La théorie juridique du « vol de données » se renforce

Longtemps combattue par quelques mandarins coupés des évolutions numériques actuelles, la théorie du vol de données s’affirme, y compris à la Cour de cassation. Désormais, un faisceau de jurisprudence est établi en ce sens.

 

Il est vrai qu’à la lecture littérale de la définition du vol, prise comme « la soustraction du bien d’autrui », en matière numérique il n’y a pas soustraction au sens de la disparition des données dans le patrimoine de la victime, mais plutôt une copie sur clé USB, disque dur externe, ou envoi par e-mail (ou tout autre procédé digital). C’est pourquoi quelques puristes académiques se refusent à admettre l’obtention illicite d’informations et/ou de données.

 

 

Une innovation avait été consacrée en 2013 avec la réforme des textes sanctionnant le piratage informatique (articles 323-1 et suivants du Code pénal), en intégrant l’extraction de données, qui faisait étonnamment défaut depuis 1998. Dès lors, tout hacker qui pénètre frauduleusement un système d’information et en soutire des données, peut se voir condamné pour ce motif.

 

Au cas présent, le voleur était en possession des codes d’accès et n’avait donc pas pénétré frauduleusement le système.

Aussi, de manière audacieuse, à l’instar d’affaires désormais établies http://demaisonrouge-avocat.com/2015/06/15/le-vol-de-donnees-immaterielles-reconsacre-par-la-cour-de-cassation/http://demaisonrouge-avocat.com/2016/12/08/intrusion-numerique-vols-de-donnees-et-coresponsabilite/http://www.latribune.fr/opinions/tribunes/20121112trib000730342/secret-des-affaires-l-espionnage-c-est-le-vol.html – la Chambre criminelle de la Cour de cassation a ici retenu le vol de fichiers informatiques  https://www.actualitesdudroit.fr/documents/fr/jp/j/c/crim/2017/6/28/16-81113

 

 

Le secret industriel et commercial et l’administration

Au titre de son rapport d’activité pour 2016, la Commission d’accès aux documents administratifs (CADA) a publié une étude sur le secret industriel et commercial, doctrine fondant un obstacle à la communication de documents publics.

 

Les composantes en sont :

1)      Le secret des procédés

2)      Les savoirs-faires et techniques secrètes ;

3)      Les informations qui se rapportent aux données économiques de l’entreprise (CA, santé financière, …) ;

 

En d’autres termes, en dépit du principe de transparence qui prévaut dans les rapports avec l’administration, celle-ci peut opposer un refus à la transmission d’éléments concernant un concurrent – et plus généralement un tiers – pour toute demande qui toucherait au secret industriel et commercial de ce dernier.

 

Globalement, bien qu’empirique et « casuistique » (selon ses propres termes), la CADA a une appréciation plutôt extensive du secret industriel et commercial, lequel couvre peu ou prou le secret des affaires.

 

http://www.cada.fr/IMG/pdf/rapport_d_activite_2016.pdf

 

 

Géostratégie des blocs économiques

Au titre de la compétition géoéconomique auxquelles se livrent les puissances de ce monde, plusieurs éléments significatifs doivent être relevés, traduisant les tendances actuelles majeures :

 

Afin de protéger ses données d’Etat, l’Estonie fait le choix de créer un data center, sous couvert d’ambassade diplomatique, au Luxembourg, par peur de l’ours russe ? http://www.numerama.com/politique/269792-pour-proteger-ses-donnees-lestonie-ouvre-un-data-center-embassade-au-luxembourg.html

 

Très porté sur les questions géopolitiques, Jean-François Fiorina, directeur général adjoint de Grenoble Ecole de management, nous livre un point de vue instructif sur l’affaire Alstom qui avait vu la branche énergie vendue à General Electric, perçue comme une défaite économique http://notes-geopolitiques.com/notesgeo/wp-content/uploads/2017/06/CE4.pdf

A rapprocher du colloque que nous avions organisé sur ce même thème pour le SYNFIE : http://synfie.fr/index.php/actualites/lettre-trimestrielle/finish/5-lettre/500-lettre-d-information-du-synfie-mars-2016

 

En réplique, ainsi que nous l’avions relevé par ailleurs https://www.cairn.info/revue-securite-globale-2017-1.htm , il est patent que l’Union Européenne a décidé de riposter notamment par le RGPD (ou GPDR, à vocation extraterritoriale) et par la taxation fiscale des GAFA http://bruxelles.blogs.liberation.fr/2017/06/28/google-une-guerre-americano-europeenne-qui-ne-dit-pas-son-nom/

 

Pour comprendre davantage les mécanismes de la guerre économique qui fait rage, l’analyse toujours pertinente de notre ami Christian Harbulot sur le Portail de l’IE https://portail-ie.fr/short/1612/la-pedagogie-indispensable-sur-la-guerre-economique et, dans le même esprit, par des étudiants de l’Ecole de Guerre Economique (www.ege.fr ), cette étude sur la stratégie économique américaine face à l’Europe http://www.infoguerre.fr/matrices-strategiques/realite-de-strategie-economique-americaine-face-a-leurope-apres-trump-5911

 

 

Approche judiciaire de la compliance

Cette obligation de conformité – aussi dénommée « compliance » – initialement perçue comme de la soft law, largement étendue depuis les lois Sapin 2 (https://www.legifrance.gouv.fr/eli/loi/2016/12/9/2016-1691/jo/texte ) et du devoir de vigilance des sociétés mères (https://www.legifrance.gouv.fr/eli/loi/2017/3/27/2017-399/jo/texte ), a fait l’objet d’une définition intéressante par Monsieur le Procureur général à la Cour de cassation Jean-Claude Marin, le 6 juillet 2017 :

https://www.courdecassation.fr/IMG/Colloqu_compliance_JC_Marin.pdf

 

Extraits :

 

« ce concept pour nous relativement nouveau, dont la définition évolue d’un système juridique à l’autre, s’impose comme élément déterminant d’évolution de notre droit mais aussi, et peut-être surtout, comme un puissant facteur de changement de notre culture de l’approche de l’entreprise ».

 

« (…) elle se caractérise aussi, et peut-être même surtout, par la capacité des entreprises à créer, en leur sein, des processus et des actions de prévention ou de minimisation des risques ».

 

 

Autorités au rapport !

Avant les grandes migrations estivales, les Autorités Administratives Indépendantes (AAI) reviennent sur l’année civile précédente dans le cadre de rapports annuels dont l’exercice est désormais largement codifié.

 

 

  • Pour l’Autorité de la Concurrence (ALDC), qui dispose d’une procédure ad hoc s’agissant de la protection du secret des affaires rappelons-le, l’année 2016 a été l’occasion de se pencher davantage sur les concentrations, notamment dans le secteur numérique et l’e-santé. En outre, son spectre d’intervention a été élargi avec le secteur d’activité des professions réglementées http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/174000544.pdf

 

 

 

Renseignement, état d’urgence et Etat de droit

A l’heure où la nouvelle majorité a d’ores et déjà reconduit l’Etat d’urgence et envisage d’intégrer une partie des dispositions qui en sont issues dans le droit commun, tout juriste est interpellé par de telles mesures de moins en moins extraordinaires.

 

Rompant avec la tradition de confidentialité, les 2 avis du Conseil d’Etat ont été rendu publics :

 

-          Prolongation de l’état d’urgence :

http://www.conseil-etat.fr/Decisions-Avis-Publications/Avis/Selection-des-avis-faisant-l-objet-d-une-communication-particuliere/Projet-de-loi-prorogeant-l-application-de-la-loi-n-55-385-du-3-avril-1955-relative-a-l-etat-d-urgence

 

-          Projet de loi renforçant la sécurité intérieure et la lutte contre le terrorisme :

http://www.conseil-etat.fr/Decisions-Avis-Publications/Avis/Selection-des-avis-faisant-l-objet-d-une-communication-particuliere/Projet-de-loi-renforcant-la-securite-interieure-et-la-lutte-contre-le-terrorisme

 

Ainsi, une des dispositions prévues dans le cadre de la lutte antiterroriste est l’obligation de fournir ses identifiants personnels, laquelle n’est pas sans faire débat.

 

 

Par ailleurs, en application de la promesse de campagne du candidat Macron, il a été créé un Coordinateur national du renseignement et de la lutte contre le terrorisme https://www.legifrance.gouv.fr/eli/decret/2017/6/14/PRMX1716719D/jo/texte

 

 

En application de l’Etat de droit, issu de la Loi renseignement du 24 juillet 2015, le Conseil d’Etat, dans sa formation spéciale, a enjoint le Ministère de la défense (devenu Ministère des Armées) d’effacer des données figurant illégalement dans un fichier de sûreté de l’Etat de la DRSD https://www.legalis.net/jurisprudences/conseil-detat-formation-specialisee-decision-du-5-mai-2017/

 

 

De la souveraineté à la sécurité numérique

La sécurité des données étant devenue une préoccupation majeure, plusieurs outils, initiatives et décisions sont à saluer en ce sens :

 

 

 

 

 

 

 

Enfin la livraison de notre dernier Bulletin du droit des secrets d’affaires (BSA) consacré au numérique avec les contributions d’experts reconnus : http://demaisonrouge-avocat.com/wp-content/uploads/2017/07/BSA_-06_2017.pdf

 

 

Sécurité numérique et prise de conscience : les leçons de Wannacry

 

Après la vaste cyber-attaque Wannacry, même s’il faut déplorer de nombreux systèmes touchés, la démonstration aura servi de leçon (à tout le moins d’exemple) et sans doute permis une prise de conscience salutaire en matière de sécurité et d’hygiène numérique.

 

En matière de réflexion sur la cybersécurité, plusieurs productions sont à relever :

 

-          La Loi de programmation militaire (LPM) de 2013 avait déjà envisagé la cyberprotection des sites informatiques essentiels avec la création des Opérateurs d’Importance Vitale (OIV). Le point sur la question : https://www.alliancy.fr/expertise/cybersecurite/2017/03/24/loi-de-programmation-militaire-mise-au-point-sur-le-volet-cybersecurite

 

-          Sur le plan des réparations des dommages immatériels suite à une attaque informatique, plusieurs questions déterminantes se posent :

 

1)      Comment estimer le coût d’une faille de données potentielles pour son entreprise ? http://globbsecurity.fr/estimer-cout-dune-faille-de-donnees-potentielle-entreprise-41252/

 

2)      Comment prendre en compte l’indemnisation des atteintes informatiques ?

https://www.lesechos.fr/idees-debats/cercle/cercle-168128-le-marche-de-la-cyber-assurance-risque-pour-les-assureurs-2075814.php

ici aussi : https://www.lesechos.fr/04/02/2014/LesEchos/21619-141-ECH_le-bel-avenir-du-marche-de-la-cyber-assurance.htm

 

-          Et enfin une considération plus générale pertinente en la matière : https://www.lesechos.fr/idees-debats/cercle/cercle-170310-cyber-securite-la-politique-de-lautruche-nest-plus-une-option-2088984.php

 

En attendant l’entrée en vigueur du RGPD …

L’entrée en vigueur du Règlement Général (UE) de protection des données personnelles étant prévue en mai 2018, il reste désormais moins d’un an pour s’y conformer. Une vaste campagne de sensibilisation des entreprises a déjà eu lieu.

 

-          Afin « d’éduquer » les contrevenants à la réglementation « informatique et libertés », en dépit de dénégations au prétexte de dysfonctionnements techniques, une entreprise a été financièrement sanctionnée après deux contrôles sur plainte et recommandations non appliquées. La décision a été rendue publique à titre d’exemple : CNIL, délibération 2017-002, 13/04/2017

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034473080&fastReqId=191427501&fastPos=1

 

Petit rappel : en application du RGPD, il n’existera plus de régime d’autorisation préalable, mais une obligation permanente de se conformer pour tous les acteurs de la chaîne à la confidentialité des données personnelles (intégré en amont avec la règle du privacy by design). Des sanctions financières substantielles sont prévues en cas de contrôle et d’infraction constatée à l’instar du cas visé par la CNIL.

 

-          En matière de cookies, la CNIL a annoncé un contrôle accru des sites Internet (un règlement européen devrait voir le jour prochainement en la matière).

 

Rappel sur les règles applicables : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

 

-          Le contrôleur européen de la protection des données a publié un kit à destination des législateurs des Etats membres sur les futures dispositions applicables : https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf

 

 

La confidentialité des comptes toujours en débat

Bien que certaines avancées aient été enregistrées ces dernières années sur la restriction à l’accès aux comptes sociaux déposés au greffe du Tribunal de commerce, désormais assortis dans une certaine limite d’une option de confidentialité, une question parlementaire a néanmoins mis en lumière certaines craintes légitimes.

 

Le Ministère de l’Economie et des Finances (Minefi) était interrogé pour savoir s’il est envisagé d’exclure de l’interdiction d’accès aux comptes annuels les sociétés spécialisées en information de solvabilité et prévention de défaillance.

 

En réponse au Sénateur, le Minefi a rappelé que l’article A 123-68-1 du Code de commerce prévoit un accès à l’intégralité des comptes déposés à certaines organisations (autorités judiciaires et administratives, Banque de France, …) en ce compris les sociétés spécialisées en information de solvabilité et prévention de défaillance.

 

http://www.senat.fr/questions/base/2016/qSEQ160320603.html

 

 

A rappeler également que même assortis de l’option de confidentialité (relative comme vu ci-dessus), le dépôt des comptes reste obligatoire, quelle que soit la taille de l’entreprise, ainsi que l’a encore récemment jugé la Cour d’appel de Colmar (CA Colmar, 27 févr. 2017, n°16/05766).