samedi 19 décembre 2015

P(apa) N(ovember) R(oméo), atterrissage autorisé !

Depuis plus de dix ans, l'Union Européenne (UE) tente d'adopter une réglementation relative à un fichier européen de données sur les passagers aériens ou plus communément appelé « Passenger Name Record » (PNR).
Dès 2004 et sur demande des États-Unis qui souhaitaient recevoir les données des passagers issus d'Europe, l'Union européenne a tenté de mettre en place un PNR d'abord avec les États Unis puis propre à l'UE sans succès, échec qui a été reconduit avec le nouveau projet de 2011.
Source : theparliamentmagazine.eu

La principale critique résidait dans l'incompatibilité du projet de réglementation avec les droits fondamentaux et en particulier avec les droits à la protection de la vie privée et aux données personnelles de tous les voyageurs, tels que définis aux articles 7 et 8 de la Charte des Droits Fondamentaux de l’Union Européenne.
Relancée après les attentats de Paris en janvier 2015, il aura fallu attendre début décembre 2015 pour que les 28 États membres de l'UE adoptent une position commune, validée par la commission des libertés civiles du Parlement européen. Dans un second temps, le projet de directive sera mis au vote en séance plénière début 2016 puis devra être approuvé en Conseil des ministres de l'UE. Si elle est adoptée, cette directive devra ensuite être transposée dans les législatives nationales des États membres dans un délai de deux ans. .

dimanche 22 novembre 2015

Réseaux sociaux et règles juridiques

Avant de commencer mon article, je tenais à rendre hommage à toutes les victimes des terribles attentats de Paris mais également à toutes les victimes de tous les actes terroristes bien trop nombreux sur notre planète. Je tenais également à saluer toutes les forces de police, armées et de secours qui se sont mobilisées pour nous protéger et tout ceux qui se mobilisent encore.

 Source : fotomelia.com
Internet a d'ailleurs eu un rôle important dans cette mobilisation. En effet, nous pouvons saluer les initiatives constructives des réseaux sociaux qui ont permis, d'une part, de connaître si nos proches parisiens étaient en sécurité et, d'autre part, de lancer un mouvement de solidarité et de soutien aux victimes. Ces heureuses actions ont supplanté la campagne virulente de cyberattaques (défigurations des sites ou de dénis de service) ou même l'affichage public sur les réseaux sociaux de soutien à Daesh qui avaient lieu après les attentats de janvier 2015.

A ce sujet, il est important de rappeler que les réseaux sociaux sont des espaces où la liberté d'expression n'est pas absolue et peut connaître certaines limites.
Certes, la liberté d'expression est consacrée comme « l'un des droits les plus précieux de l'homme » par l'article 11 de la Déclaration des droits de l'homme et du citoyen de 1789 et sa valeur constitutionnelle est réaffirmée régulièrement par le Conseil constitutionnel qui y voit une « garantie essentielle du respect des autres droits et libertés » depuis sa décision du 11 octobre 19841.
Sur la toile, la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)2 laisse toute sa place au droit commun de la liberté d'expression tout en y apportant des limites qui sont similaires à tout autre autre support d'expression ou tout autre média ordinaire.
En effet, un post sur Facebook ou un tweet sur Twitter peuvent comme tout support d’expression avoir un contenu illicite, contenu interdit et puni par la loi (propos racistes, diffamation, insulte, apologie du terrorisme, etc.) et son auteur peut donc être sanctionné pour ce propos.
L'exemple le plus parlant est celui de Dieudonné M’Bala M’Bala qui a été condamné pour apologie du terrorisme3, à la suite de son propos tenus sur Facebook « je me sens Charlie Coulibaly », ce qui marquait, selon le ministère public, sa sympathie à l’égard du terroriste antisémite.

En est-il de même concernant le simple retweet ? Le retweet du message illicite expose-t-il son auteur aux mêmes sanctions que le tweet initial ?
Retweeter une insulte ou une diffamation sans autre précision peut être interprété comme une reprise à votre compte de l’expression outrageante et vous exposer à commettre la même infraction4 ou à en être complice.
A la différence du « j'aime » sur Facebook, le retweet sur Twitter ne permet pas de connaître la position de l'internaute au sujet de ce qu'il relaie, approuve-t-il ou au contraire condamne-t-il les propos illicites ?
Cette question est d'autant plus complexe que l'internaute peut se prévaloir sur de son anonymat sur Twitter ou d'un propos tenu dans le cadre de sa sphère privée en fonction des paramètres de verrouillage sur Facebook.
Pour illustrer cette problématique, il faut savoir qu' en droit du travail, plusieurs juridictions du fond ont eu à connaître de messages très critiques, parfois même injurieux ou diffamatoires, tenus par des salariés à l’encontre de leur employeur. L’enjeu était le suivant, s’ils étaient analysés comme des correspondances privées, ils relevaient de la sphère de la vie personnelle et ne pouvaient donner lieu à aucune sanction ; s’ils étaient analysés comme des propos publics, ils pouvaient constituer la base de sanctions disciplinaires, allant jusqu’au licenciement.
En matière pénale, le TGI de Paris, dans une ordonnance du 24 janvier 2013, a ordonné à Twitter de donner les coordonnées d'auteurs de messages antisémites. En conclusion, le pseudonnyme n'est donc pas une protection absolue, et le juge peut facilement se faire communiquer le nom des intéressés, afin d'engager des poursuites à leur encontre.

De façon plus simple, en cas d'observation d'un contenu illicite sur les réseaux sociaux, il est important de le signaler à la plateforme officielle de signalement des infractions5  ou encore de le signaler directement aux réseaux sociaux qui ont l'obligation, sur le fondement de l'article 6-I-8 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique de mettre en place un dispositif de signalement des contenus illicites conforme au droit français.

En dehors de toute sanction juridique, l'utilisation des réseaux sociaux doit rester mesurée et raisonnable pour notamment préserver son « e-reputation ». A ce sujet, la CNIL recommande sur Facebook de créer différentes listes correspondant aux membres de votre famille, à vos amis proches, à vos collègues, etc., puis adapter les paramètres de confidentialité en fonction des informations que l'internaute souhaite partager avec chaque catégorie de personnes. La CNIL rappelle également qu'il est possible de modifier ou de supprimer des données personnelles sur Internet, en cas de refus du moteur de recherche ou d'autres acteurs sur Internet, vous pouvez adresser une plainte en ligne à la CNIL car il s'agit d'un droit reconnu par la loi Informatique et Libertés6.
Maîtriser son e-reputation c'est aussi éviter de se faire pirater ses comptes sociaux7 et de se faire usurper son identité. L’infraction d’usurpation d’identité numérique est depuis la loi d’orientation et de programmation pour la performance de la sécurité intérieure dite LOPSI II8 passible d’un an de prison et de 15 000 euros d’amende9.

Internet est loin d'être un espace de liberté absolue, en dehors peut être des réseaux anonymes tels le réseau TOR, et cela vaut aussi bien pour tout réseau social qui peut être également soumis à des dispositions de propriété intellectuelle, de prescription, de protection des données à caractère personnel, des dispositions sur l’utilisation des données pouvant servir de preuve dans des poursuites judiciaires nationales et internationales.


Notes de bas de page :
1 Décision n° 84-181 DC du 11 octobre 1984 relative à la loi visant à limiter la concentration et à assurer la transparence financière et le pluralisme des entreprises de presse
2 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.
3 http://www.lefigaro.fr/flash-actu/2015/03/25/97001-20150325FILWWW00241-apologie-du-terrorisme-dieudonne-fait-appel-de-sa-condamnation.php
4 L'insulte et la diffamation publiques se définissent comme des délits de presse, soumis au régime de la loi sur la liberté de la presse du 29 juillet 1881 et sont punies pénalement.
5 https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
6 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .

dimanche 18 octobre 2015

Le droit autorise-t-il les conflits dans le cyberespace ?

Lors du colloque international « CyberDéfense » qui a eu lieu le 24 septembre à Paris, le ministre de la Défense, Jean Yves Le Drian annonçait tout naturellement que « les effets opérationnels de la cyberdéfense peuvent largement se comparer à ceux de certaines armes conventionnelles ». La « lutte informatique offensive » est officiellement lancée !


Espace à la fois virtuel et support d'infrastructures physiques, espace clairement mondialisé mais dont l'affirmation des frontières est aujourd'hui un enjeu de souveraineté, le cyberespace est le lieu de nouvelles conflictualités.
Juridiquement, existe-il des règles pour régir les conflits dans le cyberespace ?

Au niveau national, pour prévenir les attaques et en cas d'attaque majeure, la loi de programmation militaire du 18 décembre 20131 oblige les opérateurs d'importance vitale notamment à mettre en place des mesures de sécurité édictées par l’État pour leurs systèmes d'information vitaux. Il est par exemple demandé à ces opérateurs de notifier leurs incidents qui affectent leurs systèmes d'information d'importance vitale.

Au niveau international, et pour l'Organisation du Traité de l'Atlantique Nord (OTAN), il a été clairement annoncé lors du sommet des 4 et 5 septembre 2014 aux Pays de Galle qu' « il reviendrait au Conseil de l'Atlantique Nord de décider, au cas par cas, des circonstances d'une invocation  de l’article 5 à la suite d'une cyberattaque ».
Pour rappel, l'article 5 du traité de l'OTAN énonce que face à une attaque armée dirigée contre un État membre de l'OTAN, il est possible de se prévaloir de l'exercice de son droit de légitime défense.
Toutefois, il faut rappeler qu'en droit national, pour se prévaloir de la légitime défense face à un attaquant identifié sur le territoire national, il faut respecter certaines conditions. La légitime défense est, selon l'article 122-5 du code pénal, un fait justificatif c'est à dire un fait qui permet d'éviter d'engager sa responsabilité pénale face à un acte qui en temps normal est pénalement répréhensible.
Pour être recevable par un juge français, la légitime défense doit réunir les conditions suivantes :
  • l'atteinte doit être imminente ou concomitante à un acte contraire au droit, ici une attaque, l'acte de légitime défense ne peut pas réagir après coup, après analyse ou constatation des dégâts ;
  • la riposte doit avoir pour seul but de faire cesser l'attaque et être nécessaire à ce but ;
  • la riposte doit être proportionnée à l'attaque.

Au regard de ces différentes conditions, la pratique d'un telle légitime défense sera difficile à mettre en œuvre et les juges français pourraient se montrer réticents sur la question.
En plus, si la légitime défense n'est pas reconnue, il est possible que celui qui s'en prévaut face au hacker d'origine risque d'être condamné pour atteinte à un système de traitement automatisé de données, infraction pénale prévue par les articles 323-1 et suivants du code pénal. Mais cette situation implique que la personne auteur de la riposte soit poursuivie par le hacker d'origine ou par les autorités judiciaires qui en auraient eu connaissance. Si le hacker se fait connaître cela serait particulièrement de mauvaise foi mais c'est possible, on le voit avec les personnes auteurs de cambriolages qui portent plainte lorsque la victime a riposté, souvent en raison de la disproportion de la riposte.

Au niveau international, il n'existe pas encore de jurisprudence sur les cyber-agressions mais le manuel de Tallinn y expose certaines propositions en matière de cyber-conflits.
Ce document examine une portion du droit international relatif à ce que l'on appelle le droit des conflits armés ou encore droit de la guerre. Composé traditionnellement de deux grands domaines, le jus ad bellum  codifiant le recours par les États à la force et le jus in bello ayant trait à leur comportement et leurs actions durant les conflits. 


Pour le Manuel, une cyberattaque est une agression armée car il part du principe que l’effet d’un bombardement par avion détruit et peut causer des pertes humaines et donc qu’une telle attaque est comparable, en effet selon l'article 30 du Manuel « les attaques informatiques peuvent avoir les mêmes effets que des attaques physiques classiques et doivent donc être considérées comme tel ».

Cependant, ce manuel n’a pas force de loi, il s'agit uniquement de propositions issues de réflexions menées par des experts juridiques et ne représente pas le droit international coutumier.
Pour le droit des conflits armés, défini par la convention de Genève de 1949 et ses protocoles additionnels, la qualification du conflit armé n'est acquise uniquement en présence d'un incident d'une certaine intensité, qui s'inscrit dans la durée et dont les protagonistes sont clairement identifiés, caractéristique difficile à mettre en œuvre dans le cyberespace.

La « cyberguerre » est-elle déclarée ? Non, d'ailleurs le terme de« cyberguerre » n'a pas été intentionnellement utilisé dans les développements de ce billet car doctrinalement il semble opportun de rejoindre la thèse défendue notamment par Thomas Rid2 qui « considère qu’il n’y a pas et il n’y aura pas de cyberguerre, même s’il reconnaît que se déroule une intense activité conflictuelle dans le cyberespace ».
Juridiquement, avant d'adapter les règles du droit des conflits armés au cyber-combat, ne faudrait-il pas réguler les réseaux au niveau international ? Pour démarrer la réflexion, l'ARCEP a publié un état des lieux du cadre de régulation  de la neutralité du net le mois dernier notamment sur la gestion du trafic, les pratiques commerciales, les services optimisés distincts de l'accès à internet et la qualité de l'accès à internet. 

 

1Article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

mercredi 16 septembre 2015

Quels droits et devoirs en robotique?

Même plus besoin de les imaginer, elles existent déjà ! Les villes intelligentes sont les villes où la circulation se fait grâce à des voitures autonomes et où le quotidien devient facilité par la présence de robots et une multitude d'objets connectés. Toutefois, ces villes qualifiées de futuristes sont loin d'être des villes sans droit ni loi. La série de questions-réponses suivantes permettra de défricher les aspects juridiques concernant les robots, les voitures autonomes et les objets connectés.



Cet article fait partie du dossier d'EchoRadar intitulé "Artificialités futures (robots, villes intelligentes) ".


Source image : citizenpost.fr

  1. Le robot domestique de ma grand-mère s'est trompé dans le dosage de son médicament aggravant son état de santé : qui est responsable ?
Cela dépend...En matière de responsabilité, aucune réponse intangible ne peut être fournie car cela dépend de beaucoup d'éléments dont ceux de contexte mais également de l'interprétation d'une possible personnalité juridique du robot.
En effet, il est indéniable qu'au regard de la vitesse de création des inventions technologiques, la réglementation du fonctionnement et de l'utilisation des robots va constituer un des enjeux majeurs juridiques mais également éthiques des années à venir.
En propos liminaires, il est important de distinguer la notion de robot avec celle d'objet connecté. L'objet connecté est un ensemble de capteurs sans fil qui récupèrent des données et qui repose en partie sur les infrastructures existantes de l’internet.
De même, un robot ne peut être assimilé à un simple automate qui, comme son nom l'indique, accomplit uniquement des automatismes, des tâches uniques répétitives et fastidieuses.
Ainsi, à la différence de l'objet connecté et de l'automate, le robot, nouvelle génération, serait doté d'intelligence artificielle qui lui confère une autonomie de décision.
Toutefois, le curseur de l'intelligence du robot par rapport à l'automate n'est pas si facile à placer, à partir de quel niveau d'autonomie un automate peut-il être considéré comme un robot ?
Cette frontière de l'autonomie et de l'intelligence de la machine a des conséquences juridiques importantes notamment en ce qui concerne le statut juridique du robot.
A ce sujet, deux thèses juridiques s'affrontent, elles reflètent chacune une conception du robot, plus ou moins autonome.
La première thèse soutenue par Alain Bensoussan1 soutient la création d'un statut juridique spécifique au robot du fait de son autonomie grandissante voire désormais de son intelligence artificielle. Selon cette thèse, la personnalité juridique propre du robot se distingue du régime juridique lié aux animaux et des biens et devrait être encadrée afin de prévoir la sécurité des utilisateurs mais également la sécurité du robot lui-même. Pour commencer, il est proposé de conférer une identité à part entière aux robots ayant par exemple un numéro de sécurité sociale propre et permettant d'engager la responsabilité du robot2.

La seconde thèse défendue par Mme Mendoza-Caminade3 est le refus « de conférer un statut propre aux robots ». Pour elle, « il est préférable de les maintenir dans la catégorie des choses. Quel que soit son degré de sophistication, l'intelligence artificielle ne permettra jamais de conférer à l'androïde une conscience, une volonté qui lui soit propre. Ce ne sont pas des personnes dotées d'une conscience et d'une dignité et elles ne constituent pas des sujets de droit [...] Actuellement, l'intérêt de créer un statut autonome des robots n'est pas suffisamment avéré. L'homme doit encore assumer les conséquences de ses choix même s'il ne maîtrise pas l'intégralité des résultats qu'il a engendrés ». Ainsi, il n'est pas toujours pertinent de créer de nouvelles règles de droit malgré les évolutions technologiques.
D'autant plus que, concrètement, la vente du robot, comme tout bien, entraîne pour le vendeur une obligation de garantie et engage sa responsabilité délictuelle du fait d’un défaut de sécurité de l’un de ses produits ou services entraînant un dommage à une personne. Même si l'autonomie des robots grandit, la responsabilité juridique repose toujours sur la notion de discernement, les machines resteront alors sous la responsabilité de leur gardien soit l’usager soit son fabricant par le biais de la responsabilité des produits défectueux.
Pour l'instant, une simple charte peut réglementer l'usage des robots, il pourrait même s'agir dans un premier temps de la reprise des trois règles de la robotique édictée par Isaac Asimov qui sont les suivantes :
1- un robot ne peut porter atteinte à un être humain, ni restant passif permettre qu'un être humain soit exposé au danger ;
2- un robot doit obéir aux ordres que lui donne un être humain sauf si de tels ordres entrent en conflit avec la première loi ;
3- un robot doit protéger son existence tant que cette protection n'entre pas en conflit avec la première ou la deuxième loi.

Au niveau international, l'esquisse d'une telle charte semble voire le jour au sujet des armes autonomes ou encore des « robots tueurs ».
En effet, par une lettre ouverte, plusieurs scientifiques et intellectuels dont le physicien britannique Stephen Hawking, Elon Musk (fondateur de l'entreprise des voitures électriques Tesla) et l'intellectuel Noam Chomsky lancent un appel pour limiter le développement des armes autonomes dotées d'intelligence artificielle. « Nous pensons que l'intelligence artificielle a par bien des aspects un immense potentiel au bénéfice de l'humanité et que de l'accomplir devrait rester l'objectif de ce champ de recherche. Lancer une course militaire aux armements dotés d'intelligence artificielle est une mauvaise idée qu'il faut empêcher en interdisant les armes autonomes offensives dépourvues de contrôle humain significatif ».
Ainsi à l'image des traités internationaux interdisant les armes chimiques et biologiques, nucléaires et spatiales, cette lettre a pour objectif d'alerter l'opinion publique afin de mener à une éventuelle réglementation des armes autonomes au niveau international.

  1. A bord de ma voiture autonome, j'ai un accident de la route : qui est responsable ?
Cela dépend également...Il est difficile de répondre sans savoir notamment quel est le degré d'autonomie de la voiture utilisé.
En effet, concernant les voitures autonomes, les constructeurs automobiles ont déjà imaginé six niveaux d'autonomie allant de l'absence totale d'automatisation à la prise en charge entière du véhicule par le système automatisé. Aujourd'hui, il est interdit de laisser circuler une voiture de niveau 3 sur la route. Les niveaux 3 et 4 permettent une prise en charge partielle par un système automatisé dans lequel le conducteur peut ou doit quand même intervenir. La réglementation officielle ne devrait pas tarder car depuis la loi n° 2015-992 du 17 août 2015 relative à la transition énergétique pour la croissance verte, le Gouvernement est autorisé à prendre par ordonnance toute mesure afin de permettre « la circulation sur la voie publique, à l'exception des voies réservées aux transports collectifs, de véhicules à délégation partielle ou totale de conduite, qu'il s'agisse de voitures particulières, de véhicules de transport de marchandises ou de véhicules de transport des personnes, à des fins expérimentales, dans des conditions assurant la sécurité de tous les usagers et en prévoyant, le cas échéant, un régime de responsabilité approprié ». L'article 37- IX énonce donc bel et bien qu'il est probable qu'un régime de responsabilité propre applicable à ces nouveaux types de véhicules soit fixé.

La France est loin d'être la première à légiférer à ce sujet. Le 16 juin 2011, l'Etat du Nevada avait voté la première loi autorisant la circulation de tels engins sur la voie publique. Cet Etat a permis à Google de lancer les premiers tests grandeur nature de sa « Google Car ». Cette législation, entrée en vigueur le 1er mars 2012, a imposé qu'un conducteur humain titulaire d'un permis de conduire soit assis sur le siège conducteur et qu'il soit capable de prendre le contrôle du véhicule en cas de défaillance technique. Cette loi reste en accord avec la convention internationale de Vienne du 8 novembre 1968 qui impose que tout véhicule en mouvement ait un conducteur et qu'il doit en rester maître.
Concernant les responsabilités engagées en cas d'accident, la loi du Nevada a écarté la responsabilité du fabricant du véhicule et celle du conducteur au détriment du fabricant du système autonome, en cas de défaillance de la technologie embarquée, sauf si le constructeur automobile l'a directement installée dans le véhicule ou si le préjudice a été causé par un dysfonctionnement du véhicule indépendamment des aspects robotiques.
Le recours à de tels véhicules aura pour conséquence d'adapter les polices d'assurances. En effet, le modèle de risque actuel est basé en grande majorité sur le comportement du conducteur humain. Or avec de ces nouvelles voitures, la responsabilité principale devrait être transférée au fournisseur de la technologie. Ainsi, on peut toujours espérer que les prix des police d'assurance devrait baisser car les accidents devraient diminuer. En effet, actuellement, 95% des accidents sont dus à une défaillance humaine et par opposition, depuis les débuts de l'expérimentation de la « Google Car » en 2009, le moteur de recherche a dénombré uniquement onze accidents qui ont toujours été causés en ville ; dans sept cas, les voitures avaient été heurtées à l'arrière à un feu rouge.

  1. Mon assurance-vie augmente son tarif annuel sous prétexte que ma montre connectée lui prouve que je ne fais pas assez d'activité physique durant la semaine, est-ce légal ?
Le traitement des données à caractère personnel est soumis à une réglementation stricte qui est celle de la loi « Informatique et Libertés »dont les principes fondamentaux sont exposés ci-dessous.
En effet, concernant les objets connectés, la principale problématique juridique reste la problématique du respect de la vie privée.
Du compteur recensant la consommation d'eau et d'électricité à la montre calculant le nombre de calories journalières dépensées4, les objets connectés traitent toutes sortes de données sensibles comme les données de santé et dont la collecte reste un enjeu juridique. En effet, ces données sensibles doivent être protégées au titre de la protection de la vie privée et ne doivent être dévoilées que de façon limitative.
Par exemple, les applications biométriques qui ont la particularité d'être uniques et permanentes permettent de ce fait le "traçage" des individus et leur identification certaine. Le caractère sensible de ces données justifie que la loi prévoie un contrôle particulier de la CNIL fondé essentiellement sur l’impératif de proportionnalité et sur la finalité sécuritaire5 sur les dispositifs de reconnaissance biométrique6.
Mais lorsque ces données de santé sont délivrées par des objets connectés, il n'est plus certain que le traitement de ces données soit encadré. Il existe aujourd'hui des partenariats entre des sociétés d'assurance et des sociétés d'objets connectés. Heureusement, juridiquement, l'assureur ne peut pas encore avoir accès directement aux données de santé qui restent protégées par le secret médical7
Il apparaît donc important de mettre en place « un droit au contrôle » des puces RFID afin de garantir à leurs usagers la maîtrise de la diffusion de leurs données personnelles produites par ces outils. Ceci supposerait que leurs utilisateurs puissent à tout moment désactiver la fonctionnalité permettant la communication des données, en application de leur droit d’opposition.
De même, la captation et l'enregistrement d'images relatives aux personnes relèvent également de la loi « Informatique et Libertés ».
En effet, il est important de souligner également le risque de collecte de données à caractère personnel par tout objet connecté, du drone aux lunettes connectées. Que ce soit grâce au survol des drones ou au passage dans nos rues des « Google cars », la captation des données personnelles n'est plus consentie expressément par l'individu.
La CNIL avait constaté lors de contrôles effectués fin 2009 et début 2010 que la société Google, via le déploiement de véhicules enregistrant des vues panoramiques des lieux parcourus, récoltait, en plus de photographies, des données transitant par les réseaux sans fil Wi-Fi de particuliers, et ce à l'insu des personnes concernées. Cette collecte déloyale de très nombreux points d'accès Wi-Fi  constitue un réel manquement à la loi « Informatique et Libertés ».
Concernant tous ces objets connectés, il faudra donc veiller à vérifier qu’ils ne récupèrent pas également des données à caractère personnelle de façon illégale. En effet, une personne dotée de lunettes connectées peut scanner le visage des passants qu'elle croise dans la rue à leurs insus et les partager sur Internet.
Consciente de ces enjeux depuis 2012, la CNIL, en liaison avec le Groupe des 29 CNIL européennes (G29) réfléchit activement à l’amélioration de la réglementation à ce sujet.
Il s'agit bel et bien de protéger la confidentialité des données mais également de réglementer l'utilisation commerciale des données.
La mise en place d'une publicité ciblée rendue possible par les données de géolocalisation, les cookies, n'est licite uniquement qu'après avoir informé les internautes et avoir recueilli leur consentement exprès.

En conclusion, certes les solutions juridiques n'apparaissent pas de façon évidentes mais face à ces nouveaux problèmes juridiques les clés de déchiffrement existent déjà et il n'est pas toujours indispensable d'en inventer des nouvelles.
Il s'agit simplement de garder à l'esprit qu'éthique et droit doivent comme depuis toujours jouer un rôle fondamental dans la régulation de la société.



Sources :
*CNIL - Cahiers IP n°2 – Innovation et prospective – Le corps, nouvel objet connecté ? Du Quantified self à la m-santé : les nouveaux territoires de la mise en données du monde
*Actes du colloque : « Santé et nouvelles technologies en Europe » - Université Toulouse I – Capitole – 18 avril 2014.
*« Voitures autonomes – en 2016 sur les routes françaises » Sylvie Rozenfeld - Expertises des systèmes d'information n°404 juillet 2015.
* « Robots tueurs – Carnage mécanique » de Pierre Alonso dans Libération du 29 juillet 2015.

Notes de bas de page :
1 Maître Alain Bensoussan est le président et le fondateur de l'association du droit des robots (ADDR) : http://www.alain-bensoussan.com/association-du-droit-des-robots/
2 Interview d'Alain Bensoussan « le droit des robots : mythe ou réalité ? » par Emile et Fernidand n°7 – octobre 2014 :http://www.alain-bensoussan.com/wp-content/uploads/2014/11/28743700.pdf
3 La santé et la robotique RLDI n°108- octobre 2014 supplément « Actes du colloque : santé et nouvelles technologies en Europe – Université Toulouse I – Capitole du 18 avril 2014.
4 Selon la CNIL, le quantified self est traduit en français par l'auto-mesure est un mouvement qui vise au « mieux-être » en mesurant différentes activités liées au mode de vie. Il recense l'ensemble des mesures issues des objets connectés en rapport avec la santé de l'individu.
5 Par exemple, la CNIL a subordonné la création d’une base centralisée de données d’empreintes digitales à un "fort impératif de sécurité" car cette technique demeure risquée en termes d’usurpation d’identité.
6 Article 25 de la loi n°78-17 de la loi relative à l'informatique, aux fichiers et aux libertés.
7 En 2014, Axa et Withings se sont associés – propos de Thomas Roche dans une interview donnée au magasine Expertises des systèmes d'information n°400 de mars 2015 « La santé : des données très connectées »

dimanche 2 août 2015

La protection juridique de la donnée

 
Dans un univers mondialisé, les données, issues de multiples et diverses sources, circulent en masse et à toute vitesse pour être mises à disposition, en toute immédiateté, auprès de tous.
Ces données procurent de l'information qu'elles soient sous la forme d'algorithmes, d'une base de données, d'un code source, d'une image, d'un son, d'une donnée de connexion ou d'un fichier.
L'accès à cette information est une exigence démocratique qui se traduit par la liberté d'expression et le droit à l'information. Toutefois, l'accès à l'information peut être également restreint par des exigences de protection de l'information et de secret.



                                                                                                  Source : distinctivemarketing.fr

La donnée ouverte ou l'open data
L'ouverture des données publiques françaises a été incarnée par l'ouverture en décembre 2011 de la plateforme « data.gouv.fr ». Cette plateforme permet aux services publics de publier les données publiques et à la société civile de les enrichir, modifier, interpréter en vue de coproduire des informations d'intérêt général.
Ces données publiques sont publiées sous Licence Ouverte c'est à dire sous une licence qui permet de reproduire, diffuser, adapter, et exploiter, y compris à titre commercial, sous réserve de mentionner la paternité.
Cette licence facilite et encourage la réutilisation des données publiques mises à disposition gratuitement. Depuis novembre 2011, la Licence Ouverte s'applique à l'ensemble des réutilisations libres gratuites de données publiques issues des administrations de l'Etat et de ses établissements publics administratifs, à l'exclusion de tout autre licence.
Le mouvement de publication de la donnée administrative existe depuis 1978 avec la loi CADA1 qui reconnaît à toute personne le droit d’obtenir communication des documents détenus dans le cadre de sa mission de service public par une administration, quels que soient leur forme ou leur support.

La protection des secrets
Toutefois, la loi CADA prévoit quelques restrictions au droit d’accès, nécessaires pour préserver divers secrets. Selon l'article 6 de la loi, certains documents précis ne sont pas communicables tels les avis du Conseil d'Etat et des juridictions administratives et les administrations sont dispensées de donner accès aux documents administratifs dont la communication porterait atteinte par exemple au secret de la défense nationale2 et à la protection de la vie privée, au secret médical et au secret en matière commerciale et industrielle.
Ces différents secrets sont protégés pénalement et civilement et ne doivent être révélés même si pour la Cour européenne des droits de l'homme3, le besoin d'information peut transcender la législation sur le secret et donc ne pas entraîner de sanction judiciaire. Cet exemple peut être rapproché de la publication du livre polémique « Mediator 150 mg, combien de morts ? » d'Irene Frachon lanceur d'alerte en matière sanitaire ou encore Snowden lanceur d'alerte sur l'espionnage cyber!
Il est important de trouver le bon équilibre entre la protection de l'information sensible et le droit à l'information d'intérêt général.
La recherche de cet difficile équilibre est l'une des raisons du débat permanent et apparemment sans issue4 relatif à l'institution juridique du secret des affaires.
En l'absence de la consécration d'un tel secret des affaires, il existe quand même une protection juridique des informations de l'entreprise via les dispositions de la propriété intellectuelle et de la concurrence déloyale.
En outre, et depuis l'arrêt de la Cour de cassation du 20 mai 20155, il est désormais possible de se protéger plus facilement du vol des données.
En effet, la Cour de cassation a enfin consacré le vol de données sur un système d'information. Il n'est donc plus utile de s'appuyer sur le fondement juridique de l'abus de confiance jusqu'alors fondement juridique pour justifier le vol de données numériques6.
Cette jurisprudence, encore isolée, innove avec la qualification du vol d'une chose immatérielle car le vol restait jusqu'alors la soustraction frauduleuse de la chose d'autrui, la chose entendue dans son sens matériel et physique. Ainsi, la protection pénale du « vol de fichiers informatiques » est avérée notamment en copiant des fichiers normalement inaccessibles au public et à l’insu du propriétaire des données.

La protection des données de l'individu
Aujourd'hui, l'intrusion dans la vie privée devient le lot commun de tout internaute et non plus seulement des personnalités sous le feu des projecteurs. En effet, grâce au développement de l'informatique, les fichiers de données informatiques se constituent et la traçabilité de tout internaute s’accrut grâce aux cookies du fait de leurs activités et de leur usage de tout moyen informatique et électronique : cartes bancaires, réservation de billets de transport ou de loisirs, badges d'accès, cybermarketing qui a pour objectif de connaître les goûts et les pratiques du consommateur.
Face à ces nouvelles pratiques, il existe bel et bien des droits aux internautes, tous prévus dans la loi CNIL7 .
Les internautes ont tout d'abord le droit d'être informé préalablement sur le traitement de leurs données personnelles. Les sites Internet ne peuvent pas collecter des informations à l'insu de l'internaute8 et notamment concernant le marketing ciblé, il est indispensable de recueillir le consentement de l'internaute. Enfin, les internautes ont également un droit d'accès à leurs propres données à caractère personnel afin de savoir si les entreprises ne conservent pas des données de façon non proportionnelles à la finalité du traitement des données Enfin, chaque individu a droit d'exercer son droit de rectification et d'opposition à un traitement de données personnelles le concernant9.
Mais cela ne dispense l'Etat de prévoir des dérogations à ces principes notamment en matière de lutte contre le terrorisme en permettant l'accès aux données de connexion aux services de renseignement10.

Les données son-elles comme le titrent de nombreux articles, le nouvel or noir du XXI ème siècle ?
Certes, les multiples applications gratuites se nourrissent exclusivement de la revente des données à caractère personnel de ces utilisateurs et les recoupements entre diverses données permettent de cibler le consommateur avec la bonne publicité.
La valeur économique, stratégique et individuelle des données est indéniable nécessitant pour chaque catégorie une protection juridique adéquate et équilibrée. Mais la donnée est bien plus d'un simple produit consommable et périssable, elle est à la fois "le contenu et le contenant de la révolution numérique"11  !
 ---------------------------------------------------------------------------
1 Loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal
2 La compromission d'une information classifiée, relevant du secret de la défense nationale est défini est définie et réprimée par les articles 413-11 et 413-11-1 du code pénal (cinq ans d’emprisonnement et 75 000 euros d’amende).
3 AFFAIRE A.B. c. SUISSE - Requête no 56925/08 -1er juillet 2014
4 Depuis 2011, plusieurs propositions de loi portées notamment par Bernard Carayon et pour la dernière en date par Emmanuel Macron mais ne sont pas adoptées.
5 Cour de cassation, criminelle, Chambre criminelle, 20 mai 2015, 14-81.336, Publié au bulletin
6 TGI Clermont-Ferrand, 26 sept. 2011, Stés X. et Y. c/ Mme Rose : condamnation pour vol de données informatiques et abus de confiance une ancienne salariée qui avait reproduit sur une clé USB, le jour de son départ de l'entreprise, des données confidentielles.
7 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
8 Plus précisément, c'est l'article 32 de la « loi Informatique et libertés » qui définit ce sur quoi doit porter votre information.
9 Article du Monde "Chez Boulanger, la revanche de la « grosse connasse » : http://urlz.fr/2gG4
10 Loi n° 2015-912 du 24 juillet 2015 relative au renseignement.
11
"Non, les données ne sont pas du pétrole..." Henri Verdier : http://urlz.fr/2gHh