Droit de l'informatique en France - Définition

Protection du patrimoine informationnel

Problématique

Les organisations ont un besoin important de protéger leurs actifs. Or on considère que 60 à 70 % des actifs des organisations sont aujourd'hui constitués d'actifs immatériels (voir aussi capital immatériel), représentés en grande partie par leur système d'information : logiciels, auxquels il faut ajouter le matériel, les réseaux, ...

Il est prévu que le système d'information soit comptabilisé comme immobilisations incorporelles dans les normes comptables IAS/IFRS en cours d'application depuis 2005. Une grande partie du système d'information est susceptible de passer en investissement, et ne sera plus considéré comme des charges.

Ceci n'est pas sans poser des problèmes de protection du patrimoine informationnel : outre les problèmes classiques de sécurité des données et de sécurité des systèmes d'information, se posent des questions de droit. Il peut y avoir des risques de pillage : contrefaçon de logiciel, piratage informatique...

Approches différentes entre les États-Unis et l'Union européenne

La question de la protection du patrimoine informationnel constitué par les logiciels fait actuellement l'objet de débats. Aux États-Unis, la tradition est de protéger les logiciels par des brevets. Par contre, en France et dans l'Union européenne, en raison d'une plus forte importance accordée aux logiciels libres, on reste attaché aux droits d'auteur. Ceux-ci font partie à l'origine de la propriété littéraire et artistique, aujourd'hui incluse dans le code de la propriété intellectuelle (en France).

L'Union européenne s'est récemment opposée à la brevetabilité du logiciel.

Relation avec la propriété intellectuelle

De nombreux logiciels sont développés en pratique pour l'innovation de procédés industriels, surtout aujourd'hui avec la mise en œuvre de pôles de compétitivité. Sur les dessins et modèles industriels, une harmonisation est en cours entre les États-membres. Elle se heurte justement à des différences entre les législations des États-membres sur le rapport avec les droits d'auteur.

En Europe, le Parlement européen s'est opposé aux brevets logiciels (voir controverse sur la brevetabilité du logiciel). Les logiciels fonctionnent donc selon les droits d'auteur, avec des licences.

Les licences de logiciel peuvent être de deux types :

• Licence libre
• Logiciel propriétaire

Voir aussi :

• droits numériques et gestion des droits numériques.

Aspects de l'informatisation posant question par rapport au champ traditionnel du droit

• Le vote électronique,
• Le courrier électronique,
• La protection de la vie privée,
• Le commerce électronique et les services d'annuaires UDDI
• Le web 2.0

(...)

Un champ nouveau pour le droit : Internet

Position du problème

Internet pose de nouveaux problèmes au droit, qui doit prendre en compte son caractère fondamentalement transnational. Par ailleurs, la facilité avec laquelle des particuliers comme des organisations peuvent diffuser des informations sur Internet induit une nouvelle articulation entre le principe de la liberté d'expression et la nécessité de la protection de la vie privée et des droits de propriété intellectuelle. Un hébergeur de site web, un auteur de blog, un administrateur de forum sont-ils responsables du contenu qui apparaît sur leur site de la même façon qu'un éditeur de presse ? La loi et la jurisprudence défrichent actuellement ce terrain.

D'autre part, l'émergence du web 2.0 offre des possibilités accrues d'utilisation de mots-clés (balises ou « tags ») dans le commerce électronique, démultipliant ainsi les possibilités de recherche d'information et d'échanges de services web par des processus de "découverte". La question de la maîtrise de l'information se pose donc dans la gestion des services d'annuaires qui peuvent être proposés.

Quelques aspects juridiques sont évoqués ci-dessous.

Les fournisseurs d'accès à Internet

Enregistrement des données de connexion

Les différents textes applicables, et plus précisément la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004, conduisent à distinguer, en ce qui concerne l'enregistrement des données de connexion, les obligations des fournisseurs d'accès (et autres acteurs assimilés sous le vocable d' « opérateurs de communication électronique ») de celles des hébergeurs de contenu.

Les FAI sont, aux termes de l'article 43-7 de la loi de 1986 sur la liberté de communication, telle que modifiée par la loi du 1/08/2000 (reprise à l'article 6-I 1° de la LCEN): « les personnes physiques ou morales dont l'activité est d'offrir un accès à des services de communication en ligne autres que de correspondance privée ».

L'article L34-1 I se réfère quant à lui à la notion « d'opérateur de communication électronique », laquelle comprend « notamment » les FAI. Une définition de ces « opérateurs de communication électronique » peut être trouvée dans la directive « Réseaux » du 7 mars 2002: « une entreprise qui fournit ou qui est autorisée à fournir un réseau de communication public ou une ressource associée ». Au terme de cette définition sont principalement visés les opérateurs de téléphonie mobiles.

a- le fondement de l'article L 34-1:

C'est ici que se retrouve le régime original de conservation des données de connexion, issu de la loi du 1/08/2000 et remanié à de nombreuses reprises, jusqu'au décret tant attendu du 24/03/2006.

Ce décret était nécessaire dans la mesure où la loi du 1/08/2000 ne déterminait pas avec précision les catégories de données devant être stockées, la durée de conservation, ainsi que la compensation des opérateurs quand des réquisitions sont effectuées.

Or ce décret du 24/03/2006 a fait l'objet d'un recours en excès de pouvoir introduit par l'Association des Fournisseurs d'Accès devant le Conseil d'Etat et tendant:

• à l'annulation du décret
• à l'annulation de l'arrêté pris en application de ce décret et établissant les tableaux de compensation des frais supportés par les opérateurs.

Ce recours a donné lieu à un arrêt du Conseil d'Etat en date du 7/08/2007 qui:

• rejette le recours en annulation formulée contre le décret du 24/03/2006
• valide la majeure partie du dispositif d'indemnisation des prestataires soumis à l'obligation de conservation (à l'exception d'une disposition qui prévoyait l'indemnisation « sur devis », le Conseil d'Etat considérant que le tarif devait être fixé préalablement).

Les données devant être conservées

Il convient au préalable de rappeler que la règle de principe demeure l'effacement des données générées automatiquement lors d'une communication . La conservation des données postérieurement à la fin de la communication qui les a engendrées demeure donc l'exception, ce que souligne l'art.34-1 II en rappelant la finalité de cette conservation: « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire d'informations, il peut être différé pour une durée maximale d'un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques ».

S'agissant donc d'une exception au principe de l'effacement on peut s'étonner du manque de précision de cet article, qui ne fait référence qu'à « certaines données techniques ». La liste en a finalement été donnée par le décret du 24/03/2006 précité. Il s'agit des informations permettant d’identifier l’utilisateur, et plus précisément:

• les informations permettant d'identifier l'utilisateur ;
• les données relatives aux équipements terminaux de communication utilisés
• les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication
• les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
• les données permettant d'identifier le ou les destinataires de la communication.

Sont évidemment exclues de cette liste les données relatives au contenu des correspondances échangées, ou des informations consultées, au cours de la communication .

La durée de conservation

Elle est fixée à un an à compter de leur enregistrement. Cette disposition est conforme à celles de l'article 6 de la directive 2006/24/CE du 15 mars 2006 qui prévoit une durée allant de six mois à deux ans.

La compensation des surcoûts engendrés par l’obligation de conservation

La loi du 23 janvier 2006 a prévu de couvrir « les surcoûts identifiables et spécifiques » nés des demandes de communication des données et du différé des opérations d’anonymisation et éventuellement exposés par les opérateurs et personnes soumises aux obligations de conservation des données de connexion des articles L. 34-1 du CPCE et 6-II bis de la LCEN. Le décret du 24 mars 2006, fixe les modalités de cette compensation, en instaurant un article R213-1 au sein du code de procédure pénale, renvoyant à un arrêté du ministre de l'économie, des finances et de l'industrie et du garde des sceaux. Cet arrêté est intervenu le 22/08/2006 et suite au recours formé par l'AFA, il a été validé par le Conseil d'Etat dans son arrêt du 7/08/2007 précité.

La sanction du manquement à cette obligation de conservation

Un an d’emprisonnement et 75 000€ d’amende. Ces peines sont quintuplées si le prestataire est une personne morale.

b- le fondement de l'article L34-1-1

Cet article a été inséré par la loi « anti-terrorisme » de 2006, son champ d'action est donc moins étendu. Cette nouvelle procédure de réquisition a par ailleurs fait l'objet du décret du 22/12/2006 .

i- la finalité de la conservation: La loi a été sur ce point en partie censurée par le Conseil constitutionnel . A l'origine elle prévoyait que la conservation avait pour but la prévention et la répression des infractions terroristes.

Toutefois s'agissant d'une procédure de réquisitions administratives, comme il sera détaillé par la suite, le Conseil Constitutionnel a jugé que cette formulation était contraire au principe de séparation des pouvoirs exécutif et judiciaire.

ii- les données devant être conservées, la durée de conservation et les modalités de compensation des surcoûts: Les données devant être conservées sont, à peu de chose près, les mêmes que celles devant être conservées sur le fondement de l'article L34-1 (ce qui est logique dans la mesure où les débiteurs de l'obligation de conservation sont les mêmes).

De même, la durée de conservation, par les opérateurs de communication électronique de ces données est d'un an à compter de leur enregistrement.

Enfin l'indemnisation des opérateurs de communications électroniques se fait sur la base du tableau figurant en annexe de l'arrêté du 22/08/2006.

iii- la procédure de réquisition: Cette procédure de réquisition est une mesure de police administrative, et, à ce titre, elle échappe au contrôle du juge judiciaire.

Les personnes compétentes pour demander la communication des données: L'article L34-1-1 prévoit que seuls « les agents individuellement désignés et dûment habilités des services de police et de gendarmerie nationales spécialement chargés de ces missions (lutte contre le terrorisme) » pourront demander la communication de ces données. Ceux-ci sont nommés par les chefs des services de police et de gendarmerie chargés des missions de prévention des actes terroristes (art R. 10-15 CPCE).

L'encadrement des demandes communication: Elles doivent contenir (Art R.10-17 CPCE):

• le nom et la qualité du demandeur, ainsi que son service d'affectation et l'adresse de celui-ci.
• la nature des données dont la communication est demandée et, le cas échéant, la période concernée.
• La motivation de la demande (cette motivation n'étant pas transmise à l'agent habilité aux opérateurs qui réalise la communication).
• elles sont soumises à la décision d'une personnalité qualifiée, placée auprès du Ministère de l'Intérieur

Cette « personnalité qualifiée » est nommée pour trois ans renouvelables par la Commission Nationale de Contrôle des Interceptions de Sécurité sur proposition du Ministre de l'Intérieur et doit établir un rapport annuel d'activité à destination de la CNCIS). M. François Jaspart a été nommé en cette qualité par la décision n°1/2006 du 26/12/2006 de la CNCIS .

• elles font l'objet d'un enregistrement auprès de la CNCIS
• la CNCIS peut opérer des contrôles à tout moment.

• la durée de conservation des données par les agents compétents:

Elle est de trois ans à compter de la communication de ces données, ce qui n'a pas été sans provoquer de nombreuses critiques, certains y voyant un moyen de contourner la durée maximale de deux ans posée par la directive 2006/24/CE du 15 mars 2006.

Que ce soit dans le cadre de l’article L34-1 ou dans celui de l’article L34-1-1, aucune décision jurisprudentielle n’est encore intervenue pour sanctionner ce nouveau régime et ce d’autant plus que les FAI, par l’intermédiaire de l’AFA avaient entrepris un recours en annulation du décret du 24/03/2006. Ce recours a été rejeté, comme il a été dit plus haut. Il n’en demeure pas moins qu’entre l’entrée en application du décret en Mars 2006 et la décision du Conseil d’Etat le 7 Août dernier, certains FAI ont tiré argument de ce recours pour refuser de répondre aux réquisitions des services d’enquête.

Responsabilité par rapport au contenu des sites hébergés

Si un usager d'Internet publie sur son site personnel un texte diffamatoire envers une autre personne, sa responsabilité peut être engagée au même titre que s'il avait utilisé un autre moyen de communication. Mais qu'en est-il de la société qui lui a fourni les moyens techniques pour publier ce texte ? L'hébergeur peut-il voir sa responsabilité (civile ou pénale) engagée pour des écrits publiés sur les sites dont il a la charge ?

En France, la loi pour la confiance dans l'économie numérique précise que les fournisseurs d'accès à Internet sont dégagés de toute responsabilité civile et pénale si la publication se fait sans intervention manuelle de l'hébergeur et que celui-ci rend inaccessible le contenu litigieux dès qu'il en a connaissance :

« Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.  » 
— Loi n°2004-575 du 21 juin 2004, article 6 al.2 (voir al.3 pour la responsabilité pénale)

L'enjeu essentiel est ici la qualification juridique du prestataire qui permet techniquement la publication du contenu sur Internet. Selon son degré d'intervention dans ce contenu, il sera qualifié de simple hébergeur, dégagé de responsabilité par rapport au contenu, ou d'éditeur de presse, responsable du contenu publié en application de la loi sur la liberté de la presse du 29 juillet 1881. Cette question soulève un contentieux juridique abondant.

Sites Web

• Régime juridique selon la nature du site (site personnel, blog, forum modéré a priori, forum modéré a posteriori, site commercial, média en ligne, site public...)
• Liberté d'expression sur Internet.
• Responsabilité et obligations des auteurs de sites Web par rapport à leur contenu.
• Enregistrement et traitement des données personnelles des visiteurs.

Gestion de la preuve pour les contrats électroniques

• Statut juridique des contrats
• Le problème de la preuve (imputabilité) doit être traité à travers des normes de records management, dont certaines comportent des métadonnées. Ce point est traité différemment en droit public et en droit privé.

Syndication

Dans le cas d'échanges d'informations avec des partenaires ou des parties prenantes, on a besoin d'utiliser des techniques de diffusion des mises à jour des sites web (voir syndication, RSS) : quelles sont les règles juridiques à appliquer pour les différents types de personnes morales (institutions publiques, entreprises privées, ...).