Accueil Revue Numéro Article

Documentaliste-Sciences de l'Information

2014/3 (Vol. 51)

  • Pages : 80
  • DOI : 10.3917/docsi.513.0037
  • Éditeur : A.D.B.S.

ALERTES EMAIL - REVUE Documentaliste-Sciences de l'Information

Votre alerte a bien été prise en compte.

Vous recevrez un email à chaque nouvelle parution d'un numéro de cette revue.

Fermer

Article précédent Pages 37 - 40 Article suivant
1

Le juriste ou l’avocat appréhende le risque informationnel à l’aune des contentieux qu’il traite ou dont il a connaissance et que l’on regroupera en deux grandes catégories :

  • celle concernant le risque de voir une information appréhendée contre la volonté de son détenteur ;

  • celle concernant la diffusion de fausses informations, d’informations mensongères, de manière volontaire ou non.

2

Le droit des risques informationnels est une matière vivante que, en raison de son ampleur, il est impossible d’aborder dans sa totalité. On se bornera ainsi à examiner les points qui suscitent le plus de débats ou qui sont d’une actualité brûlante.

La protection de l’information

3

De tout temps, on a cherché à protéger son droit sur l’information que l’on possède soit en la gardant secrète, soit en bloquant sa réutilisation en s’appuyant sur les dispositions du Code de la propriété intellectuelle (CPI). Parfois, les infractions résultent d’une méconnaissance des textes ou d’un manque de vigilance. Des entreprises ont été ainsi poursuivies parce que, en toute bonne foi, leurs documentalistes avaient dupliqué des articles de presse sans s’assurer qu’ils en avaient le droit.

4

Des textes récents, comme celui sur le brevet européen [1][1] Le 14 février 2014, l’Assemblée nationale a adopté... ou, en France, sur la répression de la contrefaçon [2][2] Adopté le 11 mars 2014., ne seront pas évoqués dans cet article. La sécurité de l’information, qui passe également par la sécurisation physique des locaux - ce qui conduit à s’intéresser au droit de la sécurité privée avec notamment la récente mise en place du Conseil national des activités privées de sécurité (Cnaps) -, ne sera pas abordée non plus. Nous examinerons ici les principaux risques informationnels vus au filtre du statut des salariés, du statut limité des bases de données et du secret des affaires.

Le statut des salariés

5

Lorsque l’on aborde la protection de l’information, on disserte abondamment sur les risques que font courir les salariés à l’entreprise. Mais n’oublions pas que les salariés sont la principale source de richesse de l’entreprise et qu’une politique de motivation est souvent plus efficace que des mesures coercitives.

6

La sécurité de l’information est l’affaire de tous les salariés et non du seul service informatique ou du département chargé de la sécurité.

• Sauvegarde et destruction de données

7

L’un des principaux risques auxquels sont confrontées les entreprises est la disparition de données à la suite d’un acte volontaire d’un salarié ou d’une absence de sauvegarde. La jurisprudence considère qu’un salarié qui efface volontairement des données commet une faute grave. Ce type de faute rend le maintien du salarié dans l’entreprise impossible et celui-ci peut donc être mis à pied dès la constatation des faits. En principe, l’acte a été accompli dans l’intention de nuire à l’entreprise et le salarié peut être licencié pour faute lourde et perdre tout droit sur les sommes que pourrait lui devoir son employeur (solde de congés payés, indemnité de licenciement, etc.). En outre, il peut être condamné à réparer le préjudice qu’il a causé. Mais les tribunaux qualifient avec réticence ces faits de faute lourde et se rangent souvent à l’affirmation du salarié qui prétend avoir effacé par mégarde des données sans importance.

8

Le fait de ne pas procéder à des sauvegardes demandées par l’employeur est considéré comme une cause réelle et sérieuse de licenciement, à l’image de ce qu’a décidé la cour d’appel de Riom en mars 2014 [3][3] Cour d’appel de Riom, 11 mars 2014, n° 12/00524. La cour d’appel d’Amiens abonde dans le même sens [4][4] Cour d’appel d’Amiens, 4 septembre 2012, n° 11/048....Enfin, les salariés sont tenus de communiquer à l’entreprise les informations dont elle aurait besoin, par exemple un mot de passe [5][5] Cour d’appel de Douai, n° 2299/13, 13/00258. Il s’agit d’un élargissement de la notion de loyauté dans l’exécution du contrat de travail.

• Droit d’auteur et salariés

9

Le droit d’auteur peut se définir comme la production intellectuelle formalisée traduisant l’expression de la personnalité du salarié. De ce fait, un grand nombre de productions réalisées dans l’entreprise relève du droit d’auteur : rapports, dessins réalisés le cas échéant par ordinateur, etc. Le CPI ne prévoit pas cependant de transfert automatique des droits de l’auteur - salarié au profit de l’entreprise - et affirme même le contraire [6][6] Code de la propriété intellectuelle, art. L111-1. La situation est intenable pour l’entreprise qui rémunère un salarié sans être propriétaire des fruits de son travail. Il a donc fallu dans des domaines sensibles des textes spéciaux, par exemple pour les logiciels [7][7] Loi du 3 juillet 1985 ou pour les agents publics [8][8] Loi n° 2006-961 du 1er août 2006 relative au droit..., qui organisent un transfert automatique des droits au profit de « l’employeur ». Quant au régime des œuvres collectives auquel l’entreprise pourrait recourir, il est parfois difficile à mettre en œuvre.

10

Il existe un contentieux émergeant de salariés qui revendiquent la paternité des œuvres et poursuivent leur employeur pour contrefaçon. Ainsi, le salarié d’une agence publicitaire a revendiqué avec succès des droits sur une brochure qu’il avait créée [9][9] Cour d’appel d’Aix-en-Provence, 21 mars 2013, n° 2013/.... En revanche, un ex-créateur de Van Clef et Arpels n’a pu se voir attribuer la qualité d’auteur. Cette problématique du salarié titulaire des droits sur son œuvre est loin d’être anodine au regard des réflexions sur le secret des affaires. Comment, en effet, une entreprise peut-elle avoir un droit au secret sur ce qui appartient à son salarié ?

• La surveillance des salariés

11

La surveillance n’a pas forcément pour vocation de déceler d’éventuelles fraudes ou détournements. Elle peut avoir pour but d’améliorer la qualité des services (ce que l’on voit par exemple chez les opérateurs téléphoniques). Mais une telle surveillance peut être attentatoire à la vie privée et les limites qui lui ont été posées ne peuvent qu’être approuvées.

12

Pour être licite, la surveillance doit remplir trois conditions :

  • Le moyen doit être proportionnel au but poursuivi (C. Trav, art. L.1121-1). Par exemple, il n’est pas possible d’organiser une fouille générale et systématique des salariés ou d’écouter ceux qui ne sont pas en contact avec la clientèle.

  • Le salarié doit être averti des mesures de surveillance utilisées. C’est généralement la raison pour laquelle il est difficile pour une entreprise de recourir à des détectives privés.

  • La mise en place d’un procédé de surveillance suppose l’information et la consultation préalables du comité d’entreprise (C. Trav, art. L.2323-32).

13

C’est sur la base de ces principes que seront rendues des décisions nombreuses et, au cas par cas, dans plusieurs domaines : surveillance des lignes téléphoniques des salariés, géolocalisation, vidéo-protection, accès aux mails des salariés. Les courriels sont considérés comme professionnels sauf si le salarié a apposé distinctement la mention « personnel ». L’employeur peut avoir accès, dans certaines conditions et sur autorisation de justice, à ces messages.

Définition réduite des bases de données

14

Lorsque la loi sur la protection des bases de données a été adoptée [10][10] Loi n° 98-536 du 1er juillet 1998 concernant la protection..., beaucoup d’entreprises espéraient voir leur patrimoine informationnel protégé. Mais, à l’aune des décisions de jurisprudence, la protection s’avère assez restreinte. Les victimes peuvent toutefois se retrancher derrière d’autres fondements juridiques, comme la concurrence déloyale.

15

Selon l’article L.112-3, alinéa 2 du CPI, la base de données est « un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ». Peut donc être protégé à ce titre, par exemple, un guide papier comparatif des fournisseurs de pièces automobiles. Mais toute base de données ne sera pas pour autant protégée.

16

Ce même code précise, en effet, que le contenu d’une base de données bénéficie d’une protection lorsque « la constitution, la vérification ou la présentation de celui-ci attestent d’un investissement financier, matériel ou humain substantiel » (art. L341-1 du CPI). Ainsi, la société Sarenza, qui vend des souliers et des chaussures en ligne grâce à un fichier de plusieurs millions d’adresses mail, n’a pas été considérée comme constituant une base de données ; la société Se loger n’a pas constitué de bases de données au sens légal du terme malgré ses dizaines de milliers d’annonces [11][11] Cour d’appel de Paris, arrêt du 15 novembre 2013; et la société M6 n’a pas créé de base de données au sens juridique du terme pour ses émissions en replay[12][12] Cour de cassation, 31 octobre 2012, rejet n° 11-20....

Le secret des affaires

17

L’Assemblée nationale a adopté le 23 janvier 2012 une proposition de loi sur le secret des affaires, à l’initiative du député Bernard Carayon. Ce texte a rencontré beaucoup de critiques, notamment parce qu’il n’apportait aucune protection supplémentaire par rapport à ce qu’avait défini la jurisprudence. Les tribunaux avaient été confrontés, en effet, à plusieurs hypothèses :

  • l’information est donnée volontairement à une personne qui la détourne : la répression repose sur l’abus de confiance sanctionné par le Code pénal ;

  • l’information est appréhendée contre la volonté de son détenteur, par exemple par hacking. La répression est alors fondée sur des textes réprimant l’intrusion informatique.

18

Il n’existe que peu de trous dans la raquette.

19

C’est dans ces conditions que la Commission européenne a élaboré une proposition de directive destinée à protéger le secret des affaires [13][13]  http://ec.europa.eu/internal_market/iprenforceme..., rendue publique le 28 novembre 2013. Ce texte, fortement inspiré des dispositions qui existent aux États-Unis, s’appuie sur le principe suivant : à partir du moment où l’entreprise prend des mesures de nature à assurer la protection de l’information, celle-ci a un caractère secret et toute personne qui en aurait connaissance sans l’accord du titulaire sera condamnée à réparer le préjudice résultant de cette appropriation.

20

La proposition de directive recourt ensuite à des mécanismes juridiques qui ont fait leurs preuves en matière de propriété intellectuelle, comme des procédures d’urgence et des mesures d’indemnisation.

21

Bien entendu, il existe des tempéraments à la protection du secret des affaires pour éviter que la presse ne soit bâillonnée ou que l’on ne puisse dénoncer un fait contraire à l’intérêt général.

22

Enfin, la justice est normalement publique et il suffit d’assister à certaines audiences pour capter des secrets. La proposition de directive envisage donc un « huis clos » pour protéger le secret des affaires.

23

Cette directive doit encore être adoptée, ce qui relève d’un long parcours. Dans d’autres pays européens, le sujet est moins sensible qu’en France.

Éric NOSAL

L’e-reputation

24

Le droit est fait de principes qui s’entrechoquent, se télescopent et se contredisent. Internet en est un bon exemple. Il y a d’un côté la liberté de s’exprimer à laquelle personne ne peut renoncer dans une société démocratique et, de l’autre, la protection de la vie privée que tout un chacun revendique. Difficile pour les juges et le législateur, qu’ils soient français ou européens, de trouver un bon équilibre et ce d’autant plus que nombre de réseaux sociaux sont situés outre-Atlantique où la législation est fort différente de la nôtre.

Comment réagir à une rumeur ?

25

Des entreprises comme des particuliers sont victimes de cyberharcèlement et de rumeurs dont la durée de vie est d’environ un mois, ce qui est bref au regard de la longueur d’une procédure judiciaire. Et chaque étape de la procédure peut réveiller une rumeur endormie. D’où le dilemme : si je réagis judiciairement, la rumeur risque de durer, voire de s’enfler, mais si je m’abstiens, ne vais-je pas l’accréditer ? Dès lors, la riposte à la rumeur va nécessiter une double compétence : celle du juriste ou de l’avocat et celle d’un communicant.

26

Il convient, tout d’abord, d’effectuer un constat d’huissier. L’acte de cet officier ministériel a pour but de figer la preuve mais également d’offrir un choix de compétence, puisque le tribunal saisi sera celui du lieu du constat. Ensuite, on peut engager une procédure de référé [14][14] Le référé est une procédure d’urgence qui permet d’obtenir... pour faire retirer les éléments litigieux. Pour obtenir des dommages-intérêts, il faut introduire une procédure au fond, qui prend de 12 à 18 mois.

27

Dans la pratique, la principale difficulté est d’identifier les médias qui diffusent la « fausse » information. Le plus souvent, l’attaque se produit concomitamment sur plusieurs médias tels que YouTube, Facebook, des blogs, etc. Il faut alors saisir chacun des responsables de ces médias par voie de justice pour les obliger à donner les adresses IP des personnes ayant fait courir la rumeur. Quant aux fondements de retrait des informations, ils sont divers : loi Informatique et libertés, atteinte à la vie privée, diffamation, etc.

La publicité des décisions de justice

28

Les décisions de justice sont publiées, pour certaines, sur le site de Légifrance et, pour toutes les décisions des cours d’appel et de la Cour de Cassation, sur des sites spécialisés comme Lexis Nexis.

29

Elles sont anonymisées pour les particuliers, mais le nom des entreprises demeure. Et l’on y trouve une mine d’informations et de documentation, notamment pour les veilleurs. Mais peu d’entre eux ont une formation juridique. À l’inverse, les juristes ne sont pas formés à la collecte et à l’analyse d’informations.

30

Par ailleurs, les justiciables n’hésitent pas à mettre en ligne les décisions qui les concernent et ce comportement peut provoquer un phénomène « boule de neige ». Un internaute prend connaissance d’une décision de justice et s’estime dans la même situation que le justiciable bénéficiaire de la décision ; il va alors saisir les tribunaux, ce qu’il n’aurait sans doute pas fait dans d’autres circonstances.

Le droit à l’oubli

31

Les règles établies en 1995 au niveau européen sur le respect de la vie privée sont totalement obsolètes. Comment en effet parler de vie privée alors que tout un chacun se répand dans les réseaux sociaux sur ses amis, ses activités, ses bonnes et mauvaises fortunes ? Quelle est la législation applicable à l’heure où sont dupliquées les données grâce au cloud computing ?

32

La directive actuellement en vigueur va être remplacée par un Règlement européen qui prévoit notamment un droit à l’oubli [15][15] Voir à ce sujet l’article « De nouvelles dispositions.... Il sera dès lors possible d’obtenir le retrait du Web d’informations gênantes.

33

Il ne faut donc pas voir le droit comme un outil utilisé seulement pour poursuivre des dérives. Il faut surtout le voir comme un outil qui joue de manière préventive un rôle organisateur et qui, à ce titre, diminue et prévient les risques.

Notes

[1]

Le 14 février 2014, l’Assemblée nationale a adopté la loi de ratification du Traité sur le brevet européen.

[2]

Adopté le 11 mars 2014.

[3]

Cour d’appel de Riom, 11 mars 2014, n° 12/00524

[4]

Cour d’appel d’Amiens, 4 septembre 2012, n° 11/04861

[5]

Cour d’appel de Douai, n° 2299/13, 13/00258

[6]

Code de la propriété intellectuelle, art. L111-1

[7]

Loi du 3 juillet 1985

[8]

Loi n° 2006-961 du 1er août 2006 relative au droit d’auteur et aux droits voisins dans la société de l’information

[9]

Cour d’appel d’Aix-en-Provence, 21 mars 2013, n° 2013/ 121

[10]

Loi n° 98-536 du 1er juillet 1998 concernant la protection juridique des bases de données.

[11]

Cour d’appel de Paris, arrêt du 15 novembre 2013

[12]

Cour de cassation, 31 octobre 2012, rejet n° 11-20.480

[14]

Le référé est une procédure d’urgence qui permet d’obtenir une décision en 15 jours ou un mois.

[15]

Voir à ce sujet l’article « De nouvelles dispositions pour protéger les données personnelles » de la rubrique Droit, p. 23

Résumé

Français

[Droit] Les individus peuvent être victimes de rumeurs et de l’absence du droit à l’oubli mais aussi des atteintes au droit d’auteur ou de surveillance exacerbée. Tandis que les entreprises peuvent voir leurs données volées et leurs secrets des affaires dévoilés…

Plan de l'article

  1. La protection de l’information
    1. Le statut des salariés
      1. • Sauvegarde et destruction de données
      2. • Droit d’auteur et salariés
      3. • La surveillance des salariés
    2. Définition réduite des bases de données
    3. Le secret des affaires
  2. L’e-reputation
    1. Comment réagir à une rumeur ?
    2. La publicité des décisions de justice
    3. Le droit à l’oubli

Article précédent Pages 37 - 40 Article suivant
© 2010-2017 Cairn.info