La protection des données, un enjeu central

Dans la lutte engagée contre la prégnance exacerbée des GAFAM, au nom d’idéaux comme celui de la préservation de l’intimité, l’UE a riposté notamment via l’adoption du RGPD / GDPR en avril 2016. Ce texte majeur sera applicable en mai 2018, mais oblige d’ores et déjà les entreprises à se conformer aux bonnes pratiques.

 

Nos dernières réponses sur cette question : https://www.globalsecuritymag.fr/Protection-des-donnees,20170921,73828.html

 

Ainsi que nous l’avons annoncé http://demaisonrouge-avocat.com/2015/11/09/la-decision-cjue-safe-harbor-un-acte-europeen-de-souverainete-numerique/ l’Union Européenne a pris le parti de se lancer dans un bras de fer contre les Etats-Unis, sur la thématique des données personnelles, matériau des base de l’industrie numérique des géants américains. C’est pourquoi, s’agissant de mesures extraterritoriales, en réponse aux sanctions financières ayant frappé des fleurons européens (BNP Paribas, Alstom, …), la Commission veille aux intérêts des citoyens européens http://premium.lefigaro.fr/secteur/high-tech/2017/09/18/32001-20170918ARTFIG00313-donnees-personnelles-l-ue-demande-des-gages-aux-etats-unis.php

 

Note analyse du sujet : https://www.efcse.eu/fr-fr/news/20170928_[EFCSE.EU]_INTERNET_CONTINENT_IMMATERIEL_[FR].pdf

 

En déployant ces nouveaux usages destinés à protéger les données personnelles, les entreprises européennes se trouvent en conséquence confrontées à de nouvelles contraintes qui interpellent en définitive sur la finalité de la mesure : http://premium.lefigaro.fr/secteur/high-tech/2017/10/19/32001-20171019ARTFIG00301-paul-ohm-proteger-les-donnees-ne-veut-pas-dire-proteger-la-vie-privee.php

 

Aussi, peut-être est-il nécessaire d’avoir une approche plus globale et unifiée à l’échelle du continent pour admettre que la protection des données ne doit pas se cantonner à la préservation de l’intimité, mais aussi à la sécurité des données non personnelles – autrement dit stratégiques – des entreprises européennes.

 

C’est l’enjeu du secret des affaires, d’une part, et du projet de « paquet numérique » 2 en cours d’élaboration, annoncée par Jean-Claude Junker en septembre dernier, d’autre part.

 

A titre de conclusion provisoire, on se réjouira de constater qu’avec le RGPD – et la création en corollaire du statut de délégué à la protection des données (que nous sommes) – les entreprises s’obligent à mettre en œuvre un protocole de sécurité des données des tiers (les données personnelles). Reste à les amener à avoir une réflexion profonde pour associer la protection de leurs propres données essentielles, à savoir les informations stratégiques.

 

 

Droit de la preuve, confidentialité et respect de la vie privée : florilège de jurisprudence

La protection de la vie privée des individus étant effectivement devenue un socle fondamental dans le cadre de l’administration de la preuve, où la protection des données personnelles est désormais perçue comme une valeur supérieure – que la protection des informations économiques divulguées devrait pouvoir revendiquer tout autant – plusieurs affaires judiciaires confortent cette analyse :

 

  • Dans le cadre d’une action en concurrence déloyale dirigée contre un ancien salarié, l’employeur avait obtenu, sur le fondement de l’article 145 du CPC, qu’un huissier puisse accéder à sa messagerie personnelle, ouvrir les messages en lien avec l’affaire et en dresse procès-verbal. S’agissant d’une messagerie professionnelle, nous avons déjà eu l’occasion de rappeler le droit applicable http://archives.lesechos.fr/archives/cercle/2010/09/28/cercle_31280.htm. ici, s’agissant d’une messagerie personnelle, le salarié invoquait le droit au respect de sa vie privée. Il a néanmoins été débouté, dans la mesure où la Cour de cassation a estimé que le but recherché était justifié, que les mesures accordées étaient proportionnelles et circonscrites dans son objet.

Cette approche rejoint notre dernière analyse : http://www.dalloz-revues.fr/Dalloz_IP/IT-cover-64176.htm sur le secret des affaires à l’épreuve de la procédure judiciaire. Idem en matière de contrefaçon et préservation du secret : CA Paris, pôle 1.3, 4 juillet 2017, n°17/02918

 

 

 

 

L’intelligence artificielle (IA) juridique : vers un droit augmenté ?

L’IA nourrit de nombreux fantasmes, autant qu’elle questionne à juste titre nous avons rédigé de nombreuses contributions à paraître en ce sens.

 

En tout état de cause, à travers cette révolution numérique affectant l’économie, le droit ne pouvait pas ne pas être concerné par ce phénomène profond de digitalisation des activités humaines.

 

Nous avons abordé dernièrement la question de l’algorithme et de sa nature juridique http://demaisonrouge-avocat.com/2017/05/16/le-debat-des-juristes-nature-juridique-de-lalgorithme/.

 

 

En complément, nous relevons différentes études qui permettent d’asseoir la valeur ajoutée du conseil juridique associé à l’IA et ses écueils :

 

–          Où la pratique et la rédaction des actes juridiques se trouve à pouvoir être non seulement valorisée, mais aussi financièrement quantifiée, concourant à constituer un actif incorporel : http://openflow.legal/actes-juridiques-bientot-valorisables/

 

–          Où la mise en œuvre de l’open law institué par la loi pour une République numérique conduit à sanctionner l’Etat pour défaut d’anonymisation de décisions de Justice : http://www.precisement.org/blog/Defaut-d-anonymisation-d-un-arret-sur-Legifrance-l-Etat-condamne-a-1000-euros.html

 

–          Où la blockchain conduit à s’interroger sur les « smart contrats » et plus généralement sur la pratique innovante du droit des obligations https://www.lesechos.fr/idees-debats/cercle/cercle-154276-la-blockchain-et-la-loi-1201704.php

L’abus de confiance, toujours et encore motif de sanction pénale de divulgation de données confidentielles

« constitue un abus de confiance le fait, pour une personne, qui a été destinataire, en tant que salariée d’une société, d’informations relatives à la clientèle de celle-ci, de les utiliser par des procédés déloyaux dans le but d’attirer une partie de cette clientèle vers une autre société ».

 

Cette décision confirmant une fois encore le recours au droit pénal général pour protéger notamment le secret des affaires et sanctionner le délit de révélation et/ou utilisation frauduleuse.

 

https://www.cairn.info/revue-securite-et-strategie-2012-1-page-41.htm

 

En l’espèce, les juges sont allés assez loin dans l’interprétation du texte en caractérisant le détournement d’une clientèle.

 

Cass. Crim., 22 mars 2017, n°15-85.929

 

Vol de document par un salarié : il faut l’élément intentionnel

En l’espèce, un salarié d’un célèbre joaillier, designer en orfèvrerie, avait conservé par devers lui, après son départ de l’entreprise, un ensemble de créations graphiques de son ex employeur.

 

Ce dernier avait porté plainte pour vol et abus de confiance, sur les bases légales et jurisprudentielles désormais établies s’agissant de l’obtention et du détournement illicite d’informations de l’entreprise http://demaisonrouge-avocat.com/2015/01/13/lespionnage-economique-encore-et-toujours-reprime-par-labus-de-confiance/ / http://www.institut-ie.fr/bsa/BSA_00_03_2012.pdf

 

Ayant été relaxé par la Cour d’appel, la partie civile formait alors un pourvoi en cassation. Ayant relevé que la société n’avait pas institué en interne de référentiel spécifique rappelant aux salariés l’interdiction de sortir les documents de l’entreprise, ou pouvant lui permettre de rappeler son droit de propriété sur les créations de salariés, le pourvoi a été rejeté au motif que « le prévenu a pu se croire propriétaire des dessins qu’il avait lui-même signés et qu’il n’est pas établi qu’il ait utilisé à des fins différentes de celles pour lesquelles ils lui avaient été remis ».

 

D’où la nécessité impérieuse de se doter d’un politique interne de sécurité du patrimoine informationnel.

 

Cass. Crim., 23 mars 2016, n°14-88357

Du Safe Harbor au Privacy Shield

Suite à l’invalidation du Safe Harbor par la CJUE, le 6 octobre 2015, en raison de la faible garantie de protection des données des citoyens européens transférées au USA http://demaisonrouge-avocat.com/2015/11/09/la-decision-cjue-safe-harbor-un-acte-europeen-de-souverainete-numerique/ , il appartenait aux autorités européennes, d’une part, et nord américaines, d’autre part, de conclure un nouvel accord de transfert offrant un cadre de protection juridique suffisant.

 

Cela a donné lieu à l’élaboration du Privacy Shield, qui doit désormais être examiné et approuvé par le G29. Destiné à restaurer la confiance dans les transferts transatlantiques de données, il semble que ce protocole ne soit pas conforme aux attentes des européens.

 

En effet, selon ce qui se dessine, les données fiscales, découlant du FACTA de 2014, peuvent encore et toujours être interceptées par les autorités américaines. De même, les données de sécurité visées par le Freedom Act demeurent accessibles aux services de renseignement.

http://www.portail-ie.fr/article/1360/Privacy-Shield-demain-sera-comme-hier

 

Pour le reste, les procédures de communication et d’accès aux données seront davantage formalisées afin d’offrir plus de garanties.

 

 

A noter, en référence au droit de la consommation, que le TGI de Paris (ordonnance du 5 mars 2015) puis la Cour d’appel de Paris (12 février 2016) a écarté la clause attributive de compétence des CG de Facebook au bénéfice des juridictions américaines, dans une affaire opposant un utilisateur au réseau social (pour la diffusion d’un tableau de Gustave Courbet, jugé licencieux par Facebook). Ce faisant, les tribunaux français se sont estimé géographiquement compétents http://www.journaldugeek.com/2015/03/06/lorigine-du-monde-lart-contre-la-censure-de-facebook/

 

 

NB Pour connaître les textes américains intrusifs, nous invitons à se reporter à la dernière newsletter du SYNFIE relative aux nouvelles menaces contre les fleurons industriels français, http://synfie.fr/index.php/actualites/lettre-trimestrielle/finish/5-lettre/500-lettre-d-information-du-synfie-mars-2016  également objet de la conférence-débat du 16 mars 2016, à l’Ecole Militaire, qui fut un grand et beau succès !

L’entreprise n’a pas de vie privée respectable (du moins pour certains juges)

Bien que certaines décisions judiciaires aient pu être plus audacieuses, notamment sous le visa de l’article 8 § 1 de la Convention européenne des droits de l’homme, en matière de vidéosurveillance intrusive, par un particulier qui avait installé une caméra lui permettant d’observer la voie publique et plus largement les activités d’une entreprise voisine, les juges ont affirmé que si le respect de la vie privée prévaut, s’agissant des personnes physiques, il n’en est pas de même pour les personnes morales.

 

Cass. Civ. 1ère, 17 mars 2016, n°15-14072

 

Sur un sujet similaire, lire notre analyse en matière de vidéosurveillance et contrôle interne des salariés au sein de l’entreprise dans la dernière publication de Sécurité et Stratégie n°21 http://www.securite-strategie.fr/

Protection du patrimoine informationnel

Retour sur notre soirée du 17 novembre 2015 : http://www.segeco.fr/uploads/Communiqu%C3%A9%20%20IE%20der(1).pdf

Enjeux du Big data : la donnée est un élément de connaissance essentielle

Si le phénomène n’est désormais guère nouveau, on assiste encore et toujours à une véritable révolution économique dans le champ des données et de l’acquisition des connaissances comportementales de la clientèle, du fait d’une large dématérialisation des échanges et des moyens d’enregistrement des données de communication à l’échelle mondiale.

 

Ce faisant, cette économie immatérielle, « uberisée » selon l’expression consacrée, a fait émerger des acteurs économiques dont le savoir-faire consiste notamment à traiter, analyser, identifier et interpréter les attitudes des consommateurs à partir de leurs données. Le produit de ce travail constitue un avantage concurrentiel ciblé pour son utilisateur.

Cela vaut d’ailleurs en politique ainsi que le démontre l’utilisation du logiciel Nation builder, qui a contribué à la réélection de Barack OBAMA http://www.lopinion.fr/1-novembre-2015/primaire-2016-premiere-campagne-big-data-29682

 

 

C’est pourquoi l’accès aux informations pertinentes est devenu une préoccupation majeure et le pétrole du 21ème siècle, dans un monde toujours plus ouvert, d’hyper-communication et de dépossession des données personnelles.

 

Sur ce front, ainsi que nous l’avions annoncé, la CNIL et la CADA devraient poursuivre leurs efforts de rapprochement en vue de créer un grand « service public de la donnée », destiné à contrôler davantage les droits d’accès aux informations substantielles, ainsi que cela ressort du projet de loi numérique http://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000030857456&type=general&typeLoi=proj&legislature=14 , tandis que l’open data se poursuit à travers l’accès en ligne des informations du RCS sur www.infogreffe.fr, comme conséquence de la loi Macron, bien que l’initiative soit jugée insuffisante.

 

Dans le même temps, le 16 octobre 2015, l’exécutif présentait les lignes directrices en matière de cyber sécurité et de stratégie numérique http://www.gouvernement.fr/strategie-nationale-pour-la-securite-du-numerique-un-bon-equilibre-entre-prise-en-compte-de-la-3075 conscient de la nécessité de contrôler l’usage des données et de protéger les intérêts de la France en la matière.

 

 

Le big data étant incontestablement créateur de valeur ajoutée, cela n’est pas sans générer des affrontements entre les acteurs économiques, où l’information est davantage monétisée que les biens matériels.

 

Plusieurs affaires sont actuellement à recenser, illustrant ce vif intérêt :

 

–          Le procès HSBC qui, de report en report, http://www.lemonde.fr/economie/article/2015/11/02/hsbc-le-proces-d-herve-falciani-s-ouvre-en-son-absence_4801229_3234.html met en lumière la révélation, et l’éventuelle violation du secret bancaire, au titre de laquelle l’ex informaticien de la banque avait communiqué à l’administration fiscale française la liste de français titulaires de comptes dissimulés en Suisse ; cela démontre la valeur fiscale et financière des données.

 

 

–          Uber, principal artisan de l’économie dématérialisée, accuse son concurrent de lui avoir soustrait un fichier de chauffeurs aux Etats-Unis par voie de piratage informatique http://www.lefigaro.fr/secteur/high-tech/2015/10/09/32001-20151009ARTFIG00094-uber-accuse-son-principal-concurrent-d-espionnage.php ; cela démontre la valeur commerciale des données collectées.

 

–          Enfin, traduisant la volonté réaffirmée de domination des Etats-Unis sur l’économie numérique, il a été annoncé le rachat de la branche européenne VISA par la société américaine http://www.lesechos.fr/finance-marches/banque-assurances/021447335406-visa-rachete-visa-europe-pour-165-milliards-deuros-1171397.php ce qui va permettre indirectement de prendre connaissance de nombreuses données bancaires et financières à travers les 500 millions de cartes bancaires utilisées sous ce système sur le continent américain.

 

 

Et d’ailleurs, dans cette dimension de conquête, il convient de garder à l’esprit les mots du Président américain, en février 2015, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçant avec un ascendant affirmé que les Etats-Unis ont créé et diffusé Internet (pour des raisons de communication militaire à l’origine) et que par conséquent ils sont propriétaires des données qui empruntent ce réseau http://www.lemonde.fr/idees/article/2015/02/21/l-espionnage-de-gemalto-le-cynisme-de-m-obama_4580993_3232.html

En terme de domination, on ne saurait être plus clair …

La décision CJUE « SAFE HARBOR » : un acte européen de souveraineté numérique

Témoignant d’un regain de souveraineté quasi inattendu, la Cour de Justice de l’Union Européenne, dans sa décision C-362/14 du 6 octobre 2015, a rendu un arrêt infligeant un camouflet aux autorités de contrôle des données américaines.

 

En l’espèce, un internaute autrichien, du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden, s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme.

 

Or, il s’avère que si Facebook a son siège européen en Irlande, les données sont exportées, conservées et traitées depuis les data centers basés aux Etats-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines (et soumises aux activités de renseignement de l’Oncle Sam), pays tiers à l’Union Européenne (UE).

 

Ayant introduit un recours devant les juridictions irlandaises (non sans voir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection de la vie privée – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes).

 

Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données,. De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE.

Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 200/520 du 21 juillet 2000 (dite « SAFE HARBOUR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.

 

Or, aux termes de l’arrêt du 6 octobre 2015, la CJUE  a estimé que les Etats-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE. Par conséquent, le « SAFE HARBOUR » se voit être déclaré inopérant en regard des règles de confidentialité européennes.

 

Comme conséquence de cette décision souveraine, le G29 a été saisi afin de remédier à cette insuffisance de protection avant fin janvier 2016.

 

Signalons en outre que le projet de loi sur le numérique (article 22) renforce la protection du secret des correspondances, ce qui n’est sans doute pas vain quand tous les opérateurs (Google, Microsoft, Yahoo, …) se trouvent tous êtres américains.