des individus faisant l’objet d’une conservation trop longue) et porte atteinte à la vie privée http://www.lemondedudroit.com/judiciaire/324-organisation-judiciaire/54436-qpc-effacement-anticipe-des-donnees-inscrites-dans-un-fichier-de-traitement-dantecedents-judiciaires.html

 

 

Identité, signature électronique et confiance numérique

A l’heure du tout dématérialisé et de la transformation digitale, selon l’expression désormais consacrée, désormais, l’individu s’efface derrière une identification numérique individualisée dans les actes de la vie courante effectués à distance via des supports informatiques.

 

Déjà, l’administration française avait bâti un référentiel avec le n° de sécurité sociale permettant d’identifier pour ses besoins les personnes physiques en matière de santé https://www.cnil.fr/fr/le-numero-de-securite-sociale

 

Les outils de communication sont désormais multiples et de plus en plus nomades, renforçant ce besoin de sécuriser les échanges électroniques.

 

Désormais l’usage s’est étendu pour d’autres besoins, créant autant d’identifiants.

 

C’est pourquoi plusieurs textes sont venus encadre la pratique et renforcer le niveau de confiance numérique applicable.

 

Ainsi, le décret n°2017-1416 du 28 septembre 2017 est revenu sur la signature numérique qualifiée, instituant une présomption de fiabilité et de d’identification de l’émetteur du message en application de l’article 1367 du Code civil et du règlement UE n°910/2014 du 23 juillet 2014 (dit eDIAS) sur l’identification électronique et les services de confiance pour les transactions électroniques https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035676246&fastPos=25

 

De même, toujours en application du règlement eIDAS, l’ordonnance n°2017-1426 du 4 octobre 2016 a introduit dans le Code des postes et des communications électroniques (CPCE) les définitions d’identification électronique et de moyen d’identification électronique par voie de certification, sous l’égide de l’ANSSI https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720606&dateTexte=&categorieLien=id

 

 

Pour rappel, l’article 226-4-1 du Code pénal réprime l’usurpation d’identité …

 

 

Sur le front de la cybersécurité européenne

Le mois européen de la cybersécurité s’étant écoulé, il convient d’apprécier à leur juste valeur les engagements pris concourant à l’émergence d’une pensée et d’une pratique harmonisée de sécurité économique.

 

Il convient de saluer le premier paquet européen d’ores et déjà adopté :

  • Le règlement 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance
  • La directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
  • La directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union :
  • Et la directive 2016/943 du 8 juillet 2016 sur la protection du secret des affaires et des savoirs-faires.

 

En complément, Jean-Claude Junker a annoncé la mise en chantier d’un deuxième paquet, davantage orienté vers la cybersécurité.

En premier lieu, il est prévu d’étoffer et de renforcer l’ENISA, l’agence européenne de cybersécurité https://www-zdnet-fr.cdn.ampproject.org/c/www.zdnet.fr/amp/actualites/cybersecurite-l-enisa-veut-prendre-du-galon-39857552.htm

En second lieu, la commission envisage la fondation d’un Centre européen de recherche et de compétences en matière de cyberdéfense.

Enfin, un règlement est en préparation sur la circulation des données non personnelles.

 

 

A noter, en lien avec ces orientations politiques, le dernier rapport annuel de PwC qui relève des pertes de données en hausse de 50%, ayant représenté un coût de 2,25 millions d’Euros https://www.ouest-france.fr/high-tech/internet/les-cyberattaques-coutent-de-plus-en-plus-cher-aux-entreprises-5361685

De même, le seul virus ukrainien Petya a coûté, à l’échelle mondiale, plus d’un milliard d’Euros http://www.lemonde.fr/pixels/article/2017/11/07/le-virus-petya-a-coute-plus-d-un-milliard-d-euros-aux-entreprises_5211421_4408996.html

 

 

Atteintes aux données et fraude informatique

Deux décisions de justice méritent attention en la matière :

 

L’une a notamment été rendue sur le fondement de l’article 323-3 du Code pénal, suite à l’introduction du délit d’extraction des données en 2014. En l’espèce, un fichier clients d’un site Internet avait été prélevé par un tiers qui « aspirait » de nombreuses coordonnées de contacts à distance. Alors que ce dernier avait été relaxé en première instance pour des faits supposés d’introduction informatique, il a cependant été condamné pour l’extraction de données, d’une part, et la collecte illicite de données personnelles (article 226-18 du Code pénal), d’autre part.

Ce faisant, cet arrêt s’inscrit dans le corpus jurisprudentiel actuel, depuis lors confirmé par les tribunaux, de « vol de données » http://demaisonrouge-avocat.com/2017/07/12/la-theorie-juridique-du-vol-de-donnees-se-renforce/

 

CA Paris, pôle 4 – ch 11, 15 sept. 2017

https://www.legalis.net/jurisprudences/cour-dappel-de-paris-pole-4-ch-11-arret-du-15-septembre-2017/

 

 

En revanche, une autre décision judiciaire a relevé une banque de son obligation d’indemniser un de ses clients, au motif que ce dernier avait été négligent dans l’utilisation de ses outils numériques et s’est retrouvé victime d’une manœuvre de pishing. Un message prétendument adressé par SFR – via une messagerie approchante – l’a conduit à ne pas être vigilant par rapport à son interlocuteur et a communiqué ses coordonnées de carte bancaire que l’escroc a bien évidemment utilisé à ses dépens en réalisant des achats en ligne.

Tandis que la victime se retournait contre sa banque prétextant qu’elle n’avait pas vérifié l’identité de la personne ayant procédé aux opérations frauduleuses débitées sur son compte, la Cour d’appel a infirmé le jugement de première instance, estimant qu’il n’y avait aucune faute de la banque, dès lors que le titulaire du compte n’avait pas fait preuve de prudence et qu’elle avait confirmé par SMS sur son mobile les opérations dénoncées auprès de sa banque en entrant les codes 3D secur.

 

Cass. Com. 25 oct. 2017

https://www.legalis.net/jurisprudences/cour-de-cassation-civile-ch-cciale-arret-du-25-octobre-2017/

 

Droit de la preuve, confidentialité et respect de la vie privée : florilège de jurisprudence

La protection de la vie privée des individus étant effectivement devenue un socle fondamental dans le cadre de l’administration de la preuve, où la protection des données personnelles est désormais perçue comme une valeur supérieure – que la protection des informations économiques divulguées devrait pouvoir revendiquer tout autant – plusieurs affaires judiciaires confortent cette analyse :

 

  • Dans le cadre d’une action en concurrence déloyale dirigée contre un ancien salarié, l’employeur avait obtenu, sur le fondement de l’article 145 du CPC, qu’un huissier puisse accéder à sa messagerie personnelle, ouvrir les messages en lien avec l’affaire et en dresse procès-verbal. S’agissant d’une messagerie professionnelle, nous avons déjà eu l’occasion de rappeler le droit applicable http://archives.lesechos.fr/archives/cercle/2010/09/28/cercle_31280.htm. ici, s’agissant d’une messagerie personnelle, le salarié invoquait le droit au respect de sa vie privée. Il a néanmoins été débouté, dans la mesure où la Cour de cassation a estimé que le but recherché était justifié, que les mesures accordées étaient proportionnelles et circonscrites dans son objet.

Cette approche rejoint notre dernière analyse : http://www.dalloz-revues.fr/Dalloz_IP/IT-cover-64176.htm sur le secret des affaires à l’épreuve de la procédure judiciaire. Idem en matière de contrefaçon et préservation du secret : CA Paris, pôle 1.3, 4 juillet 2017, n°17/02918

 

 

 

 

L’influence dans tous ses états : avis, intérêts et trafic

L’influence, souvent mal définie ou mal abordée, à tout le moins mal perçue, peut se concevoir comme étant l’action qui permet d’emporter l’adhésion ou le consentement de sa cible. C’est pourquoi toute action d’influence n’est évidemment pas illicite et « convaincre » est le maître-mot de la discipline, à condition d’user d’arguments loyaux et sincères.

 

 

En matière d’avis de consommateur, une enquête de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), en date du 6 octobre 2017, a révélé que les sites marchands, 35% des avis en ligne sont faux (autrement dit, ils sont pilotés ou directement rédigés par le commerçant et destinés à tromper l’internaute). De même, de fausses références de certification sont couramment utilisées https://www.economie.gouv.fr/dgccrf/Publications/Vie-pratique/Fiches-pratiques/faux-avis-consommateurs-sur-internet

En réponse, applicable au 1er janvier 2018, le décret n°2017-1436 du 5 octobre 2017, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720935&dateTexte=&categorieLien=id modifiant le Code de la consommation, vient davantage encadrer la pratique.

 

En matière d’influence normative et lobbying, la loi du 9 décembre 2017, dite Sapin 2, avait imposé aux entreprises liées à ces activités un cadre restrictif pour les représentants d’intérêts. Applicable au 1er janvier 2018, la loi précise la nature des activités soumises à ces nouvelles obligations et contraint les entreprises du secteur à s’identifier via un répertoire numérique (décret n°2017-867 du 9 mai 2017 https://www.legifrance.gouv.fr/eli/decret/2017/5/9/ECFM1706418D/jo/texte ) administré par la Haute Autorité pour la transparence de la vie publique.

 

Enfin, en matière de trafic d’influence (acte de corruption visant à obtenir d’un acteur public un acte ou une décision favorable), réprimé par l’article 433-1 et suivants du Code pénal https://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=3ECC77B7E060F59923D3AB4D7068157F.tplgfr32s_3?idArticle=LEGIARTI000028311938&cidTexte=LEGITEXT000006070719&dateTexte=20171115&categorieLien=id&oldAction= il a été jugé que la remise par un agent d’une administration publique d’un document, même non accessible au public, ne peut suffire à caractériser l’obtention d’une décision favorable constituant le délit de trafic d’influence (cass. Crim. 25 oct. 2017, n°16-83.724).