Sécurité des données : quels droits, quelles obligations ?

Publié le 27/06/2011 - CIO Online - E. Papin

Les entreprises qui possèdent des systèmes d’information toujours plus ouverts sur les réseaux publics comme internet sont victimes quasi quotidiennement de tentatives d’intrusion. Leur intérêt évident est de lutter contre ces intrusions et de protéger leurs données contre un accès frauduleux. Ce n’est qu’exceptionnellement que la loi impose une véritable obligation de sécurité des données.

Ainsi, lorsque les données détenues se rapportent à des personnes physiques, la loi informatique et libertés du 6 janvier 1978 impose au responsable du traitement une obligation générale de sécurité des données qu’il conserve. Lorsque ces données sont, de surcroît, relatives à la santé des personnes, le code de la santé publique va imposer également des obligations spécifiques de sécurité. Autre exemple, lorsque les données sont publiques, dans le sens où elles se rapportent au patrimoine informationnel de l’Etat, le code de la défense nationale peut alors imposer au détenteur de ces données des obligations particulières de confidentialité.

En dehors de législations spécifiques, c’est à l’entreprise de veiller à la confidentialité de ses données, sans qu’elle ne supporte, en la matière, de véritable obligation. Envisageons la question sous un autre angle, celle de la protection qu’offre le droit contre l’atteinte frauduleuse aux données.

La protection pénale contre l’atteinte aux données

Il n’existe pas dans notre droit pénal d’infraction qui vienne, de manière spécifique, protéger les données ou l’information contre la soustraction frauduleuse. La seule exception est l’infraction venant réprimer la révélation d’un secret de fabrication, prévue à l’article L1227-1 code du travail, mais son champ d’application limité. Elle ne protège que le secret de fabrication que la jurisprudence a toujours entendu comme étant un secret portant sur une méthode de fabrication d’un bien corporel. Elle ne permettrait donc pas de rendre compte de la soustraction frauduleuse d’informations commerciales, financières, comptables, etc.

L’infraction pénale qui protège principalement la propriété est le vol, défini par l’article 311-1 du Code pénal comme « la soustraction frauduleuse de la chose d’autrui ». Le substantif « chose » est-il suffisamment accueillant pour rendre compte de la soustraction d’un élément incorporel comme des données ou une information ? La jurisprudence de la cour de cassation est encore aujourd’hui hésitante sur cette question mais va dans le sens d’une reconnaissance toujours plus large du vol de « choses » incorporelles.

Lorsque la soustraction de l’information s’opère par le biais de la soustraction d’un bien corporel, qui en est le support, la jurisprudence est venue confirmer que l’on était bien en présence d’un vol. L’arrêt de principe remonte à 1979. Le vol en question avait été commis par un employé ayant réalisé une photocopie de documents confidentiels appartenant à son employeur. La cour de cassation retint qu’« en prenant des photocopies des documents en cause à des fins personnelles, à l’insu et contre le gré du propriétaire de ces documents, le prévenu, qui n’en avait que la simple détention matérielle, les avait appréhendés frauduleusement pendant le temps nécessaire à leur reproduction ».

Après le vol par photocopie, la cour de cassation a reconnu le vol par reproduction de disquettes, puis le vol d’informations, sans reproduction, dans le fait qu’un salarié ait permis à un tiers concurrent de prendre connaissance, à son domicile, de documents de l’entreprise qui l’embauche.

Dans ces espèces, en réalité, la soustraction frauduleuse s’opère toujours sur un bien corporel : le document papier ou la disquette.

Un nouveau pas vers le vol d’informations a été franchi par la cour de cassation dans un arrêt du 4 mars 2008. Dans cette espèce, le vol de fichiers informatiques a été réalisé par copie des fichiers sur support syquest depuis le serveur où ils étaient stockés. A aucun moment le détenteur légitime des fichiers n’a été dépossédé, même temporairement, desdits fichiers, y compris pendant le temps des opérations de reproduction.

La jurisprudence a également reconnu largement la possibilité de sanctionner la soustraction frauduleuse d’informations par l’abus de confiance. L’abus de confiance est défini par l’article 314-1 du Code pénal comme le fait : «  […]par une personne de détourner, au préjudice d’autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu’elle a acceptés à charge de les rendre, de les représenter ou d’en faire un usage déterminé ». Dans la définition de l’infraction, la notion de « bien quelconque » permet de faire entrer dans son champ d’application des biens de nature immatérielle, comme les données ou informations. Ainsi, la cour de cassation a reconnu, dans un arrêt du 14 novembre 2000, qu’était constitutif d’abus de confiance l’usage frauduleux d’un code de carte bancaire.

Citons enfin les articles 323-1 à 323-7 du Code pénal qui prévoient une série d’infractions visant à protéger les systèmes de traitement automatisé de données (STAD), autrement dit les systèmes informatiques, contre les atteintes qu’un tiers mal intentionné pourrait leur faire subir. Par ces infractions, on a entendu protéger le contenant (le système informatique) et non le contenu (les données). Cependant, les données sont indirectement protégées par le biais de ces infractions qui consacrent une protection spécifique pour leur support (le STAD) et son bon fonctionnement.

Vers une protection des informations économiques ?

Faut-il se contenter de l’arsenal répressif actuel ? Certains députés considèrent que le patrimoine économique informationnel des entreprises est insuffisamment protégé par notre droit pénal. Une proposition de loi a été déposée à l’Assemblée Nationale le 13 janvier 2011 relative à « la protection des informations économiques ».

Ce texte propose d’insérer un article 226-14-1 dans notre code pénal, punissant des mêmes peines que l’abus de confiance, « le fait pour toute personne non autorisée par le détenteur ou par les dispositions législatives et réglementaires en vigueur, de s’approprier, de conserver, de reproduire ou de porter à la connaissance d’un tiers non autorisé une information à caractère économique protégée ou de tenter de s’approprier, de conserver, de reproduire ou de porter à la connaissance d’un tiers non autorisé une information à caractère économique protégée ». L’ « information économique protégée » serait définie par un nouvel article 226-14-2 comme « les informations ne constituant pas des connaissances générales librement accessibles par le public, ayant, directement ou indirectement, une valeur économique pour l’entreprise, et pour la protection desquelles leur détenteur légitime a mis en œuvre des mesures substantielles conformes aux lois et usages, en vue de les tenir secrètes » ; le « détenteur légitime » de l’information économique protégée étant lui-même défini comme « la personne morale ou physique qui dispose de manière licite du droit de détenir ou d’avoir accès à cette information ».

Il faut se demander si le remède pourrait ne pas être pire que le mal ?

D’une part, on a vue que la jurisprudence de la cour de cassation allait vers une reconnaissance toujours plus grande du vol de d’informations. La jurisprudence a, en la matière, un grand avantage sur la loi : son adaptabilité aux multiples circonstances d’espèces. Or, nous sommes dans un domaine où la prise en compte des cas d’espèce nous semble indispensable. Les biens corporels ont ceci de pratique qu’ils ne peuvent avoir qu’un seul possesseur au même moment. Ce n’est pas vrai d’une information. La propriété d’un bien corporel est également facile à établir. Ce n’est encore pas vrai pour l’information, dont le concept même de propriété s’accommode mal. C’est dire qu’une solution légale unique et générale aurait bien du mal à s’accommoder de la complexité des faits, alors que les notions mêmes d’information et de détenteur légitime sont particulièrement sujettes à interprétation.

D’autre part, dès lors que l’on tente de mettre en application cette protection légale de « l’information économique protégée » on se heurte est des problèmes pratiques nombreux : un salarié est rarement recruté parce qu’il ne sait rien… C’est précisément aux regards des informations, connaissances, savoir-faire, etc. que celui-ci possède déjà qu’il devient un jour salarié d’une entreprise. Faudra-t-il en faire l’inventaire avant qu’il ne soit embauché pour que l’on puisse distinguer, dans le futur, l’information qui lui serait propre de celle qu’il aurait acquise par son travail dans l’entreprise ? Lorsqu’il quittera ses fonctions, faudra-t-il effacer de son cerveau les informations accumulées ?…

L’information n’existe pas sans les individus qui en sont les émetteurs et les destinataires. L’information a été produite par une somme d’individus dont certains l’avaient déjà en germe, voire intégralement, lorsqu’ils sont arrivés dans l’entreprise, l’ont consolidé dans leur travail, et repartiront peut-être avec. Les informations que détient une entreprise à un instant « t » ne sont que la somme des informations que connaissent les individus qui composent cette entreprise à cet instant. Doter une société d’un droit sur l’information que ses salariés génèrent et échangent dans le cadre de leur travail c’est retirer le lien évident qui existe entre l’information et les êtres qui la produisent. C’est créer par la loi une fiction dont la mise en application créera plus de problèmes qu’elle n’en résoudra.

Si l’on entend protéger une entreprise de la concurrence que lui cause le débauchage de ses salariés, la clause de non-concurrence, savamment encadrée par la jurisprudence, remplit déjà cet office. Si l’on entend protéger une entreprise de la soustraction frauduleuse d’informations exclusives, l’infraction de vol a vu sont domaine étendu par la jurisprudence. L’arsenal contractuel et pénal nous semble suffisant. Reste aux entreprises à se doter de réelles procédures organisationnelles et techniques de préservation de leurs informations confidentielles. La loi ne peut pallier leur carence en la matière.

Autres publications