Juridique

Data Asset : la valeur de la donnée associée à sa protection légale

Retrouvez cet article dans le CIO FOCUS n°103 !

La donnée, un actif vital de l'entreprise

Valoriser la donnée n'est plus accessoire. De plus en plus souvent, l'entreprise est tenue de se réinventer autour de la donnée pour servir ses clients. Si l'exemple le plus complet vient de façon inattendue d'une agence média, Havas Media Group, d'autres témoignages ont appuyé ce constat. En...

Découvrir

---

Le 24 septembre 2015, CIO a organisé à Paris une Matinée Stratégique sur « Data Asset : la donnée, actif de l'entreprise ». Christiane Féral-Schuhl, avocate associée au Cabinet Feral-Schuhl / Sainte-Marie, ancienne bâtonnière de Paris, y a explicité le régime juridique de la donnée comme actif de l'entreprise.

Publicité« On parle souvent de patrimoine informationnel mais la donnée est trop souvent appréhendée dans une approche d'ensemble » a dénoncé Christiane Féral-Schuhl, avocate associée au Cabinet Feral-Schuhl / Sainte-Marie, ancienne bâtonnière de Paris. Elle s'exprimait dans le cadre de la Matinée Stratégique « Data Asset : la donnée, actif de l'entreprise » organisée par CIO le 24 septembre 2015 à Paris. Or la donnée est partout, pas seulement dans les systèmes informatiques au sens strict (comme les images contribuant à la représentation de l'entreprise). Et il ne faut pas négliger ces points à l'heure du développement de l'intelligence économique.

Valoriser la donnée, sur le plan juridique, passe par l'estimation du coût lié à l'atteinte de l'intégrité, à l'existence ou de la confidentialité la donnée. Il ne s'agit pas ici de tirer directement une valeur par l'exploitation de la donnée. Christiane Féral-Schuhl a pris l'exemple : « le secret de la recette du sirop Coca-Cola est protégé avec grand soin, toute l'entreprise reposant sur lui. »

Les atteintes aux données, freins à leur valorisation

Les tentatives de détournement ou de destruction de données sont très fréquentes. Ainsi, de septembre 2013 à septembre 2014, selon un sondage auprès de plus de 3000 décideurs d'entreprises de plus de 250 salariés, 74% des entreprises ont perdu des données ou subi des préjudices liés à l'interruption de l'accès aux données. La perte de données peut prendre la forme, tout simplement, de la perte d'un e-mail avec une pièce jointe fondamentale ou confidentielle. « La divulgation du contenu d'un e-mail intercepté peut ainsi faire perdre un avantage compétitif » a observé Christiane Féral-Schuhl.

Dans une logique de valorisation financière de l'entreprise, la donnée doit être vue comme un patrimoine. Et la valeur de ce patrimoine est strictement liée à la capacité à le protéger. Il s'agit d'une protection contre la divulgation comme contre la destruction ou la privation. La notion de protection juridique est, elle, liée à la capacité à assurer un monopole sur la connaissance ou l'exploitation. Mais Christiane Féral-Schuhl a relevé : « légalement, toutes les données ne sont pas protégeables sur le plan juridique. »

Pour le logiciel, la protection juridique relève en général du droit d'auteur (avec quelques cas où des brevets peuvent être utilisés), tout comme une vidéo, une image, etc. Les bases de données disposent de leur propre protection juridique. « Valoriser une donnée nécessite de spécifier la protection juridique invoquée » a spécifié l'avocate. Parfois -comme dans le cas du brevet à déposer/renouveler- la protection ne peut s'appliquer qu'après une formalité précise ; à l'inverse, dans d'autres cas, une simple preuve d'antériorité suffit, comme pour ce qui relève du droit d'auteur. Les marques et modèles (notamment les identités graphiques) exigent aussi des démarches précises de dépôt.

PublicitéLes données personnelles : le respect des obligations légales préalable à leur valorisation

Les fichiers comprenant des données personnelles (comme les bases de clients par exemple) ne peuvent être valorisées financièrement dans le bilan de l'entreprise que si et seulement toutes les contraintes légales ont été respectées. Cela passe notamment, le cas échéant, par le respect des règles pour une dispense de déclaration ou, à l'inverse, la réalisation de cette déclaration voire d'une demande d'autorisation auprès de la CNIL. Christiane Féral-Schuhl a rappelé : « on ne traite pas de la même façon un fichier comprenant des données de santé ou un fichier d'e-mails de prospects marketing ».

Certains fichiers a priori anodins peuvent se révéler très sensibles. Ainsi, les compagnies aériennes peuvent demander si un passager désire un repas suivant les prescriptions de telle ou telle religion. Indirectement, ce fichier permet dès lors de connaître les religions de certains clients. Un tel fichier est soumis à autorisation et n'est pas un fichier banal.

La protection des bases de données et le secret des affaires

Les bases de données personnelles ne sont, finalement, qu'un cas particulier des bases de données en général. Celles-ci bénéficient d'un régime de protection spécifique (« sui generis ») automatique dès leur création, sans besoin de formalité particulière mais avec des conditions précises à respecter, notamment la capacité à démontrer que leur constitution a nécessité un investissement substantiel humain, matériel ou financier. Si une base est protégée, le détournement de son contenu par un tiers ouvrira droit à des actions en contrefaçon, concurrence déloyale ou concurrence parasitaire. « Si vous investissez dans une base de données, veillez à respecter les conditions requises pour pouvoir, le cas échéant, vous défendre si une extraction inappropriée a lieu » a prescrit l'avocate.

Enfin, la protection des données peut relever du contrat. C'est le cas lorsqu'une clause de confidentialité est insérée. Cette clause est nécessaire quand il n'existe pas d'autre forme de protection possible mais que le secret est nécessaire. C'est notamment le cas lorsqu'un logiciel va être développé à partir d'une idée originale. Christiane Féral-Schuhl a rappelé : « une idée ne se protège pas ; seule l'expression d'une idée peut se protéger, par exemple par le droit d'auteur. » Un tel projet entre dans la notion de secret des affaires dont la protection en tant que tel continue de poser questions et problèmes.
Toutes ces données doivent être protégées pour garantir la valeur de l'entreprise voire sa capacité à opérer. La responsabilité de cette protection incombe au chef d'entreprise même si elle peut, le cas échéant, être déléguée, notamment au DSI. Mais cette responsabilité joue à l'égard d'un grand nombre de personnes : salariés, clients, actionnaires, partenaires...

De la protection légale à la protection technique obligatoire

« En cas d'incident, de plus en plus, on recherchera si le chef d'entreprise a rempli ses obligations de bon père de famille pour assurer la protection du patrimoine de l'entreprise » a relevé Christiane Féral-Schuhl. Il s'agit là, bien sûr, du respect des formalités pour garantir la protection légale mais aussi du respect des bonnes pratiques en matière de protection technique, c'est à dire notamment de sécurité informatique.

Des contraintes particulières peuvent être ajoutées. C'est notamment le cas des Opérateurs d'Importance Vitale. Ceux-ci, dont une liste est fixée par décret, ont des obligations renforcées en matière de sécurité.

Enfin, la réglementation devrait se renforcer, notamment via un règlement européen toujours en discussion. Cette réglementation posera des obligations légales supplémentaire en matière de sécurité informatique. L'intrusion est déjà sanctionnée mais la « victime » peut aussi être coupable et sanctionnée (jusqu'à cinq ans de prison et 300 000 euros d'amende) si celle-ci n'a pas pris les mesures appropriées pour garantir une certaine protection technique. La négligence est juridiquement clairement une culpabilité. Et cette culpabilité ne peut pas être aisément transférée à un sous-traitant. Le futur règlement européen rendra sans doute totalement solidaires fournisseur et donneur d'ordre en cas d'intrusion suite à une protection technique insuffisante. Et les autorités comme les personnes dont les données ont été compromises devront être informées. « Au delà de la perte financière liée à la compromission des données, il y aurait alors un évident et important préjudice d'image » a souligné Christiane Féral-Schuhl.

Les risques de l'open-data et des données libérées

Mais, dans certains cas, la divulgation des données est voulue. C'est notamment le cas des démarches d'open-data. Cette démarche concerne en premier lieu les données d'intérêt public en provenance du secteur public (météorologie, données géographiques, etc.). Ces données sont déclarées biens communs et le partage peut générer de la valeur pour l'ensemble de la population. « Les entreprises s'engouffrent dans cette philosophie de plus en plus pour partager des données et ainsi mieux valoriser celles-ci » a constaté Christiane Féral-Schuhl.

Les objectifs peuvent relever de la volonté de transparence et de communication d'une image positive comme de la création de valeur via la génération de nouveaux services par des tiers, voire de création croisée de valeur via des échanges croisés de données.
« Mais il ne faut pas oublier que cette décision d'ouvrir ou de partager les données va avoir un impact sur la valorisation du patrimoine informationnel » a averti l'avocate. En effet, dès lors que des données ont été libérées, elles ne sont plus la seule propriété de l'entreprise. Et il y a risque. Christiane Féral-Schuhl a conclu : « cela ne signifie pas qu'il faut renoncer à toute ouverture mais qu'il faut être conscient des conséquences de celle-ci sur la valorisation du patrimoine informationnel de l'entreprise. »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article