INTERNET DES OBJETS - avocats-toulouse.com€¦ · internet des objets : donnÉes non personnelles, secret des affaires, intelligence Économique : quelle protection ?

INTERNET DES OBJETS :DONNÉES NON PERSONNELLES, SECRET DES AFFAIRES, INTELLIGENCE ÉCONOMIQUE : QUELLE PROTECTION ?

Internet des objets et objets connectés

▪ Un objet connecté est un objet qui collecte des données (via différents moyenstels des capteurs) communique des données.

▪ On appelle cela un objet intelligent comme le sont devenus nos téléphones. Maisla plupart du temps ils ne font que remonter des données à des serveurs qui lesanalysent pour en tirer des informations.

▪ Les objets connectés ne concernent pas que le grand public.

▪ Les entreprises font également appel à des objets connectés (capteurs sur desvéhicules, sur des machines, sur des marchandises …).

▪ Se pose néanmoins la question de la protection des données produites oucollectées par les entreprises (paramétrage d’une machine, taux d’utilisation,données de localisation, données de consommation …).

ELEOR / Me David MOREL 2

La protection des données personnelles :

▪ Le règlement européen 2016/679 du 27 avril 2016 fixe un nouveau cadrejuridique à la protection des données personnelles :

▪ Donnée personnelle : « toute information se rapportant à une personne physiqueidentifiée ou identifiable » ;

▪ Le Règlement précise qu’est réputée être une « personne physique identifiable» unepersonne physique qui peut être identifiée, directement ou indirectement, notammentpar référence à un identifiant, tel qu'un nom, un numéro d'identification, des données delocalisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres àson identité physique, physiologique, génétique, psychique, économique, culturelle ousociale » ;

▪ En élargissant le concept de « personne identifiable », le règlement élargit la notion dedonnées personnelles.


Données personnelles : l’exclusion des personnes morales

▪ Le règlement européen 2016/679 du 27 avril 2016 ne modifie pas la situation despersonnes morales (associations, sociétés, ….).

▪ Elles sont exclues de la protection instaurée par le règlement :

▪ Le règlement « établit des règles relatives à la protection des personnes physiques… » ;

▪ Il « protège les libertés et droits fondamentaux des personnes physiques »;

▪ La définition même des données personnelles exclut donc les personnes morales(association, sociétés) car elle ne concerne que les personnes physiques;

▪ Le règlement ne s’applique pas au traitement automatisé réalisé par « une personnephysique dans le cadre d'une activité strictement personnelle ou domestique ».


Données personnelles et entreprise

▪ Le règlement conserve donc un paradoxe des réglementations précédentes :l’entrepreneur individuel est protégé mais une société ne l’est pas.

▪ En revanche, le règlement ne protège que certains types de données : celles quipermettent d’identifier une personne.

▪ Une entreprise ne produit pas forcément des données qui permettent de l’identifier.

▪ Ces données peuvent révéler

▪ des secrets de fabrication ;

▪ des informations essentielles du Business Model de l’entreprise ;

▪ La liste des clients ou la celle des fournisseurs.

▪ …..


Données de l’entreprise : quelle protection ?

▪ Les données constituent des biens incorporels ou immatériels.

▪ La protection la plus évidente accordée aux biens incorporels est la propriétéintellectuelle : droit d’auteur, brevet, marque, dessins et modèles mais également lesbases de données.

▪ Les biens incorporels sont aussi protégés par le droit commercial : fonds decommerce (dont le détournement est sanctionné), concurrence déloyale … .

▪ Le droit pénal donne également quelques outils grâce notamment à la jurisprudencede la Cour de cassation.

▪ Le contrat reste évidemment un moyen de protection.

▪ Enfin, la directive 2016/943 du 8 juin 2016 relative à la protection du secret desaffaires devrait donner lieu à une loi protégeant les secrets des entreprises.


Données de l’entreprise : la propriété intellectuelle (1)

▪ Le droit de la propriété intellectuelle est un outil puissant de protection.

▪ Cette protection est néanmoins limité à certains cas précis :

▪ Droit d’auteur : protège les œuvres de l’esprit c.-à-d. une création intellectuelle originaleréalisée sous une forme (cela inclut les logiciels);

▪ Brevet : protège les « inventions nouvelles impliquant une activité inventive etsusceptibles d'application industrielle ».

▪ Marque : protège un « signe susceptible de représentation graphique servant àdistinguer les produits ou services d'une personne physique ou morale. »


Données de l’entreprise : la propriété intellectuelle (2)

▪ La protection accordée par la propriété intellectuelle :

▪ Dessins et modèles : protège l'apparence d'un produit, ou d'une partie de produit,caractérisée en particulier par ses lignes, ses contours, ses couleurs, sa forme, satexture ou ses matériaux. (Ces caractéristiques peuvent être celles du produit lui-mêmeou de son ornementation) ;

▪ Bases de données : double protection

▪ La base de données est définie comme « un recueil d'œuvres, de données ou d'autres élémentsindépendants, disposés de manière systématique ou méthodique, et individuellementaccessibles par des moyens électroniques ou par tout autre moyen. »

▪ Le Code de la propriété intellectuelle protège :

▪ L’auteur d’une base de données (sous réserve de son originalité)

▪ Le producteur de la base de données : celui qui prend l'initiative et le risque des investissementslorsque la constitution, la vérification ou la présentation de la base de données atteste d'uninvestissement financier, matériel ou humain substantiel.


Données de l’entreprise : le droit pénal (1)

▪ Depuis quelques années, la Cour de Cassation a accordé un intérêt particulier à laprotection de biens incorporels qui ne rentrent pas dans le champ d’application de lapropriété intellectuelle.

▪ Plusieurs infractions sont prévues (spécifiques ou génériques) :

▪ L’abus de confiance ;

▪ Le vol ;

▪ La destruction du bien d’autrui (Cass, 16 décembre 2015) ;

▪ Accès frauduleux dans un système de traitement automatisé de données (article 323-1 duCode pénal) : « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partied'un système de traitement automatisé de données est puni de deux ans d'emprisonnementet de 30000 euros d'amende. »

▪ Secret de fabrique (Art. L. 1227-1 du Code du Travail) : « Le fait pour un directeur ou unsalarié de révéler ou de tenter de révéler un secret de fabrication est puni d'unemprisonnement de deux ans et d'une amende de 30 000 euros. »



▪ L’abus de confiance (article 314-1 du Code pénal) :

▪ Infraction : « le fait par une personne de détourner, au préjudice d'autrui, des fonds, desvaleurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de lesrendre, de les représenter ou d'en faire un usage déterminé » ;

▪ Cette infraction s’applique à un bien quelconque et pas seulement à bien corporel(concernant un code de carte bancaire / Crim, 14/11/2000) ;

▪ A propos du détournement d’un projet industriel : projet de borne de maintenanceinformatique d’une station d’épuration dont la Cour de cassation a considéré que leprévenu avait « disposé au profit d’un tiers et comme d’un bien propre d’un projet qui,dès sa réalisation, était propriété de son employeur et dont il n’était devenu quedétenteur » (Crim, 22/09/2004). Le détournement consistait dans la reproduction par unsalarié d’un devis au nom d’une société concurrente de son employeur.

▪ Crim, 16/11/2011 : « les informations relatives à la clientèle constituent un biensusceptible d’être détourné ».



▪ Le vol (article 311-1 du Code pénal) :

▪ Vol : « la soustraction frauduleuse de la chose d'autrui » ;

▪ T correctionnel Clermont-Ferrand / 26 septembre 2011 : il reconnait « les faits de vol dedonnées informatiques confidentielles ». En l’espèce, une salariée était partie avec desfichiers clients, des fichiers fournisseurs et des contrats de son ancien employeur ;

▪ Cour d’appel de Paris / 5 février 2014 : téléchargement de données (7,7 Go) del’Agence Nationale de Sécurité Alimentaire en raison d’une faille de sécurité del’Extranet dédié. Confirmé par la Cour de cassation / 20 mai 2015 : « M. X... s’estmaintenu dans un système de traitement automatisé après avoir découvert que celui-ciétait protégé et a soustrait des données qu’il a utilisées sans le consentement de leurpropriétaire » ;

▪ L’infraction de vol peut être très utile surtout dans ce dernier cas. En effet, la faille desécurité ne constitue pas une remise, élément nécessaire pour caractériser l’infractiond’abus de confiance.



▪ La destruction, la dégradation ou la détérioration d'un bien appartenant à autrui(article 322-1 du Code pénal) :

▪ Cour de cassation / 16 décembre 2015 : concerne une interview filmée dontl’enregistrement a été remis frauduleusement à l’interviewé qui l’a effacé du support.

▪ Dans cet arrêt, la Cour de cassation considère que « peut faire l’objet d’un abus deconfiance et du délit de destruction tout bien susceptible d’appropriation » ;

▪ La nouveauté de cet arrêt est que la Cour de cassation a retenu l’infraction dedestruction dans le cas d’une destruction d’un bien immatériel.

▪ C’est la destruction du film et non de son support qui est sanctionnée.


Données de l’entreprise : le contrat et la responsabilité civile

▪ Le contrat demeure un moyen de protection :

▪ Accord de confidentialité :

▪ Données protégées ;

▪ Restriction des personnes y ayant accès ;

▪ Prévoir les sanctions au manquement.

▪ Contrat avec les fournisseurs de solutions : hébergeur de données, services saas, fourniturede systèmes :

▪ la sécurité des données ne doit pas être exclu de la responsabilité du fournisseur de solutions ;

▪ Si le fournisseur ne fournit que le matériel, la conception du système doit sécuriser la collecte, lestockage et la transmission des données ;

▪ Les actions sur le fondement de la responsabilité civile sont également possibles :

▪ Action en concurrence déloyale :

▪ Nécessite de démontrer un recoupement des clientèles ;

▪ Retenu pour la reproduction des CGV d’un concurrent.


Données de l’entreprise : La directive « Secret des affaires »

▪ Directive 2016-943 adoptée le 8 juin 2016 :

▪ Elle tente d’harmoniser les législations nationales concernant la protection des secretsd'affaires contre l'obtention, l'utilisation et la divulgation illicites.

▪ Elle définit la notion de « secrets d’affaires ». Ce sont des informations :

▪ Secrètes : dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments,elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupentnormalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,

▪ Qui ont une valeur commerciale parce qu'elles sont secrètes,

▪ Qui font fait l'objet, de la part de la personne qui en a le contrôle de façon licite, dedispositions raisonnables, compte tenu des circonstances, destinées à les garder.

▪ Elle donne des exemples : tout document, objet, matériau, substance ou fichierélectronique


Données de l’entreprise : La directive « Secret des affaires » (2)

▪ Obtention illicite de secrets d’affaires :

▪ Au moyen d’un accès non autorisé ;

▪ Appropriation ou copie non-autorisée ;

▪ Tout autre comportement qui, eu égard aux circonstances, est considéré commecontraire aux usages honnêtes en matière commerciale ;

▪ Utilisation ou divulgation :

▪ Réalisé sans le consentement du détenteur du secret d’affaires ;

▪ Réalisé par une personne ayant obtenu le secret d’affaires de manière illicite ; ou

▪ Réalisé en violation d’un accord ou d’une clause de confidentialité.



▪ Le but de la directive est de contraindre les états membres de l’UnionEuropéenne à adopter des « mesures, procédures et réparations nécessairespour qu'une réparation au civil soit possible en cas d'obtention, d'utilisation et dedivulgation illicites de secrets d'affaires » ;

▪ La directive ne donne qu’un cadre très général : le but est de faire reconnaitre lesecret d’affaires et l’obligation de prévoir des sanction à un utilisation illicite dusecret d’affaires.

▪ La directive impose de prévoir des règles permettant aux juges de soumettre à laconfidentialité tous les intervenants d’une procédure relative à la violation d’unsecret d’affaires ;

▪ Des mesures de sauvegarde devront pouvoir être prononcées : injonction,interdiction, destruction, rappel de biens



▪ La directive prévoit également des critères de détermination du préjudice :

▪ conséquences économiques négatives, y compris le manque à gagner ;

▪ les bénéfices injustement réalisés par le contrevenant ;

▪ le préjudice moral causé au détenteur de secrets d'affaires du fait de l'obtention, del'utilisation ou de la divulgation illicite du secret d'affaires.

▪ Les juges devront pouvoir fixer des indemnisations forfaitaires.

▪ Devra être transposée avant le 9 juin 2018.


Merci de votre attentionMe David MOREL06 89 57 11 [email protected]

Documents

INTERNET DES OBJETS - avocats-toulouse.com€¦ · internet des objets : donnÉes non personnelles, secret des affaires, intelligence Économique : quelle protection ?