Sécurité numérique et prise de conscience : les leçons de Wannacry

 

Après la vaste cyber-attaque Wannacry, même s’il faut déplorer de nombreux systèmes touchés, la démonstration aura servi de leçon (à tout le moins d’exemple) et sans doute permis une prise de conscience salutaire en matière de sécurité et d’hygiène numérique.

 

En matière de réflexion sur la cybersécurité, plusieurs productions sont à relever :

 

-          La Loi de programmation militaire (LPM) de 2013 avait déjà envisagé la cyberprotection des sites informatiques essentiels avec la création des Opérateurs d’Importance Vitale (OIV). Le point sur la question : https://www.alliancy.fr/expertise/cybersecurite/2017/03/24/loi-de-programmation-militaire-mise-au-point-sur-le-volet-cybersecurite

 

-          Sur le plan des réparations des dommages immatériels suite à une attaque informatique, plusieurs questions déterminantes se posent :

 

1)      Comment estimer le coût d’une faille de données potentielles pour son entreprise ? http://globbsecurity.fr/estimer-cout-dune-faille-de-donnees-potentielle-entreprise-41252/

 

2)      Comment prendre en compte l’indemnisation des atteintes informatiques ?

https://www.lesechos.fr/idees-debats/cercle/cercle-168128-le-marche-de-la-cyber-assurance-risque-pour-les-assureurs-2075814.php

ici aussi : https://www.lesechos.fr/04/02/2014/LesEchos/21619-141-ECH_le-bel-avenir-du-marche-de-la-cyber-assurance.htm

 

-          Et enfin une considération plus générale pertinente en la matière : https://www.lesechos.fr/idees-debats/cercle/cercle-170310-cyber-securite-la-politique-de-lautruche-nest-plus-une-option-2088984.php

 

En attendant l’entrée en vigueur du RGPD …

L’entrée en vigueur du Règlement Général (UE) de protection des données personnelles étant prévue en mai 2018, il reste désormais moins d’un an pour s’y conformer. Une vaste campagne de sensibilisation des entreprises a déjà eu lieu.

 

-          Afin « d’éduquer » les contrevenants à la réglementation « informatique et libertés », en dépit de dénégations au prétexte de dysfonctionnements techniques, une entreprise a été financièrement sanctionnée après deux contrôles sur plainte et recommandations non appliquées. La décision a été rendue publique à titre d’exemple : CNIL, délibération 2017-002, 13/04/2017

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034473080&fastReqId=191427501&fastPos=1

 

Petit rappel : en application du RGPD, il n’existera plus de régime d’autorisation préalable, mais une obligation permanente de se conformer pour tous les acteurs de la chaîne à la confidentialité des données personnelles (intégré en amont avec la règle du privacy by design). Des sanctions financières substantielles sont prévues en cas de contrôle et d’infraction constatée à l’instar du cas visé par la CNIL.

 

-          En matière de cookies, la CNIL a annoncé un contrôle accru des sites Internet (un règlement européen devrait voir le jour prochainement en la matière).

 

Rappel sur les règles applicables : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

 

-          Le contrôleur européen de la protection des données a publié un kit à destination des législateurs des Etats membres sur les futures dispositions applicables : https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf

 

 

La confidentialité des comptes toujours en débat

Bien que certaines avancées aient été enregistrées ces dernières années sur la restriction à l’accès aux comptes sociaux déposés au greffe du Tribunal de commerce, désormais assortis dans une certaine limite d’une option de confidentialité, une question parlementaire a néanmoins mis en lumière certaines craintes légitimes.

 

Le Ministère de l’Economie et des Finances (Minefi) était interrogé pour savoir s’il est envisagé d’exclure de l’interdiction d’accès aux comptes annuels les sociétés spécialisées en information de solvabilité et prévention de défaillance.

 

En réponse au Sénateur, le Minefi a rappelé que l’article A 123-68-1 du Code de commerce prévoit un accès à l’intégralité des comptes déposés à certaines organisations (autorités judiciaires et administratives, Banque de France, …) en ce compris les sociétés spécialisées en information de solvabilité et prévention de défaillance.

 

http://www.senat.fr/questions/base/2016/qSEQ160320603.html

 

 

A rappeler également que même assortis de l’option de confidentialité (relative comme vu ci-dessus), le dépôt des comptes reste obligatoire, quelle que soit la taille de l’entreprise, ainsi que l’a encore récemment jugé la Cour d’appel de Colmar (CA Colmar, 27 févr. 2017, n°16/05766).

 

 

L’intelligence artificielle (IA) juridique : vers un droit augmenté ?

L’IA nourrit de nombreux fantasmes, autant qu’elle questionne à juste titre nous avons rédigé de nombreuses contributions à paraître en ce sens.

 

En tout état de cause, à travers cette révolution numérique affectant l’économie, le droit ne pouvait pas ne pas être concerné par ce phénomène profond de digitalisation des activités humaines.

 

Nous avons abordé dernièrement la question de l’algorithme et de sa nature juridique http://demaisonrouge-avocat.com/2017/05/16/le-debat-des-juristes-nature-juridique-de-lalgorithme/.

 

 

En complément, nous relevons différentes études qui permettent d’asseoir la valeur ajoutée du conseil juridique associé à l’IA et ses écueils :

 

-          Où la pratique et la rédaction des actes juridiques se trouve à pouvoir être non seulement valorisée, mais aussi financièrement quantifiée, concourant à constituer un actif incorporel : http://openflow.legal/actes-juridiques-bientot-valorisables/

 

-          Où la mise en œuvre de l’open law institué par la loi pour une République numérique conduit à sanctionner l’Etat pour défaut d’anonymisation de décisions de Justice : http://www.precisement.org/blog/Defaut-d-anonymisation-d-un-arret-sur-Legifrance-l-Etat-condamne-a-1000-euros.html

 

-          Où la blockchain conduit à s’interroger sur les « smart contrats » et plus généralement sur la pratique innovante du droit des obligations https://www.lesechos.fr/idees-debats/cercle/cercle-154276-la-blockchain-et-la-loi-1201704.php

Ce secret qui résiste bien peu à l’Administration

Le secret, et plus encore le secret industriel et commercial, n’est pas opposable à l’Administration, à charge pour elle de le conserver, sauf exception (voir ci-dessous).

 

Plusieurs textes et décision confirment ce principe :

 

-          3 entreprises sanctionnées pour entente anticoncurrentielles introduisent un recours devant la CJUE, au motif que les informations ayant servi de base à leur condamnation ont été transmises à la Commission européenne suite à une enquête de la Police fiscale italienne. Ce faisant, la police aurait violé les droits de la défense. La CJUE rejette leur requête au motif que la Commission est fondée à utiliser des informations obtenues régulièrement auprès des autorités nationales, quand bien même elles ont été initialement collectées à d’autres fins (CJUE 27 avril 2017, aff. C-469/15 P) ;

 

-          En matière de fraude fiscale également, désormais, en vertu du décret n°2017-601 du 21 avril 2017, l’Administration fiscale peut, à titre expérimental, rémunérer ses informateurs adressant les renseignements de façon spontanée et non anonyme (mais non pas désintéressée…) ;

 

-          S’agissant des décrets d’application de la loi « Macron » du 6 août 2015, relatifs aux professions réglementées, une mesure conduisait à une réforme des tarifs (huissiers, notaires, administrateurs et mandataires judiciaires) après examen statistique. Or, cette étude à des fins statistique devait être opérée à partir des chiffres communiqués par les professionnels en exercice à leurs instances départementales ou régionales. Saisi d’un recours contre cette obligation de communication pesant sur les professions réglementées, le Conseil d’Etat a annulé cette disposition, estimant que le recueil de ces informations par les instances professionnelles portait atteinte au secret des affaires dès lors qu’elles sont susceptibles de révéler à de potentiels concurrents leur santé financière et leur stratégie commerciale (CE, Conseil national des greffiers des tribunaux de commerce et autres, 24 mai 2017).

 

-          Bien que les avocats soient tenus au secret professionnel (encore rappelé par le CNB suite aux révélations dans la presse du conseil de Richard FERRAND http://www.lextimes.fr/actualites/affaire-ferrand/un-avocat-ne-devrait-pas-dire-ca-selon-le-cnb ) le décret n°2017-867 relatif au répertoire numérique des représentants d’intérêts (en application de la loi Sapin 2), oblige les avocats lobbyistes à s’immatriculer en tant que tel, outre le renforcement du rôle du Bâtonnier dans le cadre des procédures de visite et de communication concernant les avocats https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000034633293&fastPos=1&fastReqId=332971270&categorieLien=cid&oldAction=rechTexte

 

A noter a contrario, les obligations de renseignement pesant sur le pouvoir adjudicateur dans la commande public :

 

-          L’arrêté du 14 avril 2017 (JORF du 27 avril 2017) fixant les modalités de publication données essentielles des marchés publics et des contrats de concession, pris en application de l’ordonnance n°2015-899 du 23 juillet 2015.

Secret professionnel, extensions du domaine de la confidentialité

Obligation inhérente à toute fonction et/ou activité économique, le secret professionnel est en principe rigoureusement imposé par certaines catégories professionnelles obligées « par état » (avocats, activités médicales, ministre du culte).

 

http://www.institut-ie.fr/bsa/BSA_02_12_2012.pdf

 

Elle est rendue nécessaire à raison de la protection de la connaissance de l’intimité d’une personne qui se dévoile  à l’égard d’un professionnel (aveux, confession, état médical, …).

 

En réalité, ce qu’il convient davantage de dénommer « confidentialité » professionnelle, tend désormais à couvrir un large champ d’application, eu égard aux informations connues au sein de la structure, ce qui rejoint la préoccupation majeure menée à travers nos travaux d’étude sur la protection des données de l’entreprise.

 

Ainsi, parmi quelques extensions récentes, nous relevons :

 

-          L’obligation de discrétion en ligne d’un agent public : le fait, pour un policier, de révéler des informations relatives aux services où il exerce ses fonctions justifie un licenciement pour faute (CE, 3e et 8e ch., 2 mars 2017).

 

-          De même, un fonctionnaire de police ne peut se retrancher derrière le droit à la liberté d’expression pour avoir frauduleusement consulté le ficher des infractions pénales (STIC), à des fins personnelles (CE, 31 mars 2017).

 

-          La confidentialité des correspondances entre avocats couvre également les pièces et annexes joints aux courriers échangés (CA Aix-en-Provence, 25 avr. 2017).

 

-          Le Conseil constitutionnel a validé les obligations de secret entourant les fonctions de défenseur syndical en matière prud’homale et les sanctions attachées, prévues par l’article L 1453-8 du Code du travail (Cons. constit., 7 avr. 2017, n°2017-623 QPC).

 

-          Le nouveau Code de déontologie de l’Inspection du travail a notamment introduit des obligations de confidentialité pesant sur les inspecteurs du travail à raison des secrets de fabrication et procédés d’exploitation dont ils ont connaissance dans l’exercice de leur mission (Décret 2017-541 du 12 avril 2017).

 

-          Enfin, le nouveau Code de déontologie de la profession de Commissaire aux comptes enferme (et reprend) les mêmes astreintes de secret et de discrétion, en dehors des cas d’alerte prévus par la Loi (Décret 2017-540 du 12 avril 2017).

 

 

De la confidentialité des correspondances électroniques : entre pudeur française et extraterritorialité américaine

Edward Snowden ayant révélé qu’aux Etats-Unis Mickey n’était pas le seul à avoir de « grandes oreilles », l’enjeu de l’interception des correspondances électroniques est effectivement devenu essentiel en matière de renseignement.

 

Ainsi, hormis les cas légaux prévus par la Loi (cf. chapitre VIII du Code de la sécurité intérieure), nul n’est autorisé à prendre connaissance du contenu de la correspondance échangée entre tiers. Cette transgression est pénalement réprimée (article 226-15 du Code pénal).

 

Le Décret n°2017-428 du 28 mars 2017 relatif à la confidentialité des correspondances électroniques privées, pris en application de la loi pour la république numérique, est venu réglementer les obligations pesant sur les opérateurs et fournisseurs de services en la matière https://www.legifrance.gouv.fr/eli/decret/2017/3/28/ECFI1706935D/jo/texte

 

A rapprocher d’une décision récente de la Cour de Californie, déboutant Google qui contestait une réquisition du 30 juin 2016 émise par le gouvernement fédéral qui ordonnait à Alphabet de communiquer des contenus provenant de comptes Gmail, en ce compris s’agissant de données hébergées en dehors du territoire américain. Confirmant le jugement de première instance, le juge californien estime que l’opérateur doit communiquer à première demande les informations demandées, y compris concernant les données présentes au sein de data centers situés hors des USA http://www.silicon.fr/mails-stockes-hors-etats-unis-google-somme-collaborer-173081.html

 

Le respect du secret industriel et commercial en matière administrative

Depuis de nombreuses années la Commission d’Accès aux Documents Administratifs (CADA) a forgé une doctrine visant à protéger – ou à tout le moins de juger en amont la pertinence de la communication – des secrets industriels et commerciaux dont a connaissance l’Administration, à travers les appels d’offres et autres missions de service public.

 

En ce sens, en matière communautaire, l’article 15 de la Directive « Fournitures » n°93/36/CEE stipule que dans le cadre de l’examen d’offres publiques, l’instance administrative adjudicatrice a l’obligation juridique de préserver la confidentialité des informations communiquées par les candidats.

 

Sur la base de ce principe, à nouveau réaffirmé, en dépit du fait qu’une entreprise puisse être déclarée comme étant en situation de monopole ou de quasi-monopole, ses rivaux ne peuvent pas avoir accès aux informations communiquées dans le cadre de la procédure d’infraction aux règles de libre concurrence.

 

L’affaire visait à annuler une décision de refus de transmission de l’ARFEP (autorité de régulation des télécoms) d’offres techniques locales d’Orange que souhaitaient se faire communiquer d’autres opérateurs.

 

CE, 10e et 9e ch., 21 avr. 2017

L’abus de confiance, toujours et encore motif de sanction pénale de divulgation de données confidentielles

« constitue un abus de confiance le fait, pour une personne, qui a été destinataire, en tant que salariée d’une société, d’informations relatives à la clientèle de celle-ci, de les utiliser par des procédés déloyaux dans le but d’attirer une partie de cette clientèle vers une autre société ».

 

Cette décision confirmant une fois encore le recours au droit pénal général pour protéger notamment le secret des affaires et sanctionner le délit de révélation et/ou utilisation frauduleuse.

 

https://www.cairn.info/revue-securite-et-strategie-2012-1-page-41.htm

 

En l’espèce, les juges sont allés assez loin dans l’interprétation du texte en caractérisant le détournement d’une clientèle.

 

Cass. Crim., 22 mars 2017, n°15-85.929

 

Sur le front du renseignement

Plusieurs informations sont à relever en la matière :

 

-          Les Douanes (DNRED) – le plus vieux service de renseignement français, intervenant en matière de flux de marchandises– ont vécu quelques turbulences en raison de scandales ayant affecté cette institution à son plus haut niveau https://www.franceinter.fr/justice/grand-nettoyage-a-la-tete-des-douanes-francaises plusieurs cadres ont été limogés en conséquence, et notamment son directeur.

 

-          L’arrêté du 10 mars 2017, relatif à la DGSE a modifié le périmètre des missions du plus connu (mais aussi du plus fantasmé et du plus secret) des services https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000034475098

 

-          Le décret n°2017-668 du 27 avril 2017 a créé un nouveau service national des enquêtes administratives de sécurité, ayant pour mission de contribuer à la prévention du terrorisme, des atteintes à la sécurité et à l’ordre publics et à la sûreté de l’Etat en diligentant des enquêtes administratives pour le compte du ministre de l’intérieur https://www.legifrance.gouv.fr/jo_pdf.do?id=JORFTEXT000034513043

 

A relever par ailleurs, en matière de « renseignement » fiscal, le décret n°2017-601 du 21 avril 2017 qui permet l’Administration fiscale – à titre expérimental toutefois – de rémunérer ses sources.