SOCIÉTÉ D'AVOCATS
DU MANOIR DE JUAYE

BUSINESS INTELLIGENCE – LOPSI II, UN STATUT EN CURE D’MAIGRISSEMENT

Depuis la loi du 18 mars 2003 qui a modifié la loi n° 83-629 du 12 juillet 1983, les praticiens de l’IE s’interrogeaient sur le statut qui pouvait leur être applicable. Il est vrai que le texte était perturbant par ses contradictions immenses. Tous ceux qui œuvraient de près ou de loin dans le domaine de l’IE s’en étaient émus, ce qui avait conduit à la création de la Fédération des professionnels de l’IE (FEPIE).

Une majorité des sociétés d’IE ont refusé le joug de la loi, préférant s’atteler à des tâches plus nobles. Certaines d’entre elles ont d’ailleurs été condamnées pour exercice illégal de la profession, tandis que d’autres bénéficient d’une mansuétude inexpliquée alors qu’elles exercent leur activité à la vue de tous.

La future loi d’orientation et de programmation pour la sécurité intérieure (LOPSI II) qui ne concerne pas particulièrement l’IE comporte un article 27 destiné à remédier aux errements du texte de 2003. Un précédent projet avait circulé. Il a heureusement été grandement amendé.

Au moment où ce projet commence à circuler par une troublante coïncidence, la presse regorge de faits d’armes peu glorieux de sociétés privées, ce qui sera invoqué, à n’en pas douter, comme argument pour faire passer le texte de la loi .Quelques exemples :

• Bernard THIBAULT, le leader de la CGT, aurait été espionné quoique d’aucuns prétendent que le matériel découvert aurait été inopérant. L’affaire a été classée sans suite.

• Olivier BESANCENOT aurait été espionné pendant plusieurs mois, d’octobre à janvier dernier, par une officine privée pour le compte d’une société qui lui reprocherait de critiquer ses produits.

• Laurent PARISOT, la présidente du MEDEF, conteste vigoureusement avoir fait appel à une société privée pour espionner certains salariés.

• DEUTCH TELECOM aurait été pris la main dans le sac des écoutes illégales.

• ATAC aurait été espionné à la demande NESTLE en Suisse.

On ne peut donc qu’approuver la volonté de correction du texte, même si d’aucuns s’interrogent sur la nécessité même de réglementer la profession, notamment au regard de la directive service. De plus, il existe de nombreux textes qui protège la vie privée, réprime l’intrusion informatique, encadre la divulgation du secret de fabrique etc. Alors pourquoi un nouveau texte ?

Ce projet doit être savouré comme un bon vin dont on recherche tous les parfums et arômes.

Il nous faudra procéder de même pour le texte en suivant une démarche exégétique, même si elle est un peu fastidieuse.

Un projet pour qui ?

Le premier article du texte définit le champ d’application du nouveau statut tandis que le dernier s’efforce de réduire celui applicable aux agents de recherches privées.

Le nouveau texte devrait s’appliquer « aux entreprises dont l’activité principale est la recherche, aux fins de traitement, d’informations non disponibles et qui ont une incidence significative pour l’évolution des affaires, la situation financière ou sociale d’une ou plusieurs personnes physiques ou morales.

Ne relèvent pas de cette définition les officiers publics ministériels, les auxiliaires de justice, les entreprises de presse ainsi que les entreprises qui fournissent ces services à titre accessoire des prestations juridiques, financières ou informatiques pour leurs clients ».

La notion d’activité principale qui n’apparaissait pas dans le texte précédent est un ajout intelligent qui permet d’écarter les personnes morales ou physiques qui exercent de manière soit ponctuelle, soit marginale le recueil d’information stratégique. La liste d’exclusion apparaît également comme pertinente.

La notion d’information non disponible apparaît également intéressante puisqu’elle permet d’écarter du champ d’application les sociétés de veille sur le net, les documentalistes etc.

Toutefois, des interrogations naitront sur la notion de « non disponible ». Faut-il comprendre ce terme comme une information non publiée ? Non communiquée volontairement par son détenteur ?

Enfin, l’information doit avoir une influence significative sur une situation économique ou sociale d’une personne morale ou physique.

Le terme significatif prêtera certainement également à discussion.

Il avait été reproché au texte de 2003 de ne viser que les professions libérales sans que l’on sache exactement à quoi correspond cette notion. Le nouveau texte s’applique aux entreprises. Or, même si ce concept se retrouve parfois dans le droit (par exemple dans le droit social avec les comités d’entreprises ou dans le droit des faillites), il est en réalité des plus flous.

Un consultant indépendant comme il y en a tant dans le domaine de l’IE peut-il être à lui seul une entreprise ?

À l’inverse, qui des groupes de sociétés. Dès lors, comment sera appréciée l’exigence de l’activité à titre principale. Est-ce au niveau de l’ensemble du groupe ou bien au niveau de la société considérée ?

Cette volonté de se rattacher à la notion d’entreprise est d’autant plus dommage que le texte propose une nouvelle rédaction de l’article 20 de la loi de 1983, où il est précisé que le statut très contraignant des agents de recherches privées s’applique désormais à toute personne recherchant des informations en vue de la défense des intérêts.

Un statut qui tient de l’anorexie.

Le statut défini par le projet est beaucoup plus souple, plus léger, qui tient non pas de la cure d’amaigrissement, mais de l’anorexie si on le compare au statut défini en 2003.

Il faut, d’une part, un agrément des dirigeants ou associés et, d’autre part, une autorisation d’exercer pour la structure.
1.1 Agrément des associés ou dirigeants
1.1.1 . Bénéficiaire de l’agrément

Cet agrément est accordé aux personnes qui :

1) Exercent à titre individuel, dirigent, gèrent ou sont associés d’une personne morale entrant dans le champ d’application de la loi.

Cette rédaction suscite deux remarques :

• Quel régime sera applicable en cas de détention indirecte du capital ? Faut-il remonter à l’actionnaire personne physique ultime ?

• Sont donc exclus de l’agrément les salariés, contrairement à ce qui se passait sous le régime du texte adopté en 2003.

2) Sont de nationalité française ou ressortissantes d’un État membre de l’Union européenne ou d’un des États parties à l’accord sur l’espace économique européen. Cela exclut, a priori, la possibilité de détention par une société américaine qui serait associée d’une société entrant dans le champ d’application du texte.

3) N’ont pas fait l’objet de condamnation correctionnelle ou criminelle.

4

) Dont le comportement ou les agissements ne sont pas contraires à l’honneur, à la probité, aux bonnes moeurs ou de nature à porter atteinte à la sécurité des personnes ou des biens, à la sécurité publique ou à la sûreté de l’Etat. Sont écartées les atteintes au potentiel scientifique et économique de la France qui interdisaient l’exercice de la profession aux termes de la loi de 2003.

5) Un régime particulier est prévu pour certains fonctionnaires notamment ceux des forces de l’ordre.

1.1.2 . Octroi de l’agrément

L’agrément est octroyé par le représentant de l’État dans le département, qui aura donc pour mission de vérifier si l’associé et/ou le dirigeant rempli les conditions posées par la loi.

1.2 Autorisation d’exercer de la structure.

L’autorisation est donnée par le représentant de l’État dans le département après avis d’une commission consultative dont la composition sera fixée par décret et après examen de la liste du personnel, qui doit en outre être communiquée chaque année.

Il n’est pas besoin d’avoir une boule de cristal pour deviner qu’un intense lobbying va se développer pour influencer la composition de la commission.

1.3 Absence de rappel à la formation.

Le contraste est saisissant entre les exigences de loi de 2003 et celui du texte proposé. N’importe quel individu sans qualification professionnelle pourra solliciter un agrément.

Un bon projet qui ne nécessite que quelques améliorations.

La première tentative de réglementation de l’IE par le projet LOPSI II était d’une complexité inimaginable. Le nouvel article 27 constitue une avancée significative qu’il faut saluer et encourager.

Le champ d’application est maintenant circonscrit avec une relative précision, même s’il conviendrait de fixer ce qu’est une information non disponible ou ayant une incidence significative. Il devrait donc satisfaire pleinement nombre de sociétés d’IE.

Un grand nombre d’entreprises vont être exclues du champ d’application de la loi. Quel sera alors leur statut ? Celui de la loi de 2003. Sans doute. Et, c’est la que le bat blesse car la définition même modifiée de cette loi reste trop large, trop floue et faudrait faire appel à la notion de renseignement humain pour la restreindre.

Le troisième forum international sur la cybercriminalité vient de se tenir à Lille (24 mars 2009). La ministre de l’Intérieur, Michèle Alliot-Marie, y a annoncé un renforcement des moyens matériels et humains, ainsi qu’une modification de la législation, afin de lutter contre la cybercriminalité. Peu de temps avant, le CLUSIF a rendu son rapport 2008 sur la cybercriminalité. C’est l’occasion de rappeler brièvement quelques règles applicables dans le domaine international pour lutter contre la cybercriminalité.

Qui n’a pas vu ces films policiers américains où un délinquant essaie de passer rapidement dans l’État voisin pour échapper à ses poursuivants et sitôt franchi la frontière se met à narguer narquois les policiers, sûr de son impunité. Même si elle a été reprise par de multiples téléfilms bas de gamme, vulgarisée, cette histoire pose un problème fondamental pour un juriste, celui des limites de la compétence d’un État que l’on peut résumer en ( jusqu’où peut-on poursuivre » ? La question se pose avec une acuité particulière dans le cyberspace où il n’y pas de frontière.

Les tribunaux internationaux restent l’exception

La question est loin d’être uniquement une interrogation de juristes comparable à celles existants sur le sexe des anges ou le nombril d’Adam. Elle présente un aspect également moral : peut-on laisser des crimes odieux impunis, notamment ceux commis contre l’humanité sous prétexte qu’aucun pays n’est territorialement compétent ou parce que le pays du lieu de l’infraction refuse de poursuivre. C’est la raison pour laquelle a été créée la Cour Pénale Internationale dont le but est de promouvoir le droit international, et son mandat est de juger les individus et non les états (qui est du ressort de la Cour Internationale de Justice). Elle n’est compétente que pour les crimes les plus graves commis par des individus : génocides, crimes de guerre, crimes contre l’humanité. Ont été créés dans sa mouvance plusieurs tribunaux internationaux, sur l’ex Yougoslavie, le Rwanda ou le Liban. Le dispositif est habilement complété par le principe de compétence universelle : tout pays serait compétent pour juger les crimes les plus graves, comme ceux contre l’humanité. Certains pays exigent néanmoins un lien, comme par exemple la présence du tortionnaire sur le territoire.

Pour des affaires moins sensibles,chaque pays protège jalousement sa souveraineté.

Avant que l’on puisse poursuivre un individu, il faut savoir collecter des preuves pour le confondre et le principe de souveraineté interdit qu’un juge d’un pays enquête dans un autre pays. C’est la raison pour laquelle il existe un faisceau de conventions pénales internationales prévoyant des systèmes d’entraide de pays à pays. Toutefois, comment définir dans le monde du cyberspace les pouvoirs d’un juge d’instruction : par exemple, un juge d’instruction français a-t-il le droit de consulter un site Internet basé en Russie sans enfreindre le principe de souveraineté ou doit-on considérer qu’à partir du moment où le juge français a accès à l’information sur l’ordinateur de son bureau, il n’y a pas d’atteinte au principe de souveraineté ? Il n’y a pas de réponse uniforme à cette question.

Compétence des juridictions d’un pays.

Traditionnellement, un pays est compétent en matière pénale, lorsque la victime ou l’auteur de l’infraction est un de ses ressortissants ou lorsque le délit a été commis sur son territoire ou si l’auteur de l’infraction s’y trouve. Mais dans le monde dématérialisé du cyberspace, ces critères peuvent-ils encore être opérants ? A l’évidence non.

Convention sur la cybercriminalité.

Pour tenter de résoudre ces différents problèmes, dès le 23 novembre 2001, le Conseil de l’Europe a adopté à Budapest une convention sur la cybercriminalité. Cette convention a été ratifiée par la France en janvier 2006 et est entrée en vigueur en mai de la même année. Il ne faut pas se laisser abuser par l’aspect européen de cette convention puisqu’en réalité de très nombreux pays ont signé ce traité.

La convention va tenter à la fois de régler les problèmes de compétence et d’entraide entre États et obliger à conserver certaines données pour permettre la traçabilité de l’infraction.

Chaque pays signataire est tenu de punir la commission d’infractions établies dans la Convention lorsqu’elles sont commises sur son territoire. Ainsi, par exemple, un pays pourrait revendiquer une compétence territoriale dans le cas où la personne responsable de l’attaque commise contre un système informatique et le système victime de l’attaque se trouvent tous deux sur son territoire, et dans celui où le système informatique attaqué se trouve sur son territoire, même si l’auteur de l’attaque ne s’y trouve pas. Même s’il n’y a pas de définition des cybercrimes ou cyberdélits, la convention cite plusieurs infractions pour lesquelles chaque pays signataire doit adopter une légis¬lation spécifique. La plupart de ces infractions existaient déjà en droit français de part la loi Godfrain.

?Accès illégal : : c’est ce que l’on appelle couramment le hacking. Ces accès illégaux sont souvent le prélude aux activités de vol d’identité ou de phishing. La notion est très proche de celle qui est visée dans l’article 2 de la décision cadre de l’Union Européenne sur les attaques dirigées contre les systèmes d’information. La convention précise que l’acte d’agression doit avoir été commis sans droit et avec intention.

?Interception illégale. Les rédacteurs de la convention ne s’en sont pas cachés, ils ont voulu protéger les interceptions illégales de données informatiques comme il existe une protection pour les correspondances téléphoniques et les enregistrements indus. La convention distingue les communications publiques des communications non publiques. Elle vise même les émissions électromagnétiques provenant d’un système informatique transportant des données informatiques non publiques !! Le terme ‘non publique’ qualifie la nature du moyen de transmission (communication), non la nature des données transmises. Il peut arriver que les données transmises soient disponibles pour tout le monde, mais que les participants souhaitent communiquer de façon confidentielle. Les données peuvent aussi être tenues secrètes à des fins commerciales jusqu’à ce que le service ait été rémunéré, comme pour la télévision payante. Il s’ensuit que le terme ‘non publique’ n’exclut pas en soi les communications par le biais des réseaux publics. Les communications de salariés, à des fins professionnelles ou non, qui constituent des «transmissions non publiques de données informatiques » sont aussi protégées contre l’interception sans droit en vertu de l’article 3 (voir, par exemple, l’arrêt rendu par la CEDH dans l’affaire Halford c. Royaume-Uni, 25 juin 1997, 20605/92) (cf rapport explicatif de l’union européenne).

?Atteinte à l’intégrité des données. Le terme « altération » signifie la modification de données existantes. L’introduction de codes malveillants tels que des virus ou des chevaux de Troie relève donc des dispositions de ce paragraphe, de même que la modification des données qui résulte de cet acte.

?Atteinte à l’intégrité des systèmes. C’est ce que l’on pourrait appeler le sabotage informatique. Ce texte a pour objectif de sanctionner l’entrave intentionnelle à l’usage légitime de systèmes informatiques, y compris de systèmes de télécommunications, en utilisant ou en influençant des données informatiques.

?Abus de dispositifs. Ce texte a pour objectif de sanctionner la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition d’un dispositif d’outils spécifiques utilisés pour commettre les infractions visées dans la convention. De plus, sont visés par ce texte incrimine la production, la vente, l’obtention pour utilisation, l’importation, la diffusion ou d’autres formes de mise à disposition d’un mot de passe, d’un code d’accès ou des données informatiques similaires permettant d’accéder à l’ensemble ou à une partie d’un système informatique.

?Fabrication informatique (article 7 ). Cet article a pour objet d’instituer une infraction qui soit le pendant de la falsification des documents sur papier. En conséquences, la falsification informatique consiste à créer ou modifier sans autorisation des données enregistrées de façon qu’elles acquièrent une valeur probante différente de ce qu’elle avait initialement.

?Infractions se rapportant à la pornographie enfantine.

?Infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes.

La France a souhaité étendre la convention aux actes de nature raciste et xénophobe, ce qui fut fait par un avenant.

Le corollaire de l’obligation de stockage des données est la possibilité d’y accéder. La convention prévoit donc que les pays signataires, outre l’obligation de conserver certaines données, doivent organiser une procédure ordonnant (par exemple aux hébergeurs) la production des données, la perquisition et saisie de données informatiques stockées et la collecte en temps réel de données informatiques.

Les rédacteurs de la convention ont voulu faire preuve de pragmatisme pour faciliter l’entraide entre les pays, prévoyant même des procédures d’urgence. En complément des moyens habituels de coopération pénale internationale prévus, par exemple, par les Conventions européennes d’extradition et d’entraide judiciaire, la Convention sur la cybercriminalité définit des formes d’entraide correspondant aux pouvoirs définis préalablement par la Convention. Il est même prévu que chaque signataire de la convention désigne un point de contact joignable vingt-quatre heures sur vingt-quatre, sept jours sur sept, afin d’assurer une assistance immédiate pour des investigations concernant les infractions pénales liées à des systèmes et à des données informatiques, ou pour recueillir les preuves sous forme électronique d’une infraction pénale. Cette assistance englobera la facilitation, ou, si le droit et la pratique internes le permettent, l’applica¬tion directe des mesures suivantes :

a) Apport de conseils techniques;

b)Conservation des données, conformément aux articles 29 et 30;

c) Recueil de preuves, apport d’informations à caractère juridique, et localisation des suspects.

La Convention sur la Cybercriminalité a prévu des consultations régulières des Parties lors d’au moins une réunion annuelle du Comité de la Convention (T-CY).

La dernière réunion de ce comité s’est tenue le 12 et 13 mars 2009 avec un ordre du jour chargé. Il était notamment prévu de faire un bilan d’application de la convention et d’examiner les améliorations à apporter. Parmi les sujets étudiés figure en bonne place celui de la compétence des juridictions pour réprimer les infractions.

La fonction « google suggest » censurée puis autorisée par la justice française.

Le Tribunal de Grande Instance de Paris vient de rejeter, le 10 juillet 2009, une demande de la société CFNDI. Cette dernière a assigné le moteur de recherches Google en raison de la fonction « google suggest » puisque lorsque l’on tapait CNFDI il était proposé en terme complémentaire le mot arnaque.

Le système « google suggest » qui est accessible depuis 2008 génère automatiquement des propositions de recherches à l’internaute. Ces propositions sont établies sur la base des requêtes précédemment formulées par d’autres internautes. En d’autres termes, c’est quasiment le principe automatisé de l’association d’idées.

La demande était notamment fondée sur la diffamation, ce qui a permis à l’avocat de Google de faire remarquer que la diffamation était intentionnelle et que l’on ne voyait pas comment un système informatique pouvait avoir des intentions. A quand l’envoi en prison des ordinateurs !!

Le fondement de la décision est le suivant :
« Cependant, il résulte de ce qui précède que la seule association, à titre d’aide à la recherche,du nom d’une société commerciale, laquelle admet par ailleurs utiliser les services publicitaires offerts par la société google et leur devoir de nombreux clients, avec un terme injurieux ne serait être, en elle-même, prohibée, dès lors qu’elle permet effectivement d’obtenir des résultats pertinents-en eux-mêmes non incriminés par cette société et contribue donc à la libre circulation sur le réseau. En juger autrement, en cet état de référé, constituerait une restriction à la liberté de recevoir et de communiquer des informations et des idées qui excéderaient, dans une société démocratique, les nécessités de la protection des droits d autrui. »

A l’inverse, le Tribunal de Commerce de PARIS avait accueilli la demande de la société Direct Energie qui était également victime de l’association de son nom à des termes dénigrants. Le Tribunal de Commerce a estimé que la société Google « participe, fût-ce involontairement, à une campagne de dénigrement de Direct Energie à qui elle donne un écho particulièrement important vu le nombre considérable d’internautes utilisant ses services, ce qui entraîne un trouble manifestement illicite. »

Il est à noter que la juridiction s’est interrogée sur le respect de la liberté d’expression. On se souvient des condamnations en première instance dans certaines affaires par exemple « jeboycottedanone » ou esso . La Cour d’Appel avait considéré que la liberté d’expression devait primer sur le droit des marques et infirmer les décisions de première instance.

Il existe des précédents tant pour google que pour d’autres sociétés. Par exemple, AMAZON aurait fait l’objet d’une campagne, il y a environ 3 ans par des groupes pro avortements. Lorsque l’on recherchait des ouvrages sur l’avortement, il vous était proposé des livres sur l’adoption.

On se souvient également du google bombing (défini de la manière suivante par wikipedia : Si plusieurs sites utilisent le même texte pour pointer sur la même cible, Google additionne ce poids et il devient possible de faire apparaître la page cible dans les résultats d’une recherche sur le texte contenu dans les liens pointant vers elle.).

Plusieurs hommes politiques avaient été victimes en France de ce détournement de référencement : Ainsi lorsque l’on tapait « Magouilleur », l’internaute était renvoyé vers le site de l’Elysée (Ceci sous l’ancienne présidence) ou les mots « gros balourd » renvoyaient au site du Premier Ministre, Monsieur Rafarin. Dans un registre plus humoristique, en 2005, le mot Sarkozy renvoyait au film « Iznogood ».

Google a été également poursuivi à plusieurs reprises sur le fondement du droit des marques pour son Service ADwords et d’ailleurs lourdement condamné. En effet, les tribunaux ont considéré qu’il était anormal d’utiliser la marque d’autrui.

Reverse engineering et Hadopi : du « concept » à la copie.

Les récents débats sur la loi Hadopi nous conduisent à nous interroger une nouvelle fois sur certaines pratiques du monde informatique. Examiner le produit du concurrent sous toutes les coutures pour en tirer tous les secrets et s’en servir pour doter sa propre innovation est inhérent à la nature humaine… La copie est sans doute le plus vieux métier du monde à l’exception cependant d’un autre…

Les tenants de l’intelligence économique demandent à leurs adeptes d’exercer une veille concurrentielle portant à la fois sur les concurrents et sur leurs produits. Benchmarker, un bel anglicisme promu au rang de néologisme par la magie des prosélytes de l’IE est devenu le mot d’ordre de certains d’entre eux. Mais, est-ce bien licite de vouloir décortiquer le produit d’un concurrent, un logiciel par exemple pour en tirer la substantifique moelle et s’en inspirer pour le développer. C’est ce que d’aucuns nomment la reverse engineering ou ingénierie à rebours. Alors comment définir cette dernière ; ce n’est pas de la copie ligne à ligne, c’est l’analyse du produit pour retrouver les idées et les concepts qui ont conduit à son fonctionnement et l’utilisation sans autorisation de ces idées. La reverse engineering c’est d’abord une affaire de concepts alors que la contrefaçon, au sens étroit du terme, est d’abord une affaire de copie. Avant de s’interroger sur la licéité de la reverse engineering, il convient donc de rappeler les neufs commandements de la protection des logiciels dont beaucoup sont issus de la directive européenne de 1991 sur la protection des logiciels (Directive 91/250/CEE du Conseil, du 14 mai 1991). Il faut avoir simultanément à l’esprit que le droit du logiciel va être confronté à un concurrent redoutable qui va lui faire perdre de son efficacité, voire lui faire mettre un genou à terre : le droit de la concurrence, en vertu duquel la protection d’un produit ne doit pas freiner la libre circulation des biens et/ou des services.

1.Les idées et les principes sont de libre circulation et ne sont pas protégeables, même si elles sont sous tendues dans la création d’un logiciel.

2.Pour être protégeable, un logiciel doit être marqué de la personnalité de son auteur.

3.Il n’est pas possible de recopier un programme que cela soit le code source ou le code objet, sauf accord du titulaire des droits et sous réserve du problème controversé des sauvegardes.

4.Lorsque l’on évoque la protection du logiciel, il faut avoir une vision globale et large.

5. Il n’est pas possible de copier la forme d’un programme qui serait original et non dictée par les fonctionnalités.

6.Les fonctionnalités ne sont pas protégeables (la jurisprudence a hésité, mais depuis 1995 semble avoir adopté définitivement cette solution) mais l’enchaînement des fonctionnalités est lui-même protégeable.

7.Il n’est pas possible de décompiler un logiciel sauf pour des raisons d’interopérabilité. Précisons à toutes fins utiles que la décompilation n’est qu’un sous-ensemble de la reverse engineering. En effet, la décompilation a pour but de retrouver le code source alors que l’objectif de la « reverse engineering » est de retrouver les principes de fonctionnement du logiciel. Malheureusement, de nombreux juristes confondent ces deux notions. L’interopérabilité est la possibilité de faire fonctionner deux logiciels complémentaires. En aucun cas, il ne s’agit de logiciels concurrents.

8.La décompilation est strictement encadrée par la loi : l’article L. 331-7 du code de la propriété intellectuelle précise que « Tout éditeur de logiciel, tout fabricant de système technique et tout exploitant de service peut, en cas de refus d’accès aux informations essentielles à l’interopérabilité, demander à l’Autorité de régulation des mesures techniques de garantir l’interoperabilité des systèmes et des services existants, dans le respect des droits des parties, et d’obtenir du titulaire des droits sur la mesure technique les informations essentielles à cette interopérabilité. Il faut donc que la personne voulant décompiler un logiciel s’adresse au préalable à la personne titulaire des droits sur cette application.

9. L’imitation n’est pas autorisée sur le fondement de la concurrence déloyale si les trois conditions suivantes sont remplies. La première condition est que les deux entreprises soient concurrentes. En seconde condition, il faut qu’il y ait eu des efforts » pour le développement du premier produit. Il faut enfin qu’il y ait usurpation un arrêt remarqué a donné une excellente définition de l’usurpation de l’effort intellectuel et des investissements d’un concurrent : il en va de fa sorte « lorsque, dans la réalisa­tion d’un objet, l’auteur, au lieu de donner libre cours à ses facultés créatrices, les met en sommeil et conduit un processus d’élaboration asservit à l’imitation de l’oeuvre d’autrui, cette démarche intellectuelle fournissant l’impulsion au travail créateur et lui servant de guide ».

Monsieur WALLON, Expert Judiciaire, n’hésite pas à définir de la manière suivante la méthode licite pour développer un programme concurrent et substituable à un autre.

1.« Le second logiciel doit avoir été développé sans aucune référence aux études techniques, analyses, examens des codes sources ou reverse engineering de la première application. Les seules données techniques communes peuvent être celles qui concernent les fonctionnalités.

2.Il est aussi indispensable que les développeurs ne soient pas ceux qui aient procédé à l’analyse du premier logiciel parce que, dans la pratique, il est impossible pour eux de développer la seconde application sans se référer ou sans exploiter les éléments techniques de la première.

Il est nécessaire que l’équipe chargée de la détermination des concepts et des idées du logiciel préexistant (cahier des charges) travaille indépendamment de l’équipe chargée de l’écriture du nouveau logiciel, sans avoir aucun contact et à l’aide d’une documentation honnêtement obtenue.

Ces mêmes règles étaient déjà’ retenues dans fa procédure de l’affaire Computer Associates contre Allai et dans l’affaire SYBEL contre BNP et al.

Bien qu’il s’agisse de disquettes ZIP, les mêmes principes sont rappelés dans l’affaire Iomega contre Nomai »

Ces mêmes principes sont également rappelés dans l’encyclopédie « wikipedia » à l’article « Clean Room Design ».

« Le Clean Room Design (aussi connu sous le nom de technique de la muraille de chine) est une methode consistant en la copie de plans par reverse engineering, puis en leur recréation sans pour autant porter atteinte aux droits de copyright et aux secrets de fabrication liés au plan original. Le Clean Room Design est utile pour éviter de porter atteinte aux copyrights et aux secrets de fabrication dans la mesure où il s’appuie sur une invention indépendante…

L’expression induit que l’équipe de conception travaille dans un environnement « propre », c’est-à-dire dont on peut démontrer qu’il est dénué de toute connaissance des techniques possédées et utilisées par le compétiteur. Par exemple, un Clean room design est effectué en faisant examiner par quelqu’un le système à mettre en place, puis en faisant écrire par cette même personne une notice détaillée. Cette notice est par la suite relue par un avocat pour s’assurer qu’il n’y est fait référence à aucun matériel copyrighté. Enfin, la notice sert à la mise en place du système par une autre équipe sans lien avec la première. »

Enfin, il convient de se demander comment est apprécié la reverse engineering fors de litiges. Le processus est en réalité le même que pour la contrefaçon. La reverse enginee­ring doit s’apprécier selon les seules identités. La question est de savoir si les identités sont le fait du hasard ou la marque d’une copie. il s’agit également de savoir si les différences sont le résultat d’une transformation ou d’un maquillage d’identités préexistantes ou si elles traduisent la personnalité de leur auteur.

Les juridictions doivent alors décider si les identités sont suffisantes pour conclure que l’auteur de l’oeuvre prétendument contrefaisante a été ou non développée à partir d’une copie de l’oeuvre originelle. En aucun cas, il ne s’agit de partir des différences sauf à démontrer qu’elles résul­tent d’un maquillage de l’oeuvre pré-existante. Par ailleurs, d’autres éléments peuvent être pris en compte. Par exemple, absence d’explications dans les lignes de code ou encore durée excessivement courte de développement de la seconde application…

Les réseaux sociaux, un droit émergent.

Les réseaux sociaux ont leurs supporters qui y voient un outil formidable de développement, en ignorant, hélas, les problèmes juridiques qu’ils peuvent poser. Il faut pourtant se souvenir des salariés licenciés après que leur employeur eut découvert des motifs d’éviction sur un profil facebook.

Les réseaux sociaux posent, en effet, de nombreux problèmes aux entreprises et l’on n’en déclinera que deux :

Une entreprise peut-elle surveiller un réseau social pour mieux connaître ses salariés ?

La question est loin d’être purement théorique : on se souvient de l’appel d’offres lancé par le ministère de l’éducation nationale pour la surveillance des enseignants, qui avait provoqué une levée de bouclier. Alors, pourquoi les sociétés privées n’agiraient pas de même ?

Pour être admissible, la surveillance des salariés doit remplir trois conditions :

> Etre proportionnelle au but poursuivi.

> Avoir été portée à la connaissance des salariés

> Avoir recueilli l’avis du comité d’entreprise.

Ce principe est consacré à l’article L1121-1 du code du travail « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

C’est bien sûr la définition de la proportionnalité qui va poser le plus de problèmes. La matière va relever de la casuistique. Quel but pourrait justifier la surveillance des salariés sur un réseau social ? On peut imaginer, par exemple, qu’une entreprise avance qu’elle doit surveiller une campagne de dénigrement dont elle est victime ou qu’elle doit prévenir l’ampleur de faits de harcèlements dont se plaindraient des salariés.

Que se passe-t-il en revanche si l’employeur est tombé par inadvertance sur le « mur » d’un salarié, par exemple en surveillant la notoriété d’un produit ?

Il est fort probable que des décisions seront prises dans la lignée de celles des caméras de vidéo surveillance et des relevés téléphoniques. Si l’objet de la surveillance n’est pas les salariés et que la découverte est fortuite, cette dernière peut être utilisée pour justifier un licenciement.

En ce qui concerne l’information des salariés, il serait préférable d’inclure une clause dans le contrat de travail évoquant la surveillance des réseaux sociaux et plus généralement du net.

Les réseaux sociaux vont-ils redessiner les contours de la liberté d’expression des salariés ?

La liberté d’expression est un principe fondamental que l’on retrouve à l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789: « La libre communication des pensées et des opinions est un des droits les plus précieux de l’homme : tout citoyen peut donc parler, écrire, imprimer librement. sauf à répondre de l’abus de cette liberté dans les cas déterminés par la loi ».

Ce principe a été repris aux articles L. 2281.1 et L. 2281.3 du code du travail :

« Dans les entreprises. les salariés bénéficient d’un droit à l’expression directe et collective sur le contenu, les conditions d’exercice et l’organisation de leur travail […] Les opinions que les salariés, quelle que soit leur place dans la hiérarchie professionnelle, émettent dans l’exercice du droit d’expression ne peuvent motiver une sanction ou un licenciement […] »

Dans l’ère Internet, les réseaux sociaux, très utilisés, sont des moyens permettant la liberté d’expression.

Ainsi, de nombreux internautes décrivent leurs pensées, opinions à travers ces réseaux.

Mais peut-on tout dire sous prétexte de la liberté d’expression ?

La loi et la cour de cassation ont tout de même restreint cette liberté afin de ne pas en abuser.

Ainsi, l’employeur peut sanctionner un employé qui abuse de son droit d’expression en tenant des propos injurieux. dénigrants ou diffamatoires ou en divulguant à des tiers des informations confidentielles concernant la société ou ses salariés.

Les poursuites pour diffamation et injure qui sont punissables d’après l’article 29 de la loi du 29 juillet 1881 sur la liberté de la presse sont parfois même engagées.

En conclusion, la difficulté de la matière réside dans le fait que le droit se trouve confronté à un tournant sociologique important : à l’heure des blogs et des réseaux sociaux, s’exprime-t- on de la même façon qu’avant l’ère numérique ? À l’évidence non. La notion de vie privée est bouleversée : les internautes s’étalent de manière impudique. La situation est comparable aux pré et post 1968. Avant, il n’était pas envisageable qu’une femme fasse du monokini sans passer pour une gourgandine. Depuis, une poitrine féminine nue sur une plage n’attire plus le regard (ou presque). Pour les informations diffusées sur les réseaux sociaux, il en sera de même. Ne seront plus considérés comme des exhibitionnistes, ceux qui évoquent leurs cuites, leurs amours, leurs déboires, ce qui était le cas avant l’avènement des réseaux sociaux.

À n’en pas douter les salariés vont gagner en liberté d’expression mais aussi toutes les parties prenantes de l’entreprise comme les actionnaires, les clients et fournisseurs… Et, il faut une harmonie dans les droits de tous II serait en effet anormal qu’un salarié puisse moins s’exprimer qu’un client ou vice-versa.

Aux tribunaux de réaliser cet effort de cohérence.

VIENT DE PARAÎTRE
Le droit de l’intelligence économique

L’état et les entreprises se sont appropriés l’intelligence économique. Dans l’esprit du grand public, l’intelligence économique est un recyclage rie barbouzeries au service des entreprises. Il suffit pour s’en convaincre de voir combien. l’expression « intelligence économique » a été associée aux protagonistes de l’affaire Clearstream. De leur côté, les professionnels se complaisent dans une multitude de définitions, chaque praticien ayant la sienne. L’objectif de cet ouvrage est de définir et d’expliquer les nombreuses règles du droit de l’intelligence économique et notamment la collecte d’informations blanches, grises ou noires par tous les moyens légaux avec en ligne de mire les limites à ne pas dépasser. L’auteur, Thibault du Manoir de Juaye, est avocat à le Cour et rédacteur en chef de la revue Regards sur l’IE.

TITRE PREMIER : OBJET DU DROIT D’AUTEUR

CHAPITRE PREMIER : NATURE DU DROIT D’AUTEUR

Art. 11-1. L’ auteur d’une oeuvre de l’esprit jouit sur cette oeuvre, du seul fait de sa création, d’un:droit de propriété incorporelle exclusif et opposable à tous. Le droit comporte des attributs d’ordre intellectuel et moral ainsi que des attributs d’ordre patrimonial, qui sont déterminés par les livres I et III du présent code. ( L. n°2006-961- août 2006, art. 31) « L’existence ou la conclusion d’un contrat de louage d’ouvrage ou de service par l’auteur d’une oeuvre de l’esprit n’emporte pas dérogation à la jouissance du droit reconnu par le premier alinéa, sous réserve des exceptions prévues par le présent code. Sous les mêmes réserves, il n’est pas non plus dérogé à la jouissance de ce même droit lorsque l’auteur de l’œuvre de l’esprit est un agent de l’État, d’une collectivité territoriale, d’un établissement public à caractère administratif, d’une autorité administrative indépendante dotée de la; personnalité morale ou de la Banque de France. »

Les dispositions de la loi du 1er août 2006 ne sont applicables aux œuvres crées par les agents de l’Etat, d’une collectivité territoriale, d’un établissement public à caractère administratif, d’une autorité administrative indépendante dotée de la personnalité morale ou de la Banque de France, antérieurement à l’entrée en vigueur de la loi du 1er août 2006 (JO 3 août), qu’à compter de cette entrée en vigueur. Toutefois, l’application de ces dispositions ne peut porter atteinte à l’exécution des conventions en cours lors de l’entrée en vigueur de la loi du 1er août 2006, lorsque celles-ci ont pour objet des oeuvres créées, par des agents dans l’exercice de leurs fonctions ou d’après les instructions reçues, pour l’accomplissement de 1a mission de service public par la personne publique qui les emploie.

BIBL. GEN;

Fait générateur de la protection :
– BERNAULT, D. 2003. Chron. 957 : (la protection des formes fonctionnelles par le droit de la propriété intellectuelle : le critère de la forme séparable de la fonction).
– BROSSARD et DURNERIN, Gaz. Pal. 1988. 1. 69 (l’absence de protection :des idées par le droit d’auteur).
– BUYDENS, RDPI 1993. 61 ( la protection des idées originales : :droit d’auteur, responsabilité civile ou droit de la personnalité).
– CHERPILLOD, l’objet du droit d’auteur, Cedidac et Litec 1985.
– CORBEP RIDA, avr. 1991, p. 59 (le développement technique conduit-il à un changement de la notion d’auteur ?).
– DAVERAT, JCP 1997. II. 22973 (sur une généralisation du droit d’auteur, note ss. Civ.1er, 11 févr. 1997). – De GAULLE, Expertises, nov. 1998; p. 5 (droit d’auteur au défi des nouvelles technologies).
– DESJEUX, Gaz. Pal. 1992. 2. 971 (la protection des idées en droit positif, de la contrefaçon artistique à l’activité parasitaire).
– EDELMAN, D. 1983. Chron. 73 (création et banalité) ; D. 2002. Chron. 2036 : (oeuvres et objets symboles: entre les morts et les vivants).
– GAUDRAT, Mélanges Françon, Dalloz 1995, p. 195 (réflexions sur la forme des oeuvres de l’esprit). – GERVAIS, La notion d’oeuvre dans la convention de Berne et en droit comparé, thèse Nantes, 1996. – HANS, L’originalité en droit d’auteur : contribution à l’étude de la notion, thèse Paris I, 1991.
– Le TOURNEAU, CCE 2001, Étude n°4 (folles idées sur les idées).
– LINDON, JCP 1970. I. 2295 (l’idée artistique fournie à un tiers en vue de sa réalisation).
– LUCAS, La protection des créations industrielles abstraites, Litec, 1975.
– LUCAS et SIRINELLI, JCP 1993. L. 3681 (l’originalité en droit d’auteur);

Nature du droit:
– DUMANOIR DEJUAYE et BERNARD, LPA 5 févr. 1997 (logiciels : droit d’auteur on crédit d’impôt recherche pour le concepteur indépendant ?).
– HEPP, RIDA, avr. 1958, p. 161 (le droit d’auteur, propriété incorporelle).
– MORANT, Légicom 1997, n°14, p. 55 (régime fiscal des droits d’auteur). – MOUSSERON, RAYNARD et REVET, Mélanges Colomer, Litec 1993 (de la propriété comme modèle).
– RAYNARD, Droit d’auteur et conflits de lois, Litec 1990.
– RECHT, Le droit d’auteur, une nouvelle forme de propriété, LGDJ 1968.
– VIVANT, le contenu du droit d’auteur : Le droit d’auteur aujourd’hui, Litec 1991 ; RIDA, oct. 1997, p. 61 (le droit d’auteur, un droit de l’homme ?).

Ancrer dans l’organisation la valorisation du capital immatériel

Michel Maurino, président. Vinci Consulting

Du capital immatériel, il ne ressort souvent que la face émergée de l’iceberg: brevets, marques, permis de construire, contrats commerciaux, etc. Des actifs plus faciles à caractériser (ils ont une existence physique propre et souvent une technique de caractérisation associée), à protéger (des lois internationales couvrent les droits de leurs détenteurs) et surtout à exploiter (des contrats existent et se monnaient, sous forme de licence, de cession de propriété…).

De nombreuses entreprises ne valorisent pas forcément suffisamment cette partie tangible du capital immatériel et occultent presque systématiquement l’in-licensing, principalement à cause de réflexes culturels du type «not invented here ». Elles occultent également des sous-ensembles moins tangibles de leur capital immatériel, qui sont sous la ligne de flottaison de l’iceberg et qu’elles pourraient atteindre avec un minimum d’effort. Parmi ces richesses, de nombreux trésors résident dans leur processus de conception et leurs référentiels de données.
Par exemple, durant son processus de conception, l’entreprise a pu tracer toutes les décisions de design qu’elle a prises pour privilégier un concept plutôt qu’un autre. Elle peut avantageusement s’ouvrir à d’autres applications pour les concepts abandonnés, qui, s’ils sont suffisamment documentés, peuvent constituer le background d’un développement en collaboration avec un partenaire. Les retours d’expériences de nombreux projets réalisés notamment dans les secteurs de l’aéronautique et de l’énergie ont pu démontrer que les facteurs clés de succès des démarches de valorisation du capital immatériel peuvent être synthétisés en trois points.

> Tout d’abord. il s’agit souvent d’une démarche de transformation de l’organisation. Une forte conviction et une mobilisation du management sont donc indispensables.

> Puis l’entreprise se doit d’évaluer en permanence l’utilisation de ses actifs immatériels et de mettre ainsi en place un processus idoine pour garder une veille active sur les opportunités de valorisation, interne et externe, et bien au- delà de la gestion des brevets ou marques.

> Enfin. elle doit mettre en place une organisation forte, avec des acteurs mufti- métiers de bon niveau afin de manager ce processus, de négocier les transactions issues de la valorisation des actifs et de suivre les relations avec les partenaire5 avec lesquels elle contractualise.

LES NOUVEAUX CONTENTIEUX

Il n’est pas possible d’examiner toutes les nouvelles formes de contentieux ; limitons-nous aux marques. Des discussions s’engagent régulièrement pour tenter d’établir le lien entre la marque et la notoriété. Or cette dernière se défend parfois par le droit des marques, mais également par des procédés plus classiques comme le montrent les affaires suivantes.

Dans trois affaires voisines dans le temps, des entreprises (Areva, Danone et Esso) se sont plaints que leurs marques ont été déformées, abîmées sur Internet.
Elles n’ont pas obtenu gain de cause, la Cour d’Appel ayant considéré que, dans certaines conditions, le droit à l’information primait sur le droit des marques.

Dans une affaire toujours en cours devant les tribunaux, un consultant avait diffusé un faux rapport de la Food and Drug Administration sur Internet expliquant que le produit du concurrent de son mandant n’était pas commercialisable.

Enfin, des salariés créent régulièrement des blogs ou des sites dénonçant leur employeur, lequel peut néanmoins bénéficier d’un droit de réponse. Toutefois, la stratégie de marque devrait subir une importante évolution liée, non pas au Code de la propriété intellectuelle mais aux règles régissant le droit de la responsabilité.

En effet, le besoin de sécurité s’accroît de manière importante, les sanctions sont lourdes et les obligations impérieuses, comme en témoignent les annonces médiatiques effectuées régulièrement par des fabricants qui rappellent leurs produits. C’est pour cette raison que la société Perrier a décidé de retirer du marché américain des centaines de milliers de bouteilles qui présentaient une trace de benzène infime, sans risque pour la santé. La société Perrier ne s’est relevée que d’extrême justesse d’une telle épreuve.

La société Arthur Andersen ne s’est, quant à elle, pas relevée d’un scandale provenant d’une mauvaise certification de comptes.
Aucune société ne peut prétendre échapper à une telle crise.
Et, il est probable que des sociétés moins solides que Perrier, dans des circonstances analogues, seront contraintes à une cessation d’activité.

Dès lors, une prévention par la partition s’impose et il convient de déposer différentes marques pour pouvoir supporter la disparition de l’une d’elle après une action en responsabilité.

La notion de capital immatériel est balbutiante, émergente. Elle ne pourra être analysée juridiquement qu’au regard plus global de l’appréhension de l’immatériel par le droit.

La protection juridique des actifs immatériels de l’entreprise connaît quelques limites et de nouveaux contentieux apparaissent. État des lieux.

Les aspects juridiques du capital immatériel

La notion de capital immatériel englobe celle de propriété intellectuelle, qui trouve un certain essoufflement notamment du fait du développement de l’économie numérique. Or, si la protection des éléments classiques pour une entre prise par la propriété intellectuelle est relativement bien assurée, il n’en est pas de même des éléments périphériques entrant dans le capital immatériel : une information sur support papier faisant état d’un rapprochement entre entreprises, par exemple. Le juriste va en outre être confronté à de nouveaux contentieux qui mettent en exergue les limites du droit de lu propriété intellectuelle.

PAS D’EXPLOITATION DE L’IMMATÉRIEL SANS PROTECTION

Il est difficile d’envisager une exploitation du capital immatériel d’une société à l’extérieur de l’entreprise. si ce capital n’est pas protégé. Or les modes de protection issus du droit des brevets ou des modèles se rapportent plus à l’ère industrielle qu’à une économie dématérialisée. Rappelons qu’une invention n’est brevetable. en France. que si elle est susceptible d’application industrielle ! C’est cette condition qui donne lieu aux discussions que nous connaissons sur la brevetabilité du logiciel. Toutefois, soucieux d’adapter notre économie à la société de l’immatériel, le législateur a adopté plusieurs textes où, à défaut de protéger des éléments incorporels du patrimoine, il interdisait certains moyens d’accès. Il en est ainsi des lois sur l’intrusion informatique qui répriment la manière de s’approprier certaines données.

Pour faire une comparaison triviale avec des biens matériels, nous sommes dans une situation où le législateur ne réprimerait pas le vol, mais se contenterait de dire qu’il n’est pas possible de prendre un objet en forçant une serrure.

En revanche, les autres moyens d’appropriation seraient licites. Pour le moment, la situation est donc ubuesque ! Dès lors, les praticiens tentent de recourir au contrat pour élaborer une protection. Mais ils se heurtent à de grandes difficultés comme le montre l’exemple des clauses de non-concurrence, que l’on pourrait ratta¬cher à la protection du capital humain. Le législateur s’interroge pour sa part sur la protection du secret des affaires.

Les clauses de non-concurrence

Depuis juillet 2002, les clauses de non-concurrence imposées aux salariés (et de plus en plus aux indépendants) doivent être indemnisées et ce,quels que soient les secteurs d’activité et les dispositions des conventions collectives.

Dès lors, la doctrine se demande si une entreprise aura la faculté de renoncer unilatéralement à de telles clauses, comme cela se faisait par le passé. En effet, selon d’éminents juristes. l’obligation d’indemnisation a mué d’un engagement unilatéral en une obli¬gation synallagmatique’.
Si du fait d’une clause dans le contrat de travail, l’entreprise doit supporter à terme une charge. quelle sera son mode de comptabilisation? Faut-il la provisionner dès la signature du contrat? Pour quel traitement fiscal opter?

Le secret des affaires

Bernard Carayon, député du Tarn. a rédigé et déposé une proposition de loi tendant à protéger les informations économiques au sein des entreprises. Cette proposition a le mérite de tenter de définir ce qui est protégeable et d’élaborer des modes de protection. Il conviendra donc de la suivre.