En étendant le secret des correspondances électroniques, le projet de loi sur le numérique empêcherait les entreprises de se protéger contre la fuite de données.
Les entreprises ont une
obligation légale d'assurer la sécurité de leurs réseaux, proportionnelle à la
sensibilité des données à protéger, en installant par exemple des solutions de DLP
(Data Loss Protection, protection de pertes de données). Ce procédé empêche de
divulguer les données sensibles à des personnes non autorisées et permet en
particulier d'accéder au contenu de documents qui peuvent transiter par les
réseaux et les messageries. Il protège les entreprises contre la fuite de
données par les salariés.
Dans son article 34, le
projet de loi pour une République numérique (projet de loi Lemaire) étend le principe du secret des correspondances applicable aux opérateurs de
services électroniques, aux autres services en ligne :
"services de téléphonie sur IP, réseaux sociaux, services de messagerie en
ligne, etc". Sont visés les éditeurs de service de communication publique en ligne.
Lors d'une conférence,organisée par CNIS-Mag en décembre 2015, Maître François Coupez, avocat, a montré les "effets de bord négatifs" de cette disposition, destinée à éviter que des réseaux comme
Facebook ou Google regardent le contenu des mails pour envoyer de la publicité
ciblée.
Interception de correspondance
Selon Maître Coupez, si
l'entreprise crée un réseau social, à usage privé ou public avec usage personnel,
elle sera peut-être qualifiée d'"éditeur de service de communication
publique en ligne" et de ce fait tenue de respecter le secret des
correspondances, c'est-à-dire leur contenu, l'en-tête et les documents joints. L'article 226-15 du code pénal, sanctionne la violation du secret, à condition que la correspondance ait été
ouverte de mauvaise foi.
Or, dans le projet de loi,
toute analyse de la correspondance constitue une atteinte au secret : c'est
l'interception de correspondance sans précision qui est visée, sauf lorsque le
traitement a pour fonction l'affichage, le tri ou l'acheminement de la correspondance,
la fourniture d'un service bénéficiant uniquement à l'utilisateur, ou encore la
détection de contenus non sollicités ou de programmes informatiques malveillants.
Mais la fuite d'information n'est pas mentionnée.
En l'état actuel, le projet
de loi fait fi de notions mal définies comme celle d'"éditeur de service
de communication publique en ligne" et de l'interprétation qui peut être
faite par la jurisprudence. Il risque de signer la fin du DLP en entreprise, sécurisé juridiquement, qui a pour objet
d'éviter la fuite de données.
Maître Coupez estime qu'il
convient donc de sensibiliser le gouvernement pour qu'il modifie ce texte avant
d'arriver devant les parlementaires, afin que les règles ne s'appliquent pas aux entreprises en interne. Le début de la discussion est prévu le 19 janvier à l'Assemblée nationale.
Aucun commentaire:
Enregistrer un commentaire