Compte rendu de la conférence donnée par Eric Barbry, le 07 mars 2002.

Co-organisé avec le Club Juridique et Fiscal de l'AAE IAE, dirigé par Amelle Benali.

NB :  le titre de M. Barbry, le texte et les références datent de la conférence (mars 202). Ils n'ont pas été actualisés.

 

Résumé

Internet est devenu un outil indispensable aux entreprises dans toutes les phases de leur activité. De même, l'intelligence économique est une dynamique, qui si elle est bien utilisée, assure aux entreprises un avantage compétitif considérable. Parallèlement, force est de constater qu'Internet est aussi une source de problèmes (intrusions, piratage?), et qu'il est indispensable de se protéger contre l'intelligence économique des concurrents.

Les entreprises sont donc soumises à une double contrainte : utiliser des outils (Internet et IE ), tout en s'en protégeant !!

 

Quelles solutions le droit peut-il apporter ?

D'abord, il existe un certain nombre de règles, lois, textes qui encadrent les activités sur Internet et les activités d'IE. Maître Barbry nous résume dans une première partie intitulée " le droit au service de la sécurité " ce qu'il est indispensable de connaître.

Les entreprises doivent, pour prévenir tous risques, mettre en place une politique sécuritaire active. Comment faire ? Notre intervenant nous donnera dans une seconde partie quelques règles d'or à respecter, puis dans une troisième partie des outils indispensables.

Enfin, pour conclure, Maître Barbry nous rappellera que le volet répressif n'est pas à négliger.

Présentation de l'intervenant

Eric Barbry est avocat à la Cour d'appel de Paris.
Directeur du département Internet du Cabinet Alain Bensoussan-Avocats.
Président d'honneur et co-fondateur de l'Association Cybrelex.
Coauteur du Que sais-je ? intitulé " Le droit du multimédia, du Cd-Rom à l'Internet ", et auteur de nombreux articles sur le droit du multimédia et le droit de l'Internet.
Il intervient dans plusieurs programmes d'enseignement.
 

 

Introduction

Durant une longue introduction, Eric Barbry nous a démontré l'intérêt - mais aussi la difficulté - de traiter du droit de l'Internet et de l'intelligence économique ! En effet, le monde de l'Internet est très réglementé (contrairement à ce que l'on pourrait penser) tandis que l'intelligence économique, est un secteur qui l'est très peu !

 

On pense qu'Internet n'est pas un monde réglementé car il y a de nombreux " problèmes " qui sont propres à ce réseau :
- A côté de tous ce qu'Internet offre de positif (rapidité des échanges, richesse de l'information, partage des savoirs?), il faut bien avoir conscience que c'est un réseau qui n'a pas été conçu pour assurer la sécurité des informations qui y transitent. A l'origine, il a été créé par les militaires américains pour résister à une destruction massive des moyens de télécommunication. Donc, robustesse, d'accord, mais pas fiabilité.

- C'est un monde d'ordinateurs, où règne l'anonymat (on ne sait pas qui se cache derrière les numéros IP), et qui dit anonymat? dit impunité.

- C'est un réseau qui se joue des frontières terrestres. Les informations transitent par des pays qui ne sont pas sûrs (pays totalitaires, pays du réseau Echelon?).

- Nous sommes donc confrontés à une réalité " affligeante " : Il y a une multiplication des cas de fraudes et d'intrusion ; ce média regorge de faux (et il devient de plus en plus difficile de démêler le faux du vrai) ; on peut passer du domaine du droit au non droit sans s'en apercevoir (pour preuve la puissance des logiciels de recherche d'information qui collectent des données partout où cela est disponible - et parfois " en passant la porte des entreprises ") ; enfin ce média est un accélérateur de violence?

 

Mais en réalité (et cela est tout à fait paradoxal avec ce qui a été dit précédemme nt) le droit de l'Internet est omniprésent, protecteur, et en perpétuel développement. C'est même aux yeux de Maître Barbry, grand spécialiste du domaine, un secteur " hyper réglementé ".

 

Par contre, et c'est le deuxième paradoxe mis en exergue durant cette introduction, l'intelligence économique est lui, un domaine peu réglementé !

Et ceci tout simplement parce que ce domaine est flou, proche du concept ou d'une dynamique d'entreprise. L'IE rassemble en effet des notions de stratégie, de marketing, de communication? Il mêle en même temps un univers technique (voire informatique), organisationnel et managérial ? Quel droit y rattacher ?

 

L'entreprise est donc soumise à une double contrainte : Obligée d'utiliser Internet, et d'être proactive dans la compétition mondiale notamment par une pratique de l'intelligence économique, elle doit parallèlement se protéger de ce média et des pratiques d'IE de ses concurrents ! La problématique est posée.

Pour résoudre cette " quadrature du cercle ", Eric Barbry nous a présenté durant cette conférence passionnante quelques solutions issues du droit.


A- Le Droit au service de la sécurité

Avant toutes choses, notre intervenant revient sur la définition de l'IE. Il en existe de nombreuses variantes, et Eric Barbry nous propose la suivante :

« Ensemble d'actions coordonnées de recherche, de traitement, de diffusion et de protection de l'information, associant l'Etat et le monde des entreprises, l'intelligence économique est au service des acteurs économiques nationaux.

Ces actions sont conduites de façon non clandestine et dans un strict respect de la légalité. Elles se distinguent donc clairement des activités de renseignement (?) » .

L'Intelligence Economique est donc un travail légal, mais qui dévie parfois vers d'autres domaines qui n'ont alors plus rien à voir avec l'IE (renseignement privé, piraterie?).

Pour encadrer toute activité d'Intelligence Economique et pour assurer la sécurité des activités sur Internet, il existe un certain nombre de textes, de règles et de lois :

 

Les règles qu'il convient de respecter sont les suivantes :

- Le droit de la propriété intellectuelle fait que les données librement accessibles ne sont pas réutilisables. L'information ne peut pas être diffusée dans sa forme brute mais doit être retraitée pour que son utilisation soit licite. C'est ce principe qui réglemente les revues de presse.

Le principe du droit au secret et à la confidentialité est à l'origine de la réglementation sur le parasitisme et les contrefaçons. Cette réglementation se caractérise par son champ d'application particulièrement large.

La protection du droit à la vie privée.

Le secret des correspondances émises par voie de télécommunication. Est sanctionnée toute personne qui intercepterait ou écouterait une communication qui ne lui est pas destinée.

 

Les textes qui traitent de la sécurité

- La loi sur la sécurité quotidienne (LSQ). Cette loi dit, entre autre, que les fournisseurs de connexion Internet doivent garder les données de connexion pendant un certain nombre d'années.

La loi GODFRAIN (1988), de nature pénale, couvre tous les cas de fraude informatique. M. Barbry insiste sur le fait que la France est un des rares pays qui a une réglementation aussi complète, qui sanctionne tout délit informatique, depuis l'intrusion frauduleuse, en passant par le maintien illicite, et l'altération du bon fonctionnement d'un système de traitement informatique de données.

La loi sur la Société de l'Information (LSI) qui vient en complément et qui condamne celui qui vend un système qui aide à ce genre de fraude.

La convention de l'Europe sur la Cyber-criminalité, qui va étendre ces protections françaises à l'ensemble de l'Europe.

La loi sur le secret des correspondances.

 

Les textes qui évoquent la sécurité

- Les lois sur les télécoms.

Les lois Informatiques et Libertés, qui rajoute de la sécurité au niveau de la création et de la gestion des fichiers informatisés. Toute personne qui constitue une base doit en avertir la CNIL et doit en assurer la sécurité (de la base et du fichier !).

La propriété intellectuelle (Marque et Brevets, et Mesures techniques).

 

Les textes relatifs aux outils de sécurité.

- Cryptologie.

Signature électronique & preuve.

Archivage.

Toutes ces règles, lois et textes s'imposent pour toutes entreprises qui utilisent Internet et à tout processus d'IE. Ce sont donc des protections pour les entreprises contre toutes actions d'utilisation d'Internet et d'IE illégales.

 

Mais tout n'est pas réglé ! Il existe des " zones " dont le statut n'est pas clair :
- La réglementation des annuaires Internet.
- Les problèmes posés par les agents intelligents, véritable " fouines d'Internet " qui vont débusquer l'information quel que soit l'endroit où elle se trouve. Quelles responsabilités si ces agents intelligents franchissent la barrière du droit en récupérant des données confidentielles, à l'insu - ou non - de celui qui a lancé la recherche ?
- Le droit international. On assiste en ce moment à une bataille de celui qui pourra étendre " son " droit au reste du monde?

D'où l'importance pour les entreprises de connaître ces règles, lois et textes, mais surtout d'avoir une politique sécuritaire active ! Comment la mettre en place ?


B- Une politique sécuritaire

Comment mettre en place une politique sécuritaire active ?

M. Barbry nous propose quelques règles d'or, qui, si elles ne vont pas suffire à elles seules à réduire tous risques de déprédation, vont soit en réduire les occurrences, soit permettre de faire condamner le fautif.

 

Régler les problèmes internes

Il faut d'abord régler les problèmes internes ! En effet, on estime que 80% des problèmes informatiques (malveillance, ignorance, vandalisme) sont internes. Prendre les devants, en sensibilisant le personnel permet de réduire ces problèmes, et en plus, protège la hiérarchie d'une accusation de " défaut d'information ".

Cette sensibilisation passe par la création de " chartes d'utilisation " (qui doivent être validées par des représentants du personnel), de " guides ", ?

 

Se protéger par " contrat "

La quantité des lois existantes ne dispense pas d'assurer la protection de certains domaines par la voie contractuelle. C'est un impératif dans le cadre de la mise en place d'un système d'IE ou d'une sécurisation du système informatique par un prestataire. En cas de défaillance du système mis en place la responsabilité professionnelle du prestataire est alors susceptible d'être recherchée et il serait tenu de réparer les dommages qui en découleraient.

La sécurité doit couvrir non seulement les éléments physiques, tel que le contrôle des accès, mais aussi les aspects "logiques", c'est-à-dire le contrôle informatique. La sécurisation d'un système implique donc, d'un point de vue contractuel, de prévoir des clauses obligatoires de risque.

 

Se protéger par des polices d'assurances

Dernier point, une politique sécuritaire complète implique de revoir ses polices d'assurance. Car l'altération des données informatiques, le risque Internet, peuvent constituer une perte énorme pour l'entreprise au même titre qu'un incendie de ses locaux. Il ne faut donc pas négliger l'importance des contrats d'assurance dans ce domaine.

 

Outre l'application de ces trois règles d'or, l'entreprise a à sa disposition un certain nombre d'outils.


C- Les outils au service de la sécurité

Quels sont les outils au service de la sécurité ?

 

La cryptologie ou cryptographie.

Ces outils permettent de coder les messages à envoyer sur Internet (que ce soit des mails, contrats, cahiers des charges?), et assurent dans une certaine mesure la confidentialité et l'intégrité du message. L'usage des ces outils n'est pas encore totalement libre en France (bien que la loi de 1996 les ait en partie libéralisés). La Direction Générale Centrale de Sécurité est l'autorité de contrôle de ces outils.

 

La signature électronique.

Cet outil permet d'assurer l'authentification du message. La mise en place de la signature électronique a vu naître des sociétés accréditées à dispenser des signatures fiables.

 

L'archivage électronique.

Les entreprises voient souvent l'archivage comme une contrainte et un centre de coût. Or, ça peut être un outil très simple, et parfois indispensable, pour démontrer une fraude ! En contre partie (et c'est logique pour que cela ait force de preuve) l'archivage électronique doit reposer sur des normes fiables (voir la norme AFNOR).

 

Mécanismes divers

En complément, il faut connaître certains outils et pratiques qui participent à la construction d'une politique sécuritaire efficace.
- L'utilisation de la stéganographie.
- L'utilisation du tatouage électronique (par exemple, mettre des marqueurs indélébiles dans les documents).
- La mise en place de pièges dans les bases.
- L'utilisation de copyrights ©. Même s'il n'y a pas de nécessité absolue de le faire en France (car le droit français à d'autres protections) cela marque la date de la création, et a une valeur dans d'autres juridictions.

D-  La Répression.


Enfin, dernier outil qui participe à la sécurisation de l'entreprise : la répression.

Il a été dit qu'on estimait à 80%, les délits d'origine interne ; les entreprises ont donc autant de probabilité de pouvoir remonter à la source.

En cas de problème, les entreprises peuvent s'adresser :

- à l'Office Central contre La Criminalité liée aux Technologies de l'Information et de la Communication - OCLCTIC.

- à la Brigade d'Enquête sur les Fraudes aux Technologies de l'Information - BEFTI.

-  aux Services Régionaux de la Police Judiciaire ! Car dans tous SRPJ il y a des personnes compétentes en matière de fraude sur Internet.  

 

Conclusion

L'arsenal juridique français et européen assure normalement une protection efficace de l'activité des entreprises. Reste aux entreprises à le connaître et à l'appliquer. Par sa présentation claire et vivante, la conférence de M.Barbry y a contribué pour beaucoup d'entre nous.

 


Références :
- CNIL : Commission Nationale de l'Informatique et des Libertés. http://www.cnil.fr

- AFNOR : Association Française de NORmalisation www.afnor.fr

- SRPJ : Services Régionaux de la Police Judiciaire