Securiteoff entame une nouvelle rubrique consacrée à l’évolution de la législation.
Les SMS sur des smartphones professionnels sont… « professionnels »
Le 10 février 2015, la chambre commerciale de la Cour de cassation a rendu un arrêt qui donne aux SMS échangés sur les téléphones portables mis à disposition par les employeurs une présomption de « caractère professionnel ». Pour définir ces petits messages comme étant « privés », les salariés devront écrire les mots « personnel » ou « perso » au début du texte.
Pour la Cour de cassation, ces messages peuvent donc constituer des preuves recevables et leur lecture ne peut « être assimilée à l’enregistrement d’une communication téléphonique privée effectuée à l’insu de l’auteur des propos ».
Par contre, l’employeur ne peut mettre en place une surveillance constante et permanente de ses employés, sauf à justifier d’un risque particulier pour la sécurité des biens ou des personnes, tel que notamment des transferts de fonds, des installations dangereuses.
Pour rappel, depuis mai 2013 ainsi, l’employeur a le droit d’ouvrir, sans la présence du salarié, un email qui n’a pas été identifié comme « personnel ». Là aussi, le salarié doit indiquer la mention « personnel ». En clair, l’entreprise ne peut pas accéder à des emails « personnels » émis par les salariés et reçus par eux grâce à leur ordinateur professionnel, et ce, même même si elle en avait interdit une utilisation privée.
Néanmoins, l’employeur peut demander au juge l’intervention d’un huissier pour accéder à ces emails. Le juge acceptera si cette désignation répond à un motif légitime (par exemple, un salarié est soupçonné de concurrence déloyale) et est nécessaire à la protection des droits de l’employeur.
Sans cette autorisation d’un juge, le licenciement d’une personne pour faute grave s’appuyant sur la lecture d’emails « personnels » sera jugé « sans cause réelle et sérieuse ».
À qui appartient un logiciel ?
Selon le principe posé par l’article L.113-1 du Code de la propriété intellectuelle (CPI), « La qualité d’auteur appartient, sauf preuve contraire, à celui ou à ceux sous le nom de qui l’uvre est divulguée. » Le titulaire des droits d’auteur sur un logiciel peut être une personne physique, le développeur du programme ou une personne morale, l’entreprise au sein de laquelle le logiciel a été développé.
Mais dans un arrêt du 15 janvier 2015, la Cour de cassation a précisé qu’une « personne morale ne peut avoir la qualité d’auteur » et ce notamment au motif qu’en l’espèce les contributions des auteurs au développement des logiciels étaient de natures différentes et ne se fondaient pas dans un ensemble permettant de qualifier ces uvres de « collectives ». La Cour de cassation a donc cassé l’arrêt de la Cour d’Appel dans l’affaire Tridim, une société spécialisée dans l’édition de logiciels d’analyse médicale.
Objets de santé connectés : une régulation nécessaire
Le développement « exponentiel » des objets de santé connectés rend nécessaire une « régulation » de ce secteur, a estimé le Conseil national de l’ordre des médecins (CNOM) dans son « livre blanc » sur la santé connectée. « Le CNOM se prononce pour une régulation qui impose d’informer l’usager afin qu’il conserve sa liberté dans ce monde connecté et qui assure la fiabilité des technologies et la protection des données personnelles ».
Le CNOM souhaite l’instauration d’une régulation « adaptée, graduée et européenne » pour ces outils avec comme « minimum » l’obligation d’une « déclaration de conformité à un certain nombre de standards ». Une telle déclaration devrait porter au moins sur la confidentialité des données recueillies, sur la sécurité informatique et sur la sûreté sanitaire de l’outil en question, selon l’Ordre.
Pour rappel, en France, il est interdit de collecter des données personnelles comme celles liées à la santé, sans l’accord de la personne concernée. La vente de données de santé nominatives est également prohibée.
Le délit d’usurpation d’identité numérique
La LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique : l’usurpation d’identité numérique. Elle est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier : adresses IP, URL, mots de passe, logos, images
Tous les éléments permettant de pointer vers une personne physique.
L’auteur de l’infraction, personne physique, encourt un an d’emprisonnement et 15.000 d’amende. La condamnation peut atteindre 75.000 lorsque l’auteur de l’infraction est une personne morale (Art. 226-4-1 du Code pénal).
Afin de faciliter l’identification des auteurs d’une infraction, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), impose aux prestataires techniques, fournisseurs d’accès à internet et hébergeurs, la conservation des données « de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires »
La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web.