Vous sortez une nouvelle édition de votre ouvrage Cyberdroit, quelles sont les grandes évolutions du droit touchant aux TIC depuis la dernière édition ?
Christiane Féral-Schuhl. La question est très large car beaucoup de domaines sont concernés.
Prenons dans l'ordre des thèmes abordés. Sur le chapitre des données personnelles, vous avez la création du Correspondant Informatique et Libertés.
Vous avez également les développements de la biométrie, notamment pour assurer l'accès aux locaux ou comme moyen de cybersurveillance.
Sur le chapitre du droit d'auteur, le peer-to-peer a ouvert des débats judiciaires passionants et la loi du 1er août 2006 apporte des réponses controversées.
Sur le terrain de la cybercriminalité, l'organisation policière au plan international connaît de nouveaux développements et l'on observe de nouvelles formes de cybercriminalité.
Il y a de quoi nourrir et passer de 300 pages - édition 2000 - à 700 pages...
En tant qu'avocate, comment vous positionnez-vous face à la situation suivante : une direction générale demande au responsable informatique de lui fournir des informations à caractère personnel sur certains salariés ?
La question doit être considérée dans son contexte particulier. Deux règles sont essentielles en matière de cybersurveillance ou d'accès aux données personnelles : la première règle touche à la transparence : les salariés et le comité d'entreprise lorsqu'il y en a un doivent avoir été informés de l'utilisation qui doit ou peut être faite des données les concernant.
La deuxième règle touche à la proportionnalité de la mesure prise : la question est donc de savoir quelles données pour quelle finalité.
Le salarié dispose bien du droit à la préservation de sa vie privée et il y a des zones à ne dépasser. Mais s'il s'agit dans le cas présent de données dont il sait qu'elle peuvent être exploitées, il n'y a pas nécessairement de difficulté et la demande est légitime. S'il s'agit d'accéder à des messages à caractère personnel de toute évidence ou de tracer un profil du salarié, la situation est plus délicate. La difficulté dans cette matière est de trouver la juste frontière entre le pouvoir de contrôle de l'employeur et le droit au respect de la vie privée du salarié.
Salarié, puis-je crypter les données stockées sur mon poste de travail pour les protéger de mon employeur ?
| |
|
 |
|
|
 La Cnil joue un important rôle normatif et régulateur" |
|
Il me semble qu'une décision vient de sanctionner le chiffrement de données sur un ordinateur. Cette position s'explique car, encore une fois, l'accès internet, l'ordinateur, la messagerie sont avant tout des outils de travail et il y a une légitimité de la part de l'employeur à pouvoir ou vouloir accéder aux données.
S'il existe une tolérance pour les messages à caractère personnel - à l'exemple de l'utilisation du téléphone - , il y a ici encore une frontière à ne pas dépasser. En revanche, l'employé doit avoir été informé que l'employeur pourrait ou se réservait la possibilité d'accéder à ses données.
Que pensez-vous du nouveau pouvoir de sanction de la CNIL ?
La Cnil joue un important rôle normatif et régulateur. Pour donner du sens à ses décisions, il était parfaitement logique que ses pouvoirs soient renforcés. Mais vous observerez que la Cnil joue également un rôle d'information considérable, voire de conseil. Son rôle est avant tout protecteur du citoyen.
Suite au blackout électrique il y a deux semaines, le site e-commerce de notre société a été interrompu, entraînant quelques pertes financières. Dois-je attaquer mon hébergeur et lui réclamer des dommages et intérêts ?
Dans une affaire comme celle-ci, il faut d'abord analyser les liens de causalité.
Qui est à l'origine du blackout ? A priori, vous semblez indiquer qu'il est "électrique".
Il n'est donc pas impossible que vous soyez en présence d'un cas de force majeure.
Par ailleurs, il vous faut examiner votre contrat d'hébergement et vérifier les engagements pris en termes de continuité du service et les clauses exonératoires de responsabilité. La première disposition vous indiquera s'il y avait des engagements forts en termes de niveaux de service et si une interruption comme celle-ci était prévue et si oui, dans quelles conditions.
La deuxième disposition prévoit en général l'exonération pour cas de force majeure ou encore marque la limite de responsabilité. Ces vérifications constituent un préalable.
Dans quelle version du droit faut-il négocier un contrat d'offshore - Inde / France ?
Entre professionnels, le choix de la loi applicable est libre. Le droit français peut s'appliquer ou encore une loi choisie d'un commun accord par les parties qui ne soit ni la loi française, ni la loi indienne.
En revanche, il faut tenir compte des dispositions d'ordre public qui ont vocation à s'appliquer localement en Inde. Les clauses liées à la confidentialité ou à la non concurrence sont opposables à la société contractante mais pas aux employés. En d'autres termes, un employé indien est protégé par son droit local.
Je trouve de plus en plus anormal que les sites Web détenteurs de données personnelles ne soient pas plus sévèrement punis quand ils assurent avec tellement peu de sérieux la sécurité de ces données (on l'a vu récemment avec une carte de transport que de nombreux Franciliens utilisent au jour le jour... et dont les données ont été accessibles en ligne). Les USA ont compris qu'il fallait sévir contre les sociétés négligentes, pourquoi la France ne suit-elle pas ?
Il existe des obligations de sécurité prévues par la loi informatique et libertés et leur non respect engage la responsabilité. Je n'ai pas en mémoire les décisions qui ont été prononcées mais il est toujours possible de porter plainte auprès de la Cnil.
Par ailleurs, le descriptif des mesures de sécurité fait partie du dossier Cnil et est soumis en principe à des vérifications. Cela étant, peut-être que les contrôles ne sont pas suffisamment fréquents, ce qui peut donner une impression de laxisme.
Bonjour, je suis DSI dans une société de 2000 personnes et je commence à me demander si je ne vais pas créer un département juridique dans ma DSI, tellement les sujets liés à notre activité deviennent complexes et multiples. Qu'en pensez-vous ?
| |
|
 |
|
|
L'afflux d'informations génère à la fois plus de risques d'erreurs mais aussi facilite le contrôle" |
|
Je vous rejoins dans le sentiment que les sujets sont complexes et multiples. En même temps, vous occupez un poste central dans l'entreprise d'aujourd'hui et vous avez une série d'obligations. Je les répertorie en plusieurs catégories, ce qui devrait vous aider à y voir plus clair :
- vous avez déjà la protection du patrimoine informationnel de l'entreprise contre les agressions extérieures : votre responsabilité consiste ici à vous assurer que vous avez mis en place les protections ad hoc (antivirus....) et dans les versions à jour.
- vous avez la même obligation en interne : gestion des contrôles d'accès
- vous avez ensuite l'obligation de garantir la continuité du service : ce qui suppose de vérifier les clauses de transférabilité et de réversibilité dans tous les contrats
- vous avez bien sûr l'obligation d'être à jour pour les données personnelles
- idem pour la propriété intellectuelle (licences de logiciels)
- enfin, en matière de cybersurveillance, il y a à vérifier au respect des deux règles énoncées précédemment.
Une fois ces grandes catégories répertoriées, une séance de brainstorming vous permet d'identifier les principaux risques, les failles et de remédier aux situations identifiées. C'est donc surtout une question de technique et je vous recommande vivement l'approche par les risques - plus efficace, plus digeste et plus cohérente.
Faut-il protéger à l'Inpi son site internet ? Si non, que faut-il faire ?
Je suppose que vous voulez protéger les pages web de votre site. Ce n'est pas obligatoire mais vous pouvez effectivement prévoir une protection par les dessins et modèles, c'est sans doute pour cela que vous parlez de l'INPI.
Verra-t-on un jour apparaître un "code numérique" - comme les codes civils, CPP, etc. - regroupant tous les textes du "cyberdroit" ?
Je pense que Legifrance constitue plus qu'un "code numérique". Vous pouvez consulter tous les textes et tous les articles sur Légifrance. L'internet est une gigantesque base de données numériques et vous y trouvez tout. Je vous le confirme, j'ai beaucoup utilisé l'Internet pour écrire Cyberdroit et en particulier tous les sites juridiques.
Avec la multiplication des blogs, flux RSS, podcast - ce qu'on appelle le WEB 2.0 -, les entreprises ne sont-elles pas confrontées à de nouvelles responsabilités et risques juridiques ?
L'afflux d'informations génère à la fois plus de risques d'erreurs mais aussi facilite à mon avis le contrôle. Sur un sujet donné, la multiplication des sources - blogs, bases de données... - vous permet de vérifier l'exactitude de l'information.
Cela exige de nouveaux réflexes. Sous cette réserve, ma réponse est négative.
Aujourd'hui, je trouve que déposer un nom de domaine est des plus risqués, entre les risques de cybersquatting, de typosquatting, etc.
Mais il me semble qu'il y a plus de risque à ne pas déposer du tout le nom de domaine qui vous intéresse ! Je suis cyberarbitre auprès de l'OMPI et je peux vous assurer que les décisions rendues sont très efficaces, rapides et rétablissent les droits.
Face aux propositions de loi sur le cyber-terrorisme, quels seront les obligations des FAI ? Est-ce que cela concernera aussi les écoles ? Les entreprises ?
Les FAI jouent déjà un rôle important, notamment par le point de contact. Je ne sais pas à quelles obligations vous faites référence, mais pour l'heure, il est acquis que les FAI n'ont pas de responsabilité à raison des contenus. Ils ont l'obligation de retirer un contenu à caractère illicite lorsqu'ils en ont été dûment informés. Les autres obligations sont sans doute liées à l'obligation de conservation des données de connexion.
| |
|
 |
|
|
La signature électronique exige le respect de certaines contraintes et sur ce terrain, il y a encore à convaincre" |
|
Si nous parlons bien de cette dernière obligation, la question de savoir si elle s'étend aux entreprises, voire aux écoles, a été ouverte par une décision rendue en référé qui a assimilé une banque à un FAI. Mais à ma connaissance, le statut de FAI de la banque n'a pas été contesté. Or, la discussion est parfaitement possible sur ce terrain. Mais peut être pensez vous à d'autres obligations ?
Nous sommes une société et nous avons de plus en plus de mal à contacter des prospects par mail. Pourtant, la loi nous y autorise. Les récentes lois - notamment la LCEN - nous ont rendu la tâche de plus en plus difficile...
C'est un constat ? Il est exact que le principe retenu par la LCEN est celui de l'opt-in - consentement préalable du destinataire - sauf exceptions très limitées, par exemple, le destinataire du mail est déjà votre client.
Le champ de la reconnaissance de l'écrit électronique s'élargit de plus en plus. Jusqu'où pensez-vous que cela peut aller ?
Il reste très peu de champ à couvrir. Depuis la loi du 13 mars 2000, l'écrit électronique est l'équivalent de l'écrit papier sous réserve de garantir l'identité de l'émetteur - garantie d'authentification - et de garantir l'intégrité.
Les décrets concernant les notaires et les huissiers ont complété le dispositif et les actes authentiques peuvent être dématérialisés.
Certains actes sont exclus. Ils sont limités et concernent plutôt le droit de la famille, le droit des successions.... Il reste bien sûr d'autres obstacles à franchir : la signature électronique, corollaire de la preuve, exige le respect de certaines contraintes et sur ce terrain, il y a encore à convaincre.
Quelle est la juridiction compétente dans le cas où mes prestations de services sur Internet sont dédiées aux personnes vivant dans tous les continents ?
Nous ne parlons pas bien sûr de professionnels ? Entre professionnels, le choix de la juridiction et de la loi sont libres.
S'agissant de consommateurs, chaque consommateur peut invoquer théoriquement sa propre loi puisque l'attribution de sa loi locale est d'ordre public.
Qu'implique comme obligations la mise en place d'une solution biométrique pour controler les accès physiques à mon entreprise ?
Les solutions biométriques sont soumises à l'autorisation de la Cnil. Par ailleurs, il faut remplir les deux conditions précédemment mentionnées : la proportionnalité de la mesure mise en place - par exemple, un accès biométrique pour une cantine scolaire a été jugé disproportionné - doit être proportionnée. La seconde condition est la règle de transparence, donc d'information des salariés et du comité d'entreprise avant la mise en place du projet.
Pourquoi selon vous les sites de jeux en ligne sont-ils victimes aujourd'hui de poursuites virulentes ?
Ils ne sont pas l'objet de poursuites virulentes. Les jeux d'argent en ligne sont sévèrement réglementés et ces sites sont tout simplement en contradiction avec la loi. Les jeux en ligne ne font pas partie de la directive européenne concernant les services.
En d'autres termes, c'est l'un des secteurs qui reste soumis à la législation nationale des pays de l'Union européenne. Mais il y a beaucoup de contestation à ce sujet et la commission européenne est actuellement saisie de ce problème. Il y a également plusieurs tentatives pour infléchir la loi à ce sujet.
Combien de temps vous a pris la réactualisation de votre ouvrage ?
C'est une très bonne question !!!! La dernière édition date de novembre 2002.
J'y retravaille sérieusement depuis l'été 2004 et je crois y avoir travaillé sans interruption depuis deux ans avec une nette montée en charge ces derniers mois. Bilan : deux années.
Merci à tous. Vous trouverez évidemment des réponses plus détaillées et plus complètes à vos nombreuses questions dans Cyberdroit qui sera en librairie à compter de demain. Merci encore et à bientôt.
|
Propos recueillis par