Archimag. Vous venez de créer le cabinet Féral-Schuhl/Sainte-Marie, un cabinet d’avocats résolument tourné vers le secteur des technologies de l’informationi et de la communication. Cherchez-vous à répondre à une évolution de notre société ?
Christiane Féral-Schuhl. Je constate une évolution du marché ces dernières années : aujourd’hui, les clients recherchent un spécialiste selon la question qui les préoccupe, qu’il s’agisse de fiscalité, de droit immobilier, de droit de l’environnement ou autre. Dans notre secteur des technologies de l’information, nous occupons une place leader avec une équipe d’une vingtaine de personnes. En tant que boutique spécialisée, notre visibilité sur le marché est meilleure qu’au sein d’une grande structure généraliste. De surcroît, nous gagnons en flexibilité et en réactivité, nous jouissons d’une notable connaissance de l'international. Il y a dix ans, la situation était différente. Les clients recherchaient la sécurité du guichet unique regroupant, au sein d’un même cabinet, toutes les compétences juridiques.
Nous sommes donc dans une stratégie conforme aux exigences du marché et, en cas de besoin, travaillons en équipe dédiée, avec le concours de spécialistes dans les domaines complémentaires dont nous pouvons avoir besoin.
Les conflits liés aux données à caractère personnel sont de plus en plus nombreux. Etes-vous saisis parce type de demandes ?
C’est une partie importante de notre activité. J’en mesure également l’importance à la partie que j’ai dû consacrer aux données personnelles dans mon ouvrage Cyberdroit : un cinquième de l’ouvrage est consacré uniquement à ces questions. Par ailleurs, cette matière m’a conduit à m’intéresser aux questions technologiques il y a vingt ans, lors des premiers débats sur la carte santé. En pratique, la prise de conscience dans les entreprises a été très progressive jusqu’à la loi du 6 août 2004. En modifiant la loi informatique et libertés, elle a provoqué un rappel à l’ordre utile en ce domaine. Nous intervenons très souvent pour auditer les entreprises et les aidons à identifier, selon une méthodologie éprouvée, les traitements exigeant des formalités déclaratives ou des demandes d'autorisations.
Les données à caractère personnel sont souvent au coeur de la cybersurveillance dans les entreprises…
C’est exact. La question se concentre sur le juste point d’équilibre entre le pouvoir de contrôle de l’employeur et le respect à la vie privée de l’employé. Comme le téléphone, les outils technologiques sont mis à la disposition de l’employé pour lui permettred’exécuter le travail qui lui est confié. S’il existe une tolérance pour l’utilisation de ces outils à titre personnel, cette utilisation doit rester marginale et dans le respect des principes essentiels. La difficulté tient non pas au coût d’utilisation, comme pour le téléphone, mais au temps passé à consulter sa messagerie ou internet">i à des fins personnelles. Elle tient également à la nécessité de l’employeur d’accéder aux données. Aussi, pour cadrer les grands principes applicables, on peut dire que le contrôle de l’employeur n’est pas irrégulier pour autant que les règles de transparence et de proportionnalité soient respectées : les salariés et le comité d’entreprise doivent être informés, les outils de contrôle et les mesures prises doivent être proportionnés à la finalité poursuivie. L’employé, pour sa part, est tenu au devoir de loyauté. On observe, à travers la jurisprudence, que les règles se dessinent peu à peu, chaque situation relevant de l’appréciation souveraine des juges, d'une analyse au cas par cas.
Tous les internautes voient leur messagerie polluée par les courriers non sollicités, les fameux spams. Que peuvent-ils faire ?
Des sanctions existent aujourd’hui car les activités de mailing sont encadrées et reposent sur le consentement du destinataire (dénommé « opt-in »). De nombreux acteurs se sont mobilisés pour faire obstacle à la généralisation du spamming. La Fédération des entreprises de vente à distance (Fevad) a créé la eRobinson List, un site d’oppositionaux courriers électroniques non sollicités. La Commission nationale de l’informatique et des libertés (Cnili) recueille également les plaintes des internautes. Au plan européen, le Contact network of spam enforcement authorities (CNSA), réseau de contacts des autorités antispam, a été créé par la Commission européenne pour traiter les plaintes transfrontalières relatives au spam. Mais il est prudent et en tous les cas plus efficace d’avoir un bon logiciel anti-spam !
Quelles sont les principales tendances de la cybercriminalité?
Si l’on écarte les atteintes aux systèmes d’information, comme l’entrée non autorisée, les infractions les plus courantes relèvent du droit de la presse – diffamation, injure, provocation à la discrimination, atteintes à la liberté d’expression – ou encore constituent desatteintes à l’ordre public – terrorisme, espionnage, trafic clandestin, jeux d’argent en ligne. Nous constatons une forte progression des atteintes aux mineurs, notamment en raison de la diffusion de messages à caractère pornographique ou encore de l’augmentation des sites violents ou pornographiques, des agressions sexuelles sur les mineurs au moyen de l’internet. De nouvelles formes d’escroquerie ou d’abus de confiance, par exemple le phishingi – attaque informatique consistant à faire croire à la victime qu’elle s’adresse à une banque par exemple – ou encore le grabbing – attribution de noms de domaine de grandes marques en vue de les revendre – prennent de l’ampleur. La cybercriminalité se caractérise décidément par son aspect multiforme.
Vous consacrez un chapitre de votre ouvrage aux obligations d’archivagei électronique des entreprises. Quelles sont-elles?
Le principe d’égalité entre le papier physique et le papier numérisé est actuellement acquis à condition de remplir les conditions d’authentificationi et d’intégrité imposées par les textes. Sous cette réserve, la politique d’archivage consiste pour l’essentiel à identifier les documents qui peuvent être dématérialisés, les délais de prescription qui peuvent s’appliquer, et gérer l’accès aux données. L'objectif est de préserver le patrimoinei informationnel de l'entreprise et de posséder les moyens de restituer à tout moment l'historique. Les cybercommerçants sont soumis à l'obligation de conserver la traçabilité des commandes d'une valeur supérieure à 120 euros.
Vous êtes la présidente de l’Association pour ledéveloppement et l’information juridique (Adij).Quels sont les chantiers en cours ?
L'Adij s’organise sur deux axes de réflexion. D’abord, la sensibilisation des professionnels aux outils capables de les aider dans leur métier ; ensuite, l’approche prospective des aspects du droit des technologies. Nos thèmes dépendent de l’actualité. Nous avons déjà retenu pour 2007 deux thèmes de réflexion pour les Mardis de l’Adij :
Bilan depuis la création du correspondant informatique et libertés (Cil). Introduit par la loi du 6 août 2004, il pose de nombreux problèmes pratiques au sein de l’entreprise. Sous l’égide d’un chargé de mission de la Cnil, nous donnerons la parole aux Cil afin d’avoir un retour d’expérience.
Le responsable sécurité des systèmes d’information (RSSI) : son statut soulève une interrogation ; doit-il être indépendant pour pouvoir exercer les fonctions qui sont les siennes ? Par ailleurs, nous poursuivons, en partenariat avec l’Association des professionnels de la gestion électronique de documents, des travaux sur le cycle de vie du document numérique. Enfin, au niveau européen, l’Adij souhaite confronter les problèmes soulevés en France par la loi de transposition du 1er août 2006 sur le droit d’auteur (loi Dadvsi) avec les lois de transposition dans les autres pays européens. Au niveau international,nous avons signé un accord avec le Brésilen septembre 2006. Nous venons également de créer le prix du meilleur blogi juridique.
« la cybercriminalité est décidément multiforme »
