Print
Compte rendu de la conférence du 07 mars 2002, animée par Eric Barbry sur « Le droit de l'Internet et l'Intelligence Economique ».
Compte rendu rédigé par Amelle Benali et Jérôme Bondu.
 
 
Résumé de la conférence
 
Internet est devenu un outil indispensable aux entreprises dans toutes les phases de leur activité. De même, l'intelligence économique est une dynamique, qui si elle est bien utilisée, assure aux entreprises un avantage compétitif considérable. Parallèlement, force est de constater qu'Internet est aussi une source de problèmes (intrusions, piratage?), et qu'il est indispensable de se protéger contre l'intelligence économique des concurrents.
Les entreprises sont donc soumises à une double contrainte : utiliser des outils (Internet et IE ), tout en s'en protégeant !!
 
Quelles solutions le droit peut-il apporter ?
D'abord, il existe un certain nombre de règles, lois, textes qui encadrent les activités sur Internet et les activités d'IE. Maître Barbry nous résume dans une première partie intitulée « le droit au service de la sécurité » ce qu'il est indispensable de connaître.
Les entreprises doivent, pour prévenir tous risques, mettre en place une politique sécuritaire active. Comment faire ? Notre intervenant nous donnera dans une seconde partie quelques règles d'or à respecter, puis dans une troisième partie des outils indispensables.
Enfin, pour conclure, Maître Barbry nous rappellera que le volet répressif n'est pas à négliger.
 
 
Présentation de l'Intervenant
(la présentation date de l'époque de l'intervention, et n'a pas été actualisée)
 
- Maître Eric Barbry est avocat à la Cour d'appel de Paris.
- Directeur du département Internet du Cabinet ALAIN BENSOUSSAN-AVOCATS.
- Président d'honneur et co-fondateur de l'Association CYBERLEX.
- Coauteur du Que sais-je ? intitulé « Le droit du multimédia, du Cd-Rom à l'Internet », et auteur de nombreux articles sur le droit du multimédia et le droit de l'Internet.
- Il intervient dans plusieurs programmes d'enseignement.
 
 
Introduction
 
Durant une longue introduction, Eric Barbry nous a démontré l'intérêt - mais aussi la difficulté - de traiter du droit de l'Internet et de l'intelligence économique ! En effet, le monde de l'Internet est très réglementé (contrairement à ce que l'on pourrait penser) tandis que l'intelligence économique, est un secteur qui l'est très peu !
 
On pense qu'Internet n'est pas un monde réglementé car il y a de nombreux « problèmes » qui sont propres à ce réseau :
- A côté de tous ce qu'Internet offre de positif (rapidité des échanges, richesse de l'information, partage des savoirs?), il faut bien avoir conscience que c'est un réseau qui n'a pas été conçu pour assurer la sécurité des informations qui y transitent. A l'origine, il a été créé par les militaires américains pour résister à une destruction massive des moyens de télécommunication. Donc, robustesse, d'accord, mais pas fiabilité.
- C'est un monde d'ordinateurs, où règne l'anonymat (on ne sait pas qui se cache derrière les numéros IP), et qui dit anonymat? dit impunité.
- C'est un réseau qui se joue des frontières terrestres. Les informations transitent par des pays qui ne sont pas sûrs (pays totalitaires, pays du réseau Echelon?).
- Nous sommes donc confrontés à une réalité « affligeante » : Il y a une multiplication des cas de fraudes et d'intrusion ; ce média regorge de faux (et il devient de plus en plus difficile de démêler le faux du vrai) ; on peut passer du domaine du droit au non droit sans s'en apercevoir (pour preuve la puissance des logiciels de recherche d'information qui collectent des données tout partout où cela est disponible ? et parfois « en passant la porte des entreprises ») ; enfin ce média est un accélérateur de violence?
 
Mais en réalité (et cela est tout à fait paradoxal avec ce qui a été dit précédemment) le droit de l'Internet est omniprésent, protecteur, et en perpétuel développement. C'est même aux yeux de Maître Barbry, grand spécialiste de domaine, un secteur « hyper réglementé ».
 
Par contre, et c'est le deuxième paradoxe mis en exergue durant cette introduction, l'intelligence économique est lui, un domaine peu réglementé !
Et ceci tout simplement par ce que ce domaine est flou, proche du concept ou d'une dynamique d'entreprise. L'IE rassemble en effet des notions de stratégie, de marketing, de communication? Il mêle en même temps un univers technique (voire informatique), organisationnel et managérial ? Quel droit y rattacher ?
 
L'entreprise est donc soumise à une double contrainte : Obligée d'utiliser Internet, et d'être proactive dans la compétition mondiale notamment par une pratique de l'intelligence économique, elle doit parallèlement se protéger de ce média et des pratiques d'IE de ses concurrents ! La problématique est posée.
Pour résoudre cette « quadrature du cercle », Eric Barbry nous a présenté durant cette conférence passionnante quelques solutions issues du droit.
 
 
1. Le droit au service de la sécurité
 
Avant toutes choses, notre intervenant revient sur la définition de l'IE. Il en existe de nombreuses variantes, et Eric Barbry nous propose la suivante :
« Ensemble d'actions coordonnées de recherche, de traitement, de diffusion et de protection de l'information, associant l'Etat et le monde des entreprises, l'intelligence économique est au service des acteurs économiques nationaux. Ces actions sont conduites de façon non clandestine et dans un strict respect de la légalité. Elles se distinguent donc clairement des activités de renseignement (?) ».
L'Intelligence Economique est donc un travail légal, mais qui dévie parfois vers d'autres domaines qui n'ont alors plus rien à voir avec l'IE (renseignement privé, piraterie?).
Pour encadrer toute activité d'Intelligence Economiq ue et pour assurer la sécurité des activités sur Internet, il existe un certain nombre de textes, de règles et de lois :
 
1.1. Les règles qu'il convient de respecter sont les suivantes :
- Le droit de la propriété intellectuelle fait que les données librement accessibles ne sont pas réutilisables. L'information ne peut pas être diffusée dans sa forme brute mais doit être retraitée pour que son utilisation soit licite. C'est ce principe qui réglemente les revues de presse.
- Le principe du droit au secret et à la confidentialité est à l'origine de la réglementation sur le parasitisme et les contrefaçons. Cette réglementation se caractérise par son champ d'application particulièrement large.
- La protection du droit à la vie privée.
- Le secret des correspondances émises par voie de télécommunication. Est sanctionnée toute personne qui intercepterait ou écouterait une communication qui ne lui est pas destinée.
 
1.2. Les textes qui traitent de la sécurité
- La loi sur la sécurité quotidienne (LSQ). Cette loi dit, entre autre, que les fournisseurs de connexion Internet doivent garder les données de connexion pendant un certain nombre d'années.
- La loi GODFRAIN (1988), de nature pénale, couvre tous les cas de fraude informatique. M. Barbry insiste sur le fait que la France est un des rares pays qui a une réglementation aussi complète, qui sanctionne tout délit informatique, depuis l'intrusion frauduleuse, en passant par le maintien illicite, et l'altération du bon fonctionnement d'un système de traitement informatique de données.
- La loi sur la Société de l'Information (LSI) qui vient en complément et qui condamne celui qui vend un système qui aide à ce genre de fraude.
- La convention de l'Europe sur la Cyber-criminalité, qui va étendre ces protections françaises à l'ensemble de l'Europe.
- La loi sur le secret des correspondances.
 
1. 3. Les textes qui évoquent la sécurité
- Les lois sur les télécoms.
- Les lois Informatiques et Libertés, qui rajoute de la sécurité au niveau de la création et de la gestion des fichiers informatisés. Toute personne qui constitue une base doit en avertir la CNIL et doit en assurer la sécurité (de la base et du fichier !).
- La propriété intellectuelle (Marque et Brevets, et Mesures techniques).
 
1.4. Les textes relatifs aux outils de sécurité.
- Cryptologie.
- Signature électronique & preuve.
- Archivage.
Toutes ces règles, lois et textes s'imposent pour toutes entreprises qui utilisent Internet et à tout processus d'IE. Ce sont donc des protections pour les entreprises contre toutes actions d'utilisation d'Internet et d'IE illégales.
 
Mais tout n'est pas réglé ! Il existe des « zones » dont le statut n'est pas clair :
- La réglementation des annuaires Internet.
- Les problèmes posés par les agents intelligents, véritable « fouines d'Internet » qui vont débusquer l'information quel que soit l'endroit où elle se trouve. Quelles responsabilités si ces agents intelligents franchissent la barrière du droit en récupérant des données confidentielles, à l'insu - ou non ? de celui qui a lancé la recherche ?
- Le droit international. On assiste en ce moment à une bataille de celui qui pourra étendre « son » droit au reste du monde?
D'où l'importance pour les entreprises de connaître ces règles, lois et textes, mais surtout d'avoir une politique sécuritaire active ! Comment la mettre en place ?
 
 
2. Une politique sécuritaire
 
Comment mettre en place une politique sécuritaire active ?
M. Barbry nous propose quelques règles d'or, qui, si elles ne vont pas suffire à elles seules à réduite tous risques de déprédation, vont soit en réduire les occurrences, soit permettre de faire condamner le fautif.
 
2.1. Régler les problèmes internes
Il faut d'abord régler les problèmes internes ! En effet, on estime que 80% des problèmes informatiques (malveillance, ignorance, vandalisme) sont internes. Prendre les devants, en sensibilisant le personnel permet de réduire ces problèmes, et en plus, protège la hiérarchie d'une accusation de « défaut d'information ».
Cette sensibilisation passe par la création de « chartes d'utilisation » (qui doivent être validées par des représentants du personnel), de « guides », ?
 
2.2. Se protéger par « contrat »
La quantité des lois existantes ne dispense pas d'assurer la protection de certains domaines par la voie contractuelle. C'est un impératif dans le cadre de la mise en place d'un système d'IE ou d'une sécurisation du système informatique par un prestataire. En cas de défaillance du système mis en place la responsabilité professionnelle du prestataire est alors susceptible d'être recherchée et il serait tenu de réparer les dommages qui en découleraient.
La sécurité doit couvrir non seulement les éléments physiques, tel que le contrôle des accès, mais aussi les aspects "logiques", c'est-à-dire le contrôle informatique. La sécurisation d'un système implique donc, d'un point de vue contractuel, de prévoir des clauses obligatoires de risque.
 
2.3. Se protéger par des polices d'assurances
Dernier point, une politique sécuritaire complète implique de revoir ses polices d'assurance. Car l'altération des données informatiques, le risque Internet, peuvent constituer une perte énorme pour l'entreprise au même titre qu'un incendie de ses locaux. Il ne faut donc pas négliger l'importance des contrats d'assurance dans ce domaine.
 
Outre l'application de ces trois règles d'or, l'entreprise a à sa disposition un certain nombre d'outils.
 
 
3. Les outils au service de la sécurité
Quels sont les outils au service de la sécurité ?
 
D'abord, la cryptologie ou cryptographie.
Ces outils permettent de coder les messages à envoyer sur Internet (que ce soit des mai ls, contrats, cahiers des charges?), et assurent dans une certaine mesure la confidentialité et l'intégrité du message. L'usage des ces outils n'est pas encore totalement libre en France (bien que la loi de 1996 les aient en partie libéralisés). La Direction Générale Centrale de Sécurité est l'autorité de contrôle de ces outils.
 
La signature électronique.
Cet outil permet d'assurer l'authentification du message. La mise en place de la signature électronique a vu naître des sociétés accréditées à dispenser des signatures fiables.
 
L'archivage électronique.
Les entreprises voient souvent l'archivage comme une contrainte et un centre de coût. Or, ça peut être un outil très simple, et parfois indispensable, pour démontrer une fraude ! En contre partie (et c'est logique pour que cela ait force de preuve) l'archivage électronique doit reposer sur des normes fiables (voir la norme AFNOR).
 
Mécanismes divers
En complément, il faut connaître certains outils et pratiques qui participent à la construction d'une politique sécuritaire efficace.
- L'utilisation de la stéganographie.
- L'utilisation du tatouage électronique (par exemple, mettre des marqueurs indélébiles dans les documents).
- La mise en place de pièges dans les bases.
- L'utilisation de copyrights ©. Même s'il n'y a pas de nécessité absolue de le faire en France (car le droit français à d'autres protections) cela marque la date de la création, et a une valeur dans d'autres juridictions.
 
 
4. La répression
 
Enfin, dernier outil qui participe à la sécurisation de l'entreprise : la répression.
Il a été dit qu'on estimait à 80%, les délits d'origine interne ; les entreprises ont donc autant de probabilité de pouvoir remonter à la source.
En cas de problème, les entreprises peuvent s'adresser :
- à l'Office Central contre La Criminalité liée aux Technologies de l'Information et de la Communication ? OCLCTIC.
- à la Brigade d'Enquête sur les Fraudes aux Technologies de l'Information ? BEFTI.
- aux Services Régionaux de la Police Judiciaire ! Car dans tous SRPJ il y a des personnes compétentes en matière de fraude sur Internet.
 
 
Conclusion :
L'arsenal juridique français et européen assure normalement une protection efficace de l'activité des entreprises. Reste aux entreprises à le connaître et à l'appliquer. Par sa présentation claire et vivante, la conférence de M.Barbry y a contribué pour beaucoup d'entre nous.