Centrale Informatique, Electronique et Télécommunications

Compte-rendu du dîner-débat du 7 décembre 2004

Nouvelles responsabilités juridiques de la fonction informatique.

Daniel Duthil, Directeur Général du centre d’expertises CELOG et Président de l’Agence pour la Protection des Programmes (APP)

La loi relative à la confiance dans l’économie numérique (LEN), les directives européennes transposées en droit français (informatique et libertés, droit d’auteur…) ainsi que la jurisprudence imposent de nouvelles obligations aux entreprises et par conséquent aux directions informatiques.

Comme les risques sont nouveaux, les actions à mener dans l'entreprise sont encore mal déterminées au regard de son organisation et de l'état de l'art de la technique. C’est pourtant en fonction d’un modèle de comportement diligent que les magistrats apprécieront, au cas par cas, la responsabilité éventuelle de ceux dont relève le système d'information.

Doit-on contrôler l’échange de fichiers sur les réseaux P2P ?
Pourquoi et comment distinguer la correspondance privée de la correspondance professionnelle ?
La mise en place d’un correspondant à la « protection des données nominatives » est-elle obligatoire ?
Les informaticiens peuvent-ils détenir légitimement des outils d’intrusion ou de déplombage ?
Les entreprises doivent-elle conserver les données de connexion Internet ?

La réunion du CIET le 7 décembre a réuni le groupement autour de Daniel Duthil, expert juridique des lois liées à l'informatique et la télématique. Éditeur de la revue « Expertise des Systèmes d'Information », il participe à l'élaboration de la norme internationale IDDN qui permet d'identifier les détenteurs des droits d'une oeuvre.

Le dîner-débat s'est voulu un point sur les évolutions récentes de la législation dans le domaine informatique, mais aussi l'occasion de répondre à certaines questions délicates que tout le monde se pose aujourd'hui.

Mais pour mieux comprendre la législation d'aujourd'hui, il faut mettre en regard les évolutions des techniques durant les dernières décennies et les faits de sociétés qu'elles ont entraînées.

C'est ainsi que Daniel Duthil a rappelé qu'avec :

1964 commençait la décennie du 360 (lecteur de bandes à cartes perforées) ;
1974 commençait la décennie de Microsoft (contre Unix) ;
1984 commençait la décennie du Cray (un 286 à 4MHz coûtant 50 kF), mais aussi celle du DNS, du Minitel ;
1994 commençait la décennie du CD, de Netscape, du WWW, des ERP, des Fournisseurs de services ;
2004 commençait la décennie du Wifi, du P2P, du mail, du web et de la téléphonie sur IP, dans le cadre de la convergence des médias, mais aussi sous le contrôle de contraintes de droits !

Essayons maintenant de résumer ces 40 années par un mot à chaque
décennie :

1964 - jurisprudence :
sur la relation client/fournisseur, avec le cas d'école Flammarion
1974 - finalité :
à quoi servent les données et les traitements récupérés dans le cadre de la micro-informatique ? D'où la loi Informatique et Libertés de 1978, qui contient toutefois des aberrations évidentes, comme la déclaration systématique des données sur chaque ordinateur, chose inimaginable à l'heure actuelle
1984 - auteur :
faut-il appliquer les droits d'auteurs sur les logiciels ? C'est l'auteur qui décide de la license, c'est lui qui autorise ou non à copier son logiciel. La copie d'un livre implique une baisse de qualité, mais pas celle d'un logiciel ! Mais de là à supprimer la copie privée ! Par contre, la copie de sauvegarde ne doit pas être utilisée, contrairement à la copie privée (cette dernière ne peut pas s'offrir, toutefois). Cela a aussi abouti à la mise en place de redevances sur les supports, reversées aux ayant-droits (auteurs, éditeurs, ...)
1994 - internet :
est-ce payant ou gratuit ? Il existe un "flou juridique" sur ce point particulier. Doit-on y appliquer le
droit tel qu'il est ou laisser s'établir une autorégulation par les utilisateurs, avec éventuellement une corégulation et des systèmes alternatifs de règlement des litiges ? Doit-on instaurer une redevance à l'usage d'Internet pour parer au fait que ce soit gratuit ?
2004 - confiance :
la LEN. Elle vient autoriser l'inforensique (analyse des supports pour avoir des preuves de la sécurité des transactions - en cas de litige), elle veut résoudre le problème de la dématérialisation de la mondialisation, imposer la nécessité d'une traçabilité (les fameux logs). L'ordinateur surveille toute possibilité d'extraire les données. Nécessité d'une charte en entreprise, pour éviter les abus.

À la suite de cette rétrospective, il a été l'heure de s'occuper des questions juridiques dans le monde de l'informatique et de l'entreprise !

Question n°1 : Contrôle du P2P - le chef d'entreprise est-il responsable ?
==============

Il n'est pas responsable de la copie privée, il doit toutefois contrôler un minimum, afin de prouver sa bonne foi. Mais les moyens techniques à mettre en place sont compliqués.

Le simple fait de partager est blâmable, parce que l'on devient provocateur du délit.

Question n°2 : Comment traiter la correspondance privée ?
==============

Il est suggéré aux chefs d'entreprises d'imposer une charte d'utilisation des moyens informatiques de l'entreprise, qui sera une trace de la connaissance des employés des règles mises en place.

Tout ce qui est envoyé ou reçu avec l'adresse électronique professionnelle est considéré comme de la correspondance professionnelle.

Le salarié peut demander ponctuellement le traitement particulier de certains mails.

Mais dans tous les cas, le DSI n'a pas le droit de lire la correspondance (ni personnelle, ni professionnelle), même s'il peut interdire les pièces jointes dans le courrier personnel (espionnage industriel).

On peut donc envoyer du courrier personnel depuis le lieu de l'emploi, mais avec une adresse personnelle. Il est ensuite possible de négocier, dans la mesure où l'on considère la notion de proportion raisonnable (cela reste imprécis, toutefois).

Question n°3 : Quid de l'utilisation du Web à des fins personnelles ?
==============

Que ce soit à des fins personnelles ou de spam, l'entreprise est responsable de tout acte réalisé.

Question n°4 : Un correspondant CNIL à la protection est-il obligatoire ?
==============

À cette question, la réponse est non. Un tel correspondant n'est pas obligatoire, il est toutefois conseillé d'en avoir un pour les raison suivantes :
- cela réduit les formalités ;
- cela compte comme un salarié en plus (possibilité de prestations pour petites entreprises), mais cela est risqué, car le correspondant n'est pas assurable, s'il n'est pas intégré à l'entreprise.

Le responsable reste celui qui décide de la mise en oeuvre du traitement.

Question n°5 : A-t-on le droit de posséder des outils d'intrusion ?
==============

Cela correspond légitement à une nécessité, pour s'auditer soi-même, par exemple. Légalement, il faut que l'outil n'ait pour fonctionnalité que le dépannage. D'où une certaine nécessité d'information.

Question n°6 : Doit-on garder les logs ?
==============

Oui ! (en entrée comme en sortie) La durée minimum légale est actuellement de 6 mois, mais cela va passer
à 1 an.

Question n°7 : Quels problèmes sont soulevés par les brevets logiciels ?
==============

- On peut breveter des inventions qui s'appuient exclusivement sur des programmes informatiques.

- Ils peuvent permettre de bloquer l'entrée d'un logiciel dans un pays qui reconnaît ces brevets.

- Actuellement, des pressions sont exercées sur les groupes de réflexion afin de ne pas les adopter (par exemple, la communauté du logiciel libre).

- La case à cochée des formulaires serait brevetée, par exemple.

Question n°8 : Qu'est-ce que le droit d'accès ?
==============

Conformément à la Loi Informatique et Libertés, une entreprise a le devoir de dire à un usager qui le demandera quelles sont les données qui le concernent qu'elle a en sa possesion !

Question n°9 : Quid du Wifi ?
==============

Il est dangereux, au même titre que la clé USB, pour l'inforensique. Il permet l'anonymisation. L'identification se fait par adresse MAC.