La blockchain entre dans le droit français

Nous n’évoquons pas ici le bitcoin, crypto-monnaie non régulée mais néanmoins régie par la blockchain, qui a été ainsi propulsée sur le devant de la scène.

 

En revanche, technique qui intéresse de nombreux acteurs numériques et plusieurs métiers, la blockchain est avant toute chose un moyen électronique qui tend à se développer dès lors qu’elle permet de « s’affranchir de tiers de confiance ». C’est sans doute un peu l’Uber technologique, avec ses aspects critiquables notamment en matière d’impact environnemental selon ses détracteurs, outre la nécessité de traiter des opérations grande échelle pour en assurer l’intégrité.

 

Il n’en demeure pas moins que ce procédé innovant tend manifestement à se déployer et va nécessairement trouver ses usages, compte tenu de son modèle horizontal.

 

Dans cette optique, le législateur a d’ores et déjà intégré sa pratique en définissant la blockchain comme étant un « dispositif d’enregistrement électronique partagé » : ordonnance n°2017-1674 du 8 décembre 2017

https://www.legifrance.gouv.fr/eli/ordonnance/2017/12/8/ECOT1729053R/jo/texte

 

 

Une protection judiciaire du secret des affaires toujours vaporeuse, dans l’attente de la transposition de la directive du 6 juin 2016

Nous avons toujours déploré l’absence de droit positif relatif au secret des affaires, et tout particulièrement de définition du secret des affaires.

 

A cet égard, la directive UE n°2016/943 du 8 juin 2016 nous a déjà donné satisfaction et sa transposition à venir – à laquelle nous avons largement contribué – sera un atout décisif en la matière.

 

Dans cette attente, faute de disposer d’un étalon communément accepté, chaque juridiction et/ou autorité administrative a sa propre acception. De même, à défaut de procédure ad hoc, chaque juridiction estime souverainement les motifs et les conditions permettant ou pas d’avoir accès au secret détenu par un concurrent.

 

Dans une récente affaire, des ex-franchisés qui avaient quitté une enseigne font grief à leur ancien franchiseur d’avoir conservé à leur détriment les remises et ristournes annuelles consenties par leur fournisseur commun. Ils introduisent donc une demande en Justice (article 145 NCPC – mesure in futurum) afin de voir désigner un expert chargé de recouper les informations commerciales permettant de mettre en évidence le dommage subi par les ex franchisés, devenus concurrents de leur ancien franchiseur.

 

Ils sont déboutés en cause d’appel, la juridiction estimant que la mesure sollicitée est trop intrusive, dès lors qu’elle permettrait aux demandeurs d’avoir connaissance des pratiques commerciales de leur concurrente, relevant du secret des affaires.

 

La Cour de cassation annule cette décision estimant que le secret des affaires ne peut faire en tant que tel obstacle à une mesure d’expertise, mais qu’il appartient au juge de circonscrire la mission de l’expert et de l’encadrer de manière à ne pas révéler indûment des informations confidentielles.

 

Cela est dans le droit fil de ce que nous connaîtrons prochainement avec le nouveau régime instituant un « club de confidentialité » afin de préserver le secret des affaires dans le cadre d’une instance judiciaire.

 

Cass. Com. 18 octobre 2017, n°16-15.900

 

 

Le salarié, entre protection du secret et loyauté de la preuve

Détenteur – parfois malgré lui – d’informations confidentielles de l’entreprise, le salarié est un engrenage souvent déterminant de la préservation du patrimoine informationnel secret, quand il n’est pas lui-même acteur.

 

Soupçonné d’avoir frauduleusement transféré des données sensibles, un salarié avait refusé de remettre spontanément une clé USB à son employeur, à première demande de ce dernier. Le chef d’entreprise a donc pris la décision de licencier son employé pour faute grave. Or, celui-ci, s’il n’avait pas remis sur l’instant la clé litigieuse susceptible de contenir des informations confidentielles indûment extraites du serveur de l’entreprise, a néanmoins obtempéré par la remise du support querellé au bout d’un quart d’heure, par un représentant du personnel (sur fond de harcèlement moral).

Pour la Cour de cassation, dans de telles circonstances, le licenciement pour faute grave n’était pas justifié https://www.legalis.net/jurisprudences/cour-de-cassation-civile-ch-sociale-arret-du-5-juillet-2017/

 

Cass. Soc., 5 juillet 2017

 

De même, afin de faire la preuve des agissements contraires aux règles de sécurité par un salarié, un employeur avait mandaté des agents assermentés qui avaient suivi le subordonné. Il en a été tenu dans l’ignorance et les conclusions de cette mesure n’ont pas été portées à sa connaissance, bien qu’ayant servi de base à son licenciement.

La chambre sociale de la Cour de cassation, fidèle à sa doctrine, avait estimé que le procédé était déloyal et de fait, la preuve n’était pas constituée.

 

Cass. Soc., 18 octobre 2017, n°16-16.462

 

Par ailleurs, pour certains métiers sensibles (transport de fonds, gardiennage des zones aéroportuaires, …) les employeurs sont en droit, en vertu du Code de la sécurité intérieure, de pratiquer des enquêtes avant embauche. En outre, l’administration doit préalablement émettre une autorisation ou agrément d’embauche confiées à des services spéciaux de police administrative. Modifié par la loi n°2017-1510 du 30 octobre 2017, il est désormais possible de pratiquer une enquête post embauche si le salarié révèle des modifications apparentes de comportement, outre une affectation à un poste moins sensible.

 

 

Du régime juridique des divulgations internes et du lanceur d’alerte

La loi Sapin 2 du 9 décembre 2016 a institué un statut unifié du lanceur d’alerte, créant une garantie citoyenne au sein de l’entreprise, autant qu’un risque de dénonciation inappropriée voire calomnieuse. En la matière, le discernement et la pédagogie doivent amener à une meilleure efficacité du dispositif d’alerte interne.

 

 

Sur ce statut, l’affaire Luxleaks a connu un retournement car Antoine Deltour, qui avait été dans un premier temps condamné pour révélation d’informations confidentielles, s’est vu in fine reconnaître la protection ad hoc en qualité de lanceur d’alerte par la Cour de cassation luxembourgeoise, le 11 janvier 2018 http://www.lepoint.fr/justice/luxleaks-la-cour-de-cassation-annule-la-condamnation-du-lanceur-d-alerte-antoine-deltour-11-01-2018-2185601_2386.php

 

En revanche, pour avoir divulgué les montants de rémunération des salariés d’une entreprise, un responsable administratif a vu son licenciement pour faute grave validé en raison de la révélation d’informations confidentielles.

 

Cass. Soc., 22 novembre 2017, n°16-24.069

Le sceau du secret (et ses exceptions)

Il ne s’agit pas ici de nous prononcer sur les méthodes d’un ancien Garde des Sceaux qui aurait pu avoir transmis – via une messagerie chiffrée – des informations judiciaires à un député mis en cause, https://www.francetvinfo.fr/societe/justice/l-ancien-garde-des-sceaux-urvoas-a-transmis-une-note-confidentielle-a-solere-sur-une-enquete-le-concernant_2512629.html#xtor=AL-85-[contenu] mais d’aborder la question du secret professionnel en général, sous ses différents aspects.

 

Tout d’abord, la question – devenue un serpent de mer – du legal privilege, à savoir le secret professionnel du juriste qui souhaite protéger les conclusions de son avis juridique face à l’intrusion de l’administration. Pour l’heure, ce secret n’est pas opposable, contrairement à d’autres pays. Sans nous prononcer sur une éventuelle évolution législative en cours de réflexion, la Cour d’appel de Paris a déjà effectué une inflexion en estimant couvert par le legal privilige des documents (en réalité une synthèse établie par une juriste d’entreprise) qui contiennent la stratégie judiciaire de l’avocat mandaté par la société. En l’espèce, il s’agi davantage d’une protection accrue du secret professionnel de l’avocat, par ricochet.

 

CA Paris, 8 novembre 2017, n°14/13384

 

Par ailleurs, s’agissant du secret professionnel de l’avocat, par principe et sauf mention contraire les correspondances sont couvertes par la confidentialité. Cela couvre tant les courriers entres avocats qu’un courrier d’un avocat à son client. Cependant, au cas présent, il s’agissait d’un courrier d’un avocat invitant à se présenter à la signature d’un acte rédigé par ses soins qui avait été produit dans le cadre d’une instance judiciaire.

La Cour d’appel de Pau a estimé qu’il n’y avait pas eu violation du secret professionnel en l’espèce.

 

CA Pau, 21 décembre 2017, n°15/02996

 

 

S’agissant du secret des sources des journalistes, l’une des pierres angulaires de la liberté de la presse selon la Cour européenne des droits de l’homme, cette haute juridiction a précisément jugé contraire à ce principe la condamnation d’un journaliste qui avait refusé à se rendre à une convocation judiciaire et de témoigner dans une affaire de révélation d’informations par sa source (qui avait conduit à une manipulation d’un marché côté où le journaliste avait été instrumentalisé).

 

CEDH, 5 octobre 2017, n°21272/12

 

 

Dans une autre affaire, un établissement financier (établi dans les îles Caïman) s’est vu refusé l’argument du secret bancaire à une demande d’un liquidateur judiciaire sur le patrimoine financier d’un dirigeant d’entreprise défaillante. La Cour de cassation a estimé qu’il s’agissait d’une exception justifiée au principe du secret bancaire institué par le Code monétaire et financier.

 

Cass. Com., 29 novembre 2017, n°16-22.060

La protection des données, un enjeu central

Dans la lutte engagée contre la prégnance exacerbée des GAFAM, au nom d’idéaux comme celui de la préservation de l’intimité, l’UE a riposté notamment via l’adoption du RGPD / GDPR en avril 2016. Ce texte majeur sera applicable en mai 2018, mais oblige d’ores et déjà les entreprises à se conformer aux bonnes pratiques.

 

Nos dernières réponses sur cette question : https://www.globalsecuritymag.fr/Protection-des-donnees,20170921,73828.html

 

Ainsi que nous l’avons annoncé http://demaisonrouge-avocat.com/2015/11/09/la-decision-cjue-safe-harbor-un-acte-europeen-de-souverainete-numerique/ l’Union Européenne a pris le parti de se lancer dans un bras de fer contre les Etats-Unis, sur la thématique des données personnelles, matériau des base de l’industrie numérique des géants américains. C’est pourquoi, s’agissant de mesures extraterritoriales, en réponse aux sanctions financières ayant frappé des fleurons européens (BNP Paribas, Alstom, …), la Commission veille aux intérêts des citoyens européens http://premium.lefigaro.fr/secteur/high-tech/2017/09/18/32001-20170918ARTFIG00313-donnees-personnelles-l-ue-demande-des-gages-aux-etats-unis.php

 

Note analyse du sujet : https://www.efcse.eu/fr-fr/news/20170928_[EFCSE.EU]_INTERNET_CONTINENT_IMMATERIEL_[FR].pdf

 

En déployant ces nouveaux usages destinés à protéger les données personnelles, les entreprises européennes se trouvent en conséquence confrontées à de nouvelles contraintes qui interpellent en définitive sur la finalité de la mesure : http://premium.lefigaro.fr/secteur/high-tech/2017/10/19/32001-20171019ARTFIG00301-paul-ohm-proteger-les-donnees-ne-veut-pas-dire-proteger-la-vie-privee.php

 

Aussi, peut-être est-il nécessaire d’avoir une approche plus globale et unifiée à l’échelle du continent pour admettre que la protection des données ne doit pas se cantonner à la préservation de l’intimité, mais aussi à la sécurité des données non personnelles – autrement dit stratégiques – des entreprises européennes.

 

C’est l’enjeu du secret des affaires, d’une part, et du projet de « paquet numérique » 2 en cours d’élaboration, annoncée par Jean-Claude Junker en septembre dernier, d’autre part.

 

A titre de conclusion provisoire, on se réjouira de constater qu’avec le RGPD – et la création en corollaire du statut de délégué à la protection des données (que nous sommes) – les entreprises s’obligent à mettre en œuvre un protocole de sécurité des données des tiers (les données personnelles). Reste à les amener à avoir une réflexion profonde pour associer la protection de leurs propres données essentielles, à savoir les informations stratégiques.

 

 

Raison d’Etat et protection de la vie privée

Depuis les révélations d’Edward Snowden et l’émoi affectant l’emprise des services de renseignement américain sur les communications électroniques (ayant conduit à l’annulation du Safe Harbor le 6 octobre 2015 https://portail-ie.fr/analysis/1313/laffaire-safe-harbor-un-acte-dindependance-numerique ) la protection de la vie privée prévaut largement, y compris en matière de renseignement d’Etat.

 

Ainsi, en application de l’article 851-3 du Code de la sécurité intérieure https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000025503132&idArticle=LEGIARTI000030939246 le président de la CNCTR a révélé l’activation d’une première boîte noire en octobre 2017, permettant aux services de renseignement français d’accéder à un nombre conséquents de métadonnées http://premium.lefigaro.fr/secteur/high-tech/2017/11/14/32001-20171114ARTFIG00202-loi-renseignement-une-premiere-boite-noire-a-ete-activee.php . Il a cependant pris soin de préciser que les données recueillies étaient anonymisées.

 

Concernant le fichier TAJ (traitement des antécédents judiciaires https://www.cnil.fr/fr/taj-traitement-dantecedents-judiciaires ), le Conseil constitutionnel a jugé sur la base d’une question prioritaire de constitutionnalité (QPC) que son exploitation devait être revue et corrigée, car il est insuffisamment mis à jour (données sur des individus faisant l’objet d’une conservation trop longue) et porte atteinte à la vie privée http://www.lemondedudroit.com/judiciaire/324-organisation-judiciaire/54436-qpc-effacement-anticipe-des-donnees-inscrites-dans-un-fichier-de-traitement-dantecedents-judiciaires.html

 

 

Identité, signature électronique et confiance numérique

A l’heure du tout dématérialisé et de la transformation digitale, selon l’expression désormais consacrée, désormais, l’individu s’efface derrière une identification numérique individualisée dans les actes de la vie courante effectués à distance via des supports informatiques.

 

Déjà, l’administration française avait bâti un référentiel avec le n° de sécurité sociale permettant d’identifier pour ses besoins les personnes physiques en matière de santé https://www.cnil.fr/fr/le-numero-de-securite-sociale

 

Les outils de communication sont désormais multiples et de plus en plus nomades, renforçant ce besoin de sécuriser les échanges électroniques.

 

Désormais l’usage s’est étendu pour d’autres besoins, créant autant d’identifiants.

 

C’est pourquoi plusieurs textes sont venus encadre la pratique et renforcer le niveau de confiance numérique applicable.

 

Ainsi, le décret n°2017-1416 du 28 septembre 2017 est revenu sur la signature numérique qualifiée, instituant une présomption de fiabilité et de d’identification de l’émetteur du message en application de l’article 1367 du Code civil et du règlement UE n°910/2014 du 23 juillet 2014 (dit eDIAS) sur l’identification électronique et les services de confiance pour les transactions électroniques https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035676246&fastPos=25

 

De même, toujours en application du règlement eIDAS, l’ordonnance n°2017-1426 du 4 octobre 2016 a introduit dans le Code des postes et des communications électroniques (CPCE) les définitions d’identification électronique et de moyen d’identification électronique par voie de certification, sous l’égide de l’ANSSI https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000035720606&dateTexte=&categorieLien=id

 

 

Pour rappel, l’article 226-4-1 du Code pénal réprime l’usurpation d’identité …

 

 

Sur le front de la cybersécurité européenne

Le mois européen de la cybersécurité s’étant écoulé, il convient d’apprécier à leur juste valeur les engagements pris concourant à l’émergence d’une pensée et d’une pratique harmonisée de sécurité économique.

 

Il convient de saluer le premier paquet européen d’ores et déjà adopté :

  • Le règlement 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance
  • La directive 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
  • La directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union :
  • Et la directive 2016/943 du 8 juillet 2016 sur la protection du secret des affaires et des savoirs-faires.

 

En complément, Jean-Claude Junker a annoncé la mise en chantier d’un deuxième paquet, davantage orienté vers la cybersécurité.

En premier lieu, il est prévu d’étoffer et de renforcer l’ENISA, l’agence européenne de cybersécurité https://www-zdnet-fr.cdn.ampproject.org/c/www.zdnet.fr/amp/actualites/cybersecurite-l-enisa-veut-prendre-du-galon-39857552.htm

En second lieu, la commission envisage la fondation d’un Centre européen de recherche et de compétences en matière de cyberdéfense.

Enfin, un règlement est en préparation sur la circulation des données non personnelles.

 

 

A noter, en lien avec ces orientations politiques, le dernier rapport annuel de PwC qui relève des pertes de données en hausse de 50%, ayant représenté un coût de 2,25 millions d’Euros https://www.ouest-france.fr/high-tech/internet/les-cyberattaques-coutent-de-plus-en-plus-cher-aux-entreprises-5361685

De même, le seul virus ukrainien Petya a coûté, à l’échelle mondiale, plus d’un milliard d’Euros http://www.lemonde.fr/pixels/article/2017/11/07/le-virus-petya-a-coute-plus-d-un-milliard-d-euros-aux-entreprises_5211421_4408996.html

 

 

Atteintes aux données et fraude informatique

Deux décisions de justice méritent attention en la matière :

 

L’une a notamment été rendue sur le fondement de l’article 323-3 du Code pénal, suite à l’introduction du délit d’extraction des données en 2014. En l’espèce, un fichier clients d’un site Internet avait été prélevé par un tiers qui « aspirait » de nombreuses coordonnées de contacts à distance. Alors que ce dernier avait été relaxé en première instance pour des faits supposés d’introduction informatique, il a cependant été condamné pour l’extraction de données, d’une part, et la collecte illicite de données personnelles (article 226-18 du Code pénal), d’autre part.

Ce faisant, cet arrêt s’inscrit dans le corpus jurisprudentiel actuel, depuis lors confirmé par les tribunaux, de « vol de données » http://demaisonrouge-avocat.com/2017/07/12/la-theorie-juridique-du-vol-de-donnees-se-renforce/

 

CA Paris, pôle 4 – ch 11, 15 sept. 2017

https://www.legalis.net/jurisprudences/cour-dappel-de-paris-pole-4-ch-11-arret-du-15-septembre-2017/

 

 

En revanche, une autre décision judiciaire a relevé une banque de son obligation d’indemniser un de ses clients, au motif que ce dernier avait été négligent dans l’utilisation de ses outils numériques et s’est retrouvé victime d’une manœuvre de pishing. Un message prétendument adressé par SFR – via une messagerie approchante – l’a conduit à ne pas être vigilant par rapport à son interlocuteur et a communiqué ses coordonnées de carte bancaire que l’escroc a bien évidemment utilisé à ses dépens en réalisant des achats en ligne.

Tandis que la victime se retournait contre sa banque prétextant qu’elle n’avait pas vérifié l’identité de la personne ayant procédé aux opérations frauduleuses débitées sur son compte, la Cour d’appel a infirmé le jugement de première instance, estimant qu’il n’y avait aucune faute de la banque, dès lors que le titulaire du compte n’avait pas fait preuve de prudence et qu’elle avait confirmé par SMS sur son mobile les opérations dénoncées auprès de sa banque en entrant les codes 3D secur.

 

Cass. Com. 25 oct. 2017

https://www.legalis.net/jurisprudences/cour-de-cassation-civile-ch-cciale-arret-du-25-octobre-2017/