La traçabilité des données en entreprise menacée par le projet de loi Lemaire

En étendant le secret des correspondances électroniques, le projet de loi sur le numérique empêcherait les entreprises de se protéger contre la fuite de données.

Les entreprises ont une obligation légale d'assurer la sécurité de leurs réseaux, proportionnelle à la sensibilité des données à protéger, en installant par exemple des solutions de DLP (Data Loss Protection, protection de pertes de données). Ce procédé empêche de divulguer les données sensibles à des personnes non autorisées et permet en particulier d'accéder au contenu de documents qui peuvent transiter par les réseaux et les messageries. Il protège les entreprises contre la fuite de données par les salariés.

Dans son article 34, le projet de loi pour une République numérique (projet de loi Lemaire) étend le principe du secret des correspondances applicable aux opérateurs de services électroniques, aux autres services en ligne : "services de téléphonie sur IP, réseaux sociaux, services de messagerie en ligne, etc". Sont visés les éditeurs de service de communication publique en ligne.

Lors d'une conférence,organisée par CNIS-Mag en décembre 2015, Maître François Coupez, avocat, a montré les "effets de bord négatifs" de cette disposition, destinée à éviter que des réseaux comme Facebook ou Google regardent le contenu des mails pour envoyer de la publicité ciblée.

Interception de correspondance

Selon Maître Coupez, si l'entreprise crée un réseau social, à usage privé ou public avec usage personnel, elle sera peut-être qualifiée d'"éditeur de service de communication publique en ligne" et de ce fait tenue de respecter le secret des correspondances, c'est-à-dire leur contenu, l'en-tête et les documents joints. L'article 226-15 du code pénal, sanctionne la violation du secret, à condition que la correspondance ait été ouverte de mauvaise foi. 

Or, dans le projet de loi, toute analyse de la correspondance constitue une atteinte au secret : c'est l'interception de correspondance sans précision qui est visée, sauf lorsque le traitement a pour fonction l'affichage, le tri ou l'acheminement de la correspondance, la fourniture d'un service bénéficiant uniquement à l'utilisateur, ou encore la détection de contenus non sollicités ou de programmes informatiques malveillants. Mais la fuite d'information n'est pas mentionnée.

En l'état actuel, le projet de loi fait fi de notions mal définies comme celle d'"éditeur de service de communication publique en ligne" et de l'interprétation qui peut être faite par la jurisprudence. Il risque de signer la fin du DLP en entreprise, sécurisé juridiquement, qui a pour objet d'éviter la fuite de données.

Maître Coupez estime qu'il convient donc de sensibiliser le gouvernement pour qu'il modifie ce texte avant d'arriver devant les parlementaires, afin que les règles ne s'appliquent pas aux entreprises en interne. Le début de la discussion est prévu le 19 janvier à l'Assemblée nationale.