L’intelligence artificielle (IA) juridique : vers un droit augmenté ?

L’IA nourrit de nombreux fantasmes, autant qu’elle questionne à juste titre nous avons rédigé de nombreuses contributions à paraître en ce sens.

 

En tout état de cause, à travers cette révolution numérique affectant l’économie, le droit ne pouvait pas ne pas être concerné par ce phénomène profond de digitalisation des activités humaines.

 

Nous avons abordé dernièrement la question de l’algorithme et de sa nature juridique http://demaisonrouge-avocat.com/2017/05/16/le-debat-des-juristes-nature-juridique-de-lalgorithme/.

 

 

En complément, nous relevons différentes études qui permettent d’asseoir la valeur ajoutée du conseil juridique associé à l’IA et ses écueils :

 

–          Où la pratique et la rédaction des actes juridiques se trouve à pouvoir être non seulement valorisée, mais aussi financièrement quantifiée, concourant à constituer un actif incorporel : http://openflow.legal/actes-juridiques-bientot-valorisables/

 

–          Où la mise en œuvre de l’open law institué par la loi pour une République numérique conduit à sanctionner l’Etat pour défaut d’anonymisation de décisions de Justice : http://www.precisement.org/blog/Defaut-d-anonymisation-d-un-arret-sur-Legifrance-l-Etat-condamne-a-1000-euros.html

 

–          Où la blockchain conduit à s’interroger sur les « smart contrats » et plus généralement sur la pratique innovante du droit des obligations https://www.lesechos.fr/idees-debats/cercle/cercle-154276-la-blockchain-et-la-loi-1201704.php

L’abus de confiance, toujours et encore motif de sanction pénale de divulgation de données confidentielles

« constitue un abus de confiance le fait, pour une personne, qui a été destinataire, en tant que salariée d’une société, d’informations relatives à la clientèle de celle-ci, de les utiliser par des procédés déloyaux dans le but d’attirer une partie de cette clientèle vers une autre société ».

 

Cette décision confirmant une fois encore le recours au droit pénal général pour protéger notamment le secret des affaires et sanctionner le délit de révélation et/ou utilisation frauduleuse.

 

https://www.cairn.info/revue-securite-et-strategie-2012-1-page-41.htm

 

En l’espèce, les juges sont allés assez loin dans l’interprétation du texte en caractérisant le détournement d’une clientèle.

 

Cass. Crim., 22 mars 2017, n°15-85.929

 

Vol de document par un salarié : il faut l’élément intentionnel

En l’espèce, un salarié d’un célèbre joaillier, designer en orfèvrerie, avait conservé par devers lui, après son départ de l’entreprise, un ensemble de créations graphiques de son ex employeur.

 

Ce dernier avait porté plainte pour vol et abus de confiance, sur les bases légales et jurisprudentielles désormais établies s’agissant de l’obtention et du détournement illicite d’informations de l’entreprise http://demaisonrouge-avocat.com/2015/01/13/lespionnage-economique-encore-et-toujours-reprime-par-labus-de-confiance/ / http://www.institut-ie.fr/bsa/BSA_00_03_2012.pdf

 

Ayant été relaxé par la Cour d’appel, la partie civile formait alors un pourvoi en cassation. Ayant relevé que la société n’avait pas institué en interne de référentiel spécifique rappelant aux salariés l’interdiction de sortir les documents de l’entreprise, ou pouvant lui permettre de rappeler son droit de propriété sur les créations de salariés, le pourvoi a été rejeté au motif que « le prévenu a pu se croire propriétaire des dessins qu’il avait lui-même signés et qu’il n’est pas établi qu’il ait utilisé à des fins différentes de celles pour lesquelles ils lui avaient été remis ».

 

D’où la nécessité impérieuse de se doter d’un politique interne de sécurité du patrimoine informationnel.

 

Cass. Crim., 23 mars 2016, n°14-88357

Du Safe Harbor au Privacy Shield

Suite à l’invalidation du Safe Harbor par la CJUE, le 6 octobre 2015, en raison de la faible garantie de protection des données des citoyens européens transférées au USA http://demaisonrouge-avocat.com/2015/11/09/la-decision-cjue-safe-harbor-un-acte-europeen-de-souverainete-numerique/ , il appartenait aux autorités européennes, d’une part, et nord américaines, d’autre part, de conclure un nouvel accord de transfert offrant un cadre de protection juridique suffisant.

 

Cela a donné lieu à l’élaboration du Privacy Shield, qui doit désormais être examiné et approuvé par le G29. Destiné à restaurer la confiance dans les transferts transatlantiques de données, il semble que ce protocole ne soit pas conforme aux attentes des européens.

 

En effet, selon ce qui se dessine, les données fiscales, découlant du FACTA de 2014, peuvent encore et toujours être interceptées par les autorités américaines. De même, les données de sécurité visées par le Freedom Act demeurent accessibles aux services de renseignement.

http://www.portail-ie.fr/article/1360/Privacy-Shield-demain-sera-comme-hier

 

Pour le reste, les procédures de communication et d’accès aux données seront davantage formalisées afin d’offrir plus de garanties.

 

 

A noter, en référence au droit de la consommation, que le TGI de Paris (ordonnance du 5 mars 2015) puis la Cour d’appel de Paris (12 février 2016) a écarté la clause attributive de compétence des CG de Facebook au bénéfice des juridictions américaines, dans une affaire opposant un utilisateur au réseau social (pour la diffusion d’un tableau de Gustave Courbet, jugé licencieux par Facebook). Ce faisant, les tribunaux français se sont estimé géographiquement compétents http://www.journaldugeek.com/2015/03/06/lorigine-du-monde-lart-contre-la-censure-de-facebook/

 

 

NB Pour connaître les textes américains intrusifs, nous invitons à se reporter à la dernière newsletter du SYNFIE relative aux nouvelles menaces contre les fleurons industriels français, http://synfie.fr/index.php/actualites/lettre-trimestrielle/finish/5-lettre/500-lettre-d-information-du-synfie-mars-2016  également objet de la conférence-débat du 16 mars 2016, à l’Ecole Militaire, qui fut un grand et beau succès !

L’entreprise n’a pas de vie privée respectable (du moins pour certains juges)

Bien que certaines décisions judiciaires aient pu être plus audacieuses, notamment sous le visa de l’article 8 § 1 de la Convention européenne des droits de l’homme, en matière de vidéosurveillance intrusive, par un particulier qui avait installé une caméra lui permettant d’observer la voie publique et plus largement les activités d’une entreprise voisine, les juges ont affirmé que si le respect de la vie privée prévaut, s’agissant des personnes physiques, il n’en est pas de même pour les personnes morales.

 

Cass. Civ. 1ère, 17 mars 2016, n°15-14072

 

Sur un sujet similaire, lire notre analyse en matière de vidéosurveillance et contrôle interne des salariés au sein de l’entreprise dans la dernière publication de Sécurité et Stratégie n°21 http://www.securite-strategie.fr/

Protection du patrimoine informationnel

Retour sur notre soirée du 17 novembre 2015 : http://www.segeco.fr/uploads/Communiqu%C3%A9%20%20IE%20der(1).pdf

Enjeux du Big data : la donnée est un élément de connaissance essentielle

Si le phénomène n’est désormais guère nouveau, on assiste encore et toujours à une véritable révolution économique dans le champ des données et de l’acquisition des connaissances comportementales de la clientèle, du fait d’une large dématérialisation des échanges et des moyens d’enregistrement des données de communication à l’échelle mondiale.

 

Ce faisant, cette économie immatérielle, « uberisée » selon l’expression consacrée, a fait émerger des acteurs économiques dont le savoir-faire consiste notamment à traiter, analyser, identifier et interpréter les attitudes des consommateurs à partir de leurs données. Le produit de ce travail constitue un avantage concurrentiel ciblé pour son utilisateur.

Cela vaut d’ailleurs en politique ainsi que le démontre l’utilisation du logiciel Nation builder, qui a contribué à la réélection de Barack OBAMA http://www.lopinion.fr/1-novembre-2015/primaire-2016-premiere-campagne-big-data-29682

 

 

C’est pourquoi l’accès aux informations pertinentes est devenu une préoccupation majeure et le pétrole du 21ème siècle, dans un monde toujours plus ouvert, d’hyper-communication et de dépossession des données personnelles.

 

Sur ce front, ainsi que nous l’avions annoncé, la CNIL et la CADA devraient poursuivre leurs efforts de rapprochement en vue de créer un grand « service public de la donnée », destiné à contrôler davantage les droits d’accès aux informations substantielles, ainsi que cela ressort du projet de loi numérique http://www.legifrance.gouv.fr/affichLoiPreparation.do?idDocument=JORFDOLE000030857456&type=general&typeLoi=proj&legislature=14 , tandis que l’open data se poursuit à travers l’accès en ligne des informations du RCS sur www.infogreffe.fr, comme conséquence de la loi Macron, bien que l’initiative soit jugée insuffisante.

 

Dans le même temps, le 16 octobre 2015, l’exécutif présentait les lignes directrices en matière de cyber sécurité et de stratégie numérique http://www.gouvernement.fr/strategie-nationale-pour-la-securite-du-numerique-un-bon-equilibre-entre-prise-en-compte-de-la-3075 conscient de la nécessité de contrôler l’usage des données et de protéger les intérêts de la France en la matière.

 

 

Le big data étant incontestablement créateur de valeur ajoutée, cela n’est pas sans générer des affrontements entre les acteurs économiques, où l’information est davantage monétisée que les biens matériels.

 

Plusieurs affaires sont actuellement à recenser, illustrant ce vif intérêt :

 

–          Le procès HSBC qui, de report en report, http://www.lemonde.fr/economie/article/2015/11/02/hsbc-le-proces-d-herve-falciani-s-ouvre-en-son-absence_4801229_3234.html met en lumière la révélation, et l’éventuelle violation du secret bancaire, au titre de laquelle l’ex informaticien de la banque avait communiqué à l’administration fiscale française la liste de français titulaires de comptes dissimulés en Suisse ; cela démontre la valeur fiscale et financière des données.

 

 

–          Uber, principal artisan de l’économie dématérialisée, accuse son concurrent de lui avoir soustrait un fichier de chauffeurs aux Etats-Unis par voie de piratage informatique http://www.lefigaro.fr/secteur/high-tech/2015/10/09/32001-20151009ARTFIG00094-uber-accuse-son-principal-concurrent-d-espionnage.php ; cela démontre la valeur commerciale des données collectées.

 

–          Enfin, traduisant la volonté réaffirmée de domination des Etats-Unis sur l’économie numérique, il a été annoncé le rachat de la branche européenne VISA par la société américaine http://www.lesechos.fr/finance-marches/banque-assurances/021447335406-visa-rachete-visa-europe-pour-165-milliards-deuros-1171397.php ce qui va permettre indirectement de prendre connaissance de nombreuses données bancaires et financières à travers les 500 millions de cartes bancaires utilisées sous ce système sur le continent américain.

 

 

Et d’ailleurs, dans cette dimension de conquête, il convient de garder à l’esprit les mots du Président américain, en février 2015, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçant avec un ascendant affirmé que les Etats-Unis ont créé et diffusé Internet (pour des raisons de communication militaire à l’origine) et que par conséquent ils sont propriétaires des données qui empruntent ce réseau http://www.lemonde.fr/idees/article/2015/02/21/l-espionnage-de-gemalto-le-cynisme-de-m-obama_4580993_3232.html

En terme de domination, on ne saurait être plus clair …

La décision CJUE « SAFE HARBOR » : un acte européen de souveraineté numérique

Témoignant d’un regain de souveraineté quasi inattendu, la Cour de Justice de l’Union Européenne, dans sa décision C-362/14 du 6 octobre 2015, a rendu un arrêt infligeant un camouflet aux autorités de contrôle des données américaines.

 

En l’espèce, un internaute autrichien, du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden, s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme.

 

Or, il s’avère que si Facebook a son siège européen en Irlande, les données sont exportées, conservées et traitées depuis les data centers basés aux Etats-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines (et soumises aux activités de renseignement de l’Oncle Sam), pays tiers à l’Union Européenne (UE).

 

Ayant introduit un recours devant les juridictions irlandaises (non sans voir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection de la vie privée – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes).

 

Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données,. De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE.

Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 200/520 du 21 juillet 2000 (dite « SAFE HARBOUR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.

 

Or, aux termes de l’arrêt du 6 octobre 2015, la CJUE  a estimé que les Etats-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE. Par conséquent, le « SAFE HARBOUR » se voit être déclaré inopérant en regard des règles de confidentialité européennes.

 

Comme conséquence de cette décision souveraine, le G29 a été saisi afin de remédier à cette insuffisance de protection avant fin janvier 2016.

 

Signalons en outre que le projet de loi sur le numérique (article 22) renforce la protection du secret des correspondances, ce qui n’est sans doute pas vain quand tous les opérateurs (Google, Microsoft, Yahoo, …) se trouvent tous êtres américains.

Appréciation jurisprudentielle du savoir-faire

Dans deux arrêts, les juges de deuxième instance sont revenus sur le périmètre du savoir-faire.

 

La Cour d’appel de Chambéry a ainsi prononcé la nullité d’un contrat de franchise au motif que le prétendu savoir-faire, ainsi défini a contrario, se distingue dans la réalité des affaires, de principes purement généraux, de la marque, des méthodes de gestion ou de recherche de la clientèle, de l’assistance pour l’implantation de l’établissement franchisé et de la fourniture d’outils informatiques spécifiques.

 

CA Chambéry, 31 mars 2015, n° 13-02706

 

Dans un litige mettant en cause une relation de master-franchise, la Cour d’Appel de Bordeaux a quant à elle jugé que le savoir-faire devait être identifié de manière empirique et circonstanciée en regard des origines de la connaissance et de son inventeur et eu égard à la spécificité contractuelle que les parties ont entendu nouer

 

CA Bordeaux, 13 janv. 2015, n°12-03197

L’enjeu des data

Prolongement du débat transparence / secret, les data – sous leur forme de données numériques professionnelles ou personnelles compilées et analysées – sont désormais au cœur de la stratégie des acteurs économiques.

Il suffit de voir de quelle manière les nouveaux géants de l’économique numérique (Airbnb, Uber, tripadvisor, …) fondent leur puissance sur la collecte de données et la revente de contacts, sans investissement en biens corporels (Uber ne détient aucun véhicule de transport de personnes, de même que Airbnb ne possède aucun hôtel). L’économie virtuelle n’irriguerait-elle plus l’économie réelle ? S’agirait-il d’un économique développée hors sol ? Probablement pas mais un nouveau business model où le profit va à celui qui dispose de l’information pertinente.

 

En tout état de cause, entre Big data et Open data, les deux philosophies s’affrontent désormais plus que jamais, érigeant indéniablement les données collectées, analysée et restituées en valeur supérieure.

 

C’est d’ailleurs tout l’enjeu actuel de l’intelligence économique qui se veut un droit de l’information stratégique (et pas nécessairement un droit à l’information stratégique).

 

Deux cas récents illustrent ce propos :

 

– Déjà antérieurement convoitée et cible d’intérêts étrangers, GEMALTO a fait l’objet d’une révélation publique d’atteinte à ses cartes SIM. http://www.lefigaro.fr/secteur/high-tech/2015/02/25/01007-20150225ARTFIG00380-pirate-gemalto-reaffirme-la-securite-de-ses-cartes-sim.php Niant toutefois avoir fait l’objet d’une attaque massive, GEMALTO a reconnu avoir connu des actes de piratage en 2011 et a cru devoir réaffirmer la sécurité de ses produits. Ne s’agissait-il pas davantage en définitive d’une atteinte informationnelle destinée à jeter le doute sur les garanties offertes par ses systèmes ?

 

– « Des pirates informatiques ont mis la main sur des milliers de bilans médicaux et d’analyses sanguines sur Internet. Ces données médicales appartiennent au laboratoire de biologie médicale Labio situé dans le Sud de la France. Les hackers ont demandé une rançon de 20.000 euros contre la non-publication de ces informations ultra-confidentielles mais le laboratoire a refusé » http://www.rtl.fr/actu/societe-faits-divers/le-journal-de-7h30-le-laboratoire-de-biologie-medicale-labio-porte-plainte-pour-piratage-7777113235 ainsi que nous l’avons exposé au cours de nos dernières interventions, indépendamment des vols, fraudes au président, … un des risques émergents est précisément la neutralisation de données en vue d’exiger une rançon. La sécurité n’est désormais plus seulement celle des biens et des personnes, mais également celle des données pertinentes.