Collecte des droits d’auteur dans le monde : la Cisac se plaint du « faible » revenu numérique

La collecte des royalties des droits d’auteur dans les mondes du numérique et
du multimédia s’achemine à rythme soutenu vers 1 milliard d’euros, barre qui pourrait être franchie en 2017 si ce n’est l’année suivante. Mais pour l’organisation mondiale des sociétés de gestion collective, ce n’est pas assez.

La Confédération internationale des droits d’auteurs et compositeurs (Cisac), qui réunit 239 sociétés de gestion collective telles que, pour la France, la Sacem, la SACD, la Scam, ou encore la SGDL, n’est toujours pas satisfaite de la collecte des droits d’auteur dans le monde numérique. « La part des revenus du numérique sur l’ensemble des droits collectés par nos membres reste faible à seulement 7,2 %. Ceci est principalement lié à des lacunes juridiques et des lois obsolètes empêchant nos membres d’obtenir une rémunération juste, équitable et proportionnelle de la part des plateformes numériques dans de nombreux pays », a déploré Gadi Oron (photo), directeur général de la Cisac, lors de la publication de son rapport annuel le 23 novembre dernier.

Digital & Multimédia : 622,2 M€
Pourtant, sur le total des 8,6 milliards d’euros collectés en 2015 – un nouveau record – par les « Sacem » à travers le monde, les droits d’auteur provenant de ce que la Cisac regroupe dans le poste « Digital & Multimédia » représentent 622,2 millions d’euros. Cela inclut les licences provenant des œuvres disponibles sur les plateformes numériques telles que Spotify, YouTube, Apple Music ou encore Deezer, mais aussi des créations proposées sur des supports d’enregistrement numérique comme les images sur CDRom par exemple. Sur un an, la progression de ces royalties provenant du numérique est de 21,4 %. Mais l’essentiel de ces revenus, dont bénéficient plus de 4 millions de créateurs dans le monde, provient des droits musicaux qui pèsent 86,8 % du total collecté – suivie par les droits audiovisuels pour 6,6 %, les droits littéraires pour 2,3 %, les arts dramatiques pour 2,2 % et les arts visuels pour 2,1 % (voir graphiques). Bon an mal an, la croissance annuelle des droits d’auteur issus du monde numérique et multimédia oscille de 20 % à 30 %. Aussi, en prenant l’hypothèse haute de cette fourchette, la barre du 1 milliard d’euros devait être franchie au cours de l’année prochaine comme nous l’avons estimé l’an dernier (1) – si ce n’est en 2018. D’autant que, selon le directeur général de la Cisac, « les sociétés collectives de gestion ont massivement amélioré leurs opérations au cours des dernières années, plus particulièrement dans le traitement du volume des transactions du monde numérique ». Mais les sommes « digitales » collectées ne sont toujours pas à la hauteur de ce que souhaiterait l’organisation internationale qui fête ses 90 ans cette année et qui est installée en France à Neuilly-sur-Seine, à côté de la Sacem. Présidée par le compositeur et pionnier français de la musique électronique Jean-Michel Jarre,
la Cisac dénonce une nouvelle fois ce qu’elle estime être un « transfert de valeur dans l’économie numérique » au détriment, selon elle, des créateurs.
« Beaucoup de valeur est capturée par les intermédiaires en ligne qui exploitent les œuvres créatives. Mais ces intermédiaires numériques refusent de partager avec les créateurs », a encore affirmer Gadi Oron. De son côté, Jean- Michel Jarre voit dans le record des 8,6 milliards un signe « que le monde économique peut avoir franchi une étape et que des secteurs comme la musique, lequel fut dévasté par le piratage en ligne, a commencé à reprendre de la vitesse grâce à la croissance en cours du streaming ». Mais d’ajouter tout de même : « Nous avons besoin de systèmes qui tiennent compte de la valeur de nos œuvres et qui exigent de ceux qui les exploitent
de les payer équitablement. (…) Des acteurs géants se sont construits en utilisant les œuvres créatives sans compenser les auteurs comme ils devraient l’être. C’est simplement injuste ». En juin dernier, lors de son assemblée générale à Paris, le président de la Cisac avait même lancé à propos des GAFA : « Nous sommes des actionnaires virtuels de ces entreprises ! » (2). @

Charles de Laubier

Rani Assaf, le très discret directeur technique et deuxième actionnaire de Free, gagnerait à être connu

général délégué d’Iliad comme Xavier Niel, rémunéré 183.000 euros en 2015 comme Xavier Niel, deuxième actionnaire individuel du groupe derrière Xavier Niel, Rani Assaf est le directeur technique historique de Free à qui son fondateur doit tout. Avec le foot, la 400e fortune de France se fait moins discrète.

Rani Assaf (photo) vient d’achever son sixième mois à
la tête du club de football de Nîmes, dont il était déjà un actionnaire de l’ombre depuis deux ans et demi. Maintenant qu’il a été « élu à l’unanimité » PDG du Nîmes Olympique, le 1er juin dernier, le très discret directeur technique et directeur général délégué du groupe Iliad, ne peut plus échapper aux médias qu’il a obsessionnellement évités jusqu’alors. Rani Assaf est non seulement la cheville ouvrière d’Iliad – c’est lui le vrai inventeur de Free, de la Freebox et de Free Mobile – mais surtout le bras droit inséparable de Xavier Niel. Jeune transfuge d’Easynet, entré comme stagiaire en 1999 au moment de la création de l’entreprise par ce dernier, le virtuose du fer à souder et bidouilleur en chef est devenu irremplaçable au sein d’Iliad, où il est le deuxième actionnaire physique du groupe avec 1,3 % du capital (1) aux côtés du fondateur qui détient encore 54,5 %. Rani Assaf, qui possède en outre des actions des sociétés Freebox (filiale R&D du groupe) et Free Mobile, est la 400e fortune de France avec un patrimoine personnel
de 150 millions d’euros (voir graphique page suivante), certes bien loin de la 11e place détenue par Xavier Niel et ses 7,23 milliards.

L’associé de Xavier Niel sous les projecteurs du foot
Sous le feu des projecteurs du stade des Costières, où est basé le club nîmois qui évolue en Ligue 2 du Championnat de France de football, Rani Assaf peine à empêcher – comme il en avait l’habitude – les photographes, les caméramans et les journalistes. Ce club, qui fêtera ses 80 ans l’an prochain, le fait sortir de l’ombre à son corps défendant. « Je peux vous dire que c’est un président impliqué et passionné. (…) Il
a mis 9 millions d’euros dans le club, cela prouve qu’il y tient, non ? », a assuré en octobre Laurent Boissier, le directeur sportif de l’équipe dans Le Midi Libre, journal auquel le propriétaire du club ne peut échapper. Le lendemain de son élection à la
tête de ceux que l’on surnomme « les Crocos » (2), Rani Assaf a dû expliquer à ce quotidien du groupe La Dépêche qu’il pouvait concilier ses nouvelles responsabilités footballistiques avec sa « très haute responsabilité chez Free » : « Ce sera une charge supplémentaire mais il y a une équipe en place à Nîmes Olympique, qui travaille bien ». Serez-vous un président présent ? « Oui, le plus possible. J’habite ici, quand même ».

Le côté obscur d’Iliad
En fait, il n’habite pas à Nîmes (dans le Gard) mais à 46 kilomètre de là, à Mauguio près de Montpellier (dans l’Hérault) où il a élu domicile depuis 2008 – à… 714 kilomètres du QG d’Iliad à Paris et de Xavier Niel. Devenu Melgoriens en faisant l’acquisition d’un vaste domaine de cinq hectares arboré d’oliviers dans ce bourg situé
à proximité de la Camargue, le numéro deux de Free y coule des jours heureux et bucoliques mais non moins très actifs. S’y rendant au début seulement les week-ends, Rani Assaf a fini par imposer à un Xavier Niel sceptique – lequel ne peut décidément rien refuser à son associé à qui il doit sa réussite – d’aller s’installer à l’année dans son mas occitan, tout en assurant à son patron de pouvoir concilier vie privée et responsabilités dirigeantes : il installe en 2010 dans la ZAC du Millénaire à l’Est de Montpellier et sur l’avenue du Mondial 98 – passionné de football oblige ! – le centre
de recherche d’Iliad pour préparer le lancement technique de Free Mobile qui interviendra deux ans après (en février 2012). Lui et son équipe d’une soixantaine d’ingénieurs et de techniciens sont installés dans un immeuble discret aux vitres teintées. Modem, IP, xDSL, Dslam, Linux, FTTx, Cisco SS7, SIM, 2G, 3G, 4G, bientôt 5G, … : l’avenir technologique de Free se joue dans l’Hérault, loin de l’hôtel particulier Alexandre du siège social parisien d’Iliad où Rani Assaf se rend chaque lundi pour parler stratégie avec Xavier Niel. En revanche, selon nos informations, le montpelliérain Rani Assaf ne s’est jamais rendu au Corum de la ville où se tient depuis près de 40 ans le DigiWorld Summit de l’Idate… En 2015, ce sont 11,6 millions d’euros en 2015 qui ont été investis en études et recherches dans le fixe et le mobile – ce qui ne fait que 0,2 % chiffre d’affaires… « Le groupe a fait le choix d’intégrer son propre centre de recherche et développement pour réduire au maximum la chaîne de production », indique le document de référence 2015 que l’entreprise cotée en Bourse – valorisée plus de
10 milliards d’euros – a publié au printemps dernier. Il est en outre précisé qu’ont été déposés « trente-huit familles de brevets dans les domaines de la fibre optique, de la distribution de flux multimédia et de la transmission de données par courants porteurs en ligne (CPL), des boîtiers femtocell et des serveurs d’hébergement ».

A 42 ans, Français d’origine libanaise (3), Rani Assaf n’a rien perdu de sa verve technologique depuis sa formation à l’Ecole française d’électronique et d’informatique (Efrei) dont il a obtenu le diplôme en 1997 – tout comme Sébastien Boutruche (même promo) et Antoine Levavasseur (promo 1999), respectivement actuels directeur de la fameuse filiale Freebox et directeur du système d’informations d’Iliad. Mais ce Levantin n’est pas commode ! En plus d’être secret, d’aucuns le disent renfermé, intransigeant, brutal, bourru, direct, cassant, blessant, impérieux, tyrannique, autoritaire, insultant, paranoïaque, désagréable, grognon, négatif, … mais travailleur et brillant. « Quand Rani dit quelque chose, on se couche tous, moi le premier », a avoué Xavier Niel en décembre 2011 à un journaliste du Point. « Si on était dans Star Wars, Xavier serait l’empereur Palpatine, et Rani, Dark Vador (4) », s’est plaint un salarié à propos du manque de considération du duo de choc à l’égard de leurs geeks développeurs (5).
Le concepteur de la Freebox, conçue à partir de logiciels libres, déteste par ailleurs
« la dimension libertaire du Web » et dénonce la neutralité du Net comme « une belle connerie » inventée par Google (6) !

Exigeant avec lui et les autres
Le PDG de Nîmes Olympique se comportera-t-il de même avec son équipe de foot ?
« On a des prises de bec », a reconnu son directeur sportif. C’est sans doute que Rani Assaf est aussi exigeant avec les autres qu’avec lui-même. Il s’est fixé comme objectif d’amener ce club en Ligue 1 – quitte à faire des chèques de « tranferts » comme celui de 150.000 euros pour s’offrir le Franco-marocain Rachid Alioui comme attaquant. Mais cela n’a pas empêché Nîmes Olympique d’être éliminé le 12 novembre dernier par un club inférieur de cinq divisions… Le directeur technique de Free a du pain sur la plan. Pour aller en Ligue 1 et s’y maintenir, a-t-il dit au Midi Libre, « il faut un budget de 30 millions d’euros ». Il en est loin. De plus, le club nîmois est encore déficitaire cette année – de plus de 1 million d’euros : « Ce n’est pas normal », a-t-il déploré. Mais le bras droit de Xavier Niel a le bras long… @

Charles de Laubier

Les livres numériques trop chers se vendent moins

En fait. Le 31 mai, Nielsen a publié son « Year in Books Review » sur 2015 aux Etats-Unis. Contre toute attente, la part des ventes de livres numériques – sur le total du marché américain de 857 millions d’exemplaires – a reculé de 27 % à 23,8 % en un an. Mais les ebooks sur smartphone font un bond.

En clair. A quelques jours de la prochaine assemblée générale du Syndicat national de l’édition (SNE), les résultats des ventes de livres aux Etats-Unis devraient redonner du baume au cœur des maisons d’édition traditionnelles de l’Hexagone. Les ventes de livres imprimés sur marché américain ont augmenté en volume de 2,8 % à 653 millions d’exemplaires vendus en 2015, tandis que les ventes de livres numériques (ebooks) accusent une baisse de 13 % à 204 millions d’unités. « Nous avons tous entendu le dicton “Tout ce qui est vieux est encore nouveau”. Dans le royaume de livre, cette déclaration ne pouvait pas sonner plus vrai », a ironisé l’institut d’études Nielsen qui réalise cette étude annuelle. L’explication de ce repli des ebooks par rapport aux livres papier – tendance déjà amorcée entre les années 2013 et 2015 (voir tableau ci-contre) –, vient de la hausse générale du prix des livres numériques outre-Atlantique à en moyenne 10 dollars (au lieu de 8 dollars auparavant).
Les « Big 5 » des éditeurs aux Etats-Unis (Hachette Book Group, HarperCollins, Macmillan, Penguin Random House, et Simon & Schuster) ont même repris le plus à
la hausse le contrôle sur le prix de leurs ebooks – et sur leur marge. En revanche, les auteurs auto-publiés ont baissé leur prix pour être à 2,50 dollars en moyenne. Ce fossé tarifaire pourrait se reproduire en France. Bien que les ventes d’ebooks fléchissent, celles générées par les smartphones progressent fortement : de 7,6 % des exemplaires vendus en 2014, les livres numériques sur téléphone multimédia représentent 14,3 % l’an dernier, au détriment des liseuses et des tablettes. C’est le signe que la lecture numérique devient véritablement ubiquitaire. Prometteur. @

Jean-Paul Baudecroux vient d’avoir 70 ans et la question de sa succession à la tête du groupe NRJ se pose

Le fondateur et principal actionnaire du groupe NRJ, Jean-Paul Baudecroux,
a eu 70 ans le 11 mars dernier. Trente-cinq ans après avoir lancé sa radio libre,
le PDG du groupe devenu multimédia songe plus que jamais à sa succession. Son mandat d’administrateur s’achève le 19 mai prochain, mais il devrait être renouvelé.

Maryam Salehi va-t-elle succéder à Jean-Paul Baudecroux (photo) à la tête du groupe NRJ ? La question peut paraître abrupte, mais elle se pose plus que jamais maintenant que
le fondateur et président du conseil de surveillance du groupe multimédia vient d’avoir 70 ans. Directrice déléguée
à la direction générale, Maryam Salehi est le bras droit de
ce dernier en tant que vice-présidente du conseil d’administration. D’origine iranienne, cette juriste de formation est le pilier du groupe NRJ qu’elle a contribué à redresser à partir des années 2010. A tel point que le fondateur et principal actionnaire – 69,3 % des actions et 86,8 % des droits de vote – la surnomme depuis « bulldozer » ! La numéro deux semble toute destinée à devenir la numéro un, lorsque Jean-Paul Baudecroux aura décidé de quitter ses fonctions et d’organiser sa succession à la tête du groupe qu’il a fondé il y a maintenant trente-cinq ans. « Monsieur Baudecroux ne souhaite faire aucun commentaire. Sa succession n’est pas à l’ordre du jour », nous a fait-il répondre par son assistante. A 70 ans, depuis le 11 mars dernier, il va terminer le mois prochain son mandat en cours, lequel devrait être renouvelé lors de l’assemblée générale annuel fixée au 19 mai. Comme la limite d’âge avait été reportée il y a six ans à 80 ans, le patron devenu patriarche a encore potentiellement une décennie devant lui – soit jusqu’en mars 2026.

Trois enfants, une compagne et un « bulldozer »
Mais il n’a pas attendu de devenir septuagénaire pour commencer à se préoccuper de sa succession. Lorsqu’il a eu des problèmes de santé au printemps 2014, l’éloignant plusieurs semaines des affaires, il avait alors pris cette année-là des premières mesures personnelles pour parer à toute éventualité. C’est ainsi qu’il a procédé –
par acte notarié signé le 25 juin 2015 – à une donation partage au profit de ses trois enfants portant sur « la nue-propriété de 8.275.863 actions NRJ Group, soit 2.758.621 actions par enfant », à hauteur de 10,5 % du capital du groupe, dont il ne détient plus que 69,3 %. depuis. Mais ces parts ont été attribuées dans le cadre d’un « concert familial » qui cumule, avec les actions de Jean-Paul Baudecroux, 79,9 % des actions
du groupe et 86,8 % des droits de vote. Les trois enfants doivent trouver une position commune avec leur père qui garde néanmoins en tant qu’usufruitier les droits de vote sur les résolutions concernant le résultat financiers du groupe. Cette donation partage avait été déclarée l’AMF (1) en juillet 2014, puisque le groupe NRJ est coté à la Bourse de Paris pour près de 20 % de son capital.

La radio compense les pertes de la télé
Parallèlement, toujours en 2014, Jean-Paul Baudecroux avait signé six pactes
« Dutreil », à savoir des engagements de conservation des actions, avec : sa compagne et mère de ses trois enfants la Suédoise Vibeke Anna Röstrop pour quatre d’entre eux, et son bras droit Maryam Salehi pour les deux autres. Selon le Code général des impôts (article 787 B), « sont exonérées de droits de mutation à titre
gratuit, à concurrence de 75 % de leur valeur, les parts ou les actions d’une société
(…) transmises par décès ou entre vifs si les conditions suivantes sont réunies [conservation d’une durée minimale de deux ans, engagement collectif de conservation sur au moins 20 % des droits financiers et des droits de vote, etc, ndlr]». Bref, Jean-Paul Baudecroux a bien commencé à préparer l’« après-Baudecroux » en posant les jalon d’une transmission d’actions, mais force est de constater que depuis deux ans aucune autre disposition n’a été prise dans ce sens.
Quoi qu’il en soit, le PDG fondateur a dû fêter ses 70 ans quelque peu contrarié par les piètres performances du pôle télévision de son groupe. Le 18 mars dernier, il a estimé que la chaîne NRJ 12 avait eu « un accident industriel » en 2015 à cause d’« erreurs éditoriales » (2). Pire : lancée il y a plus de dix ans maintenant, cette chaîne – qui a toujours perdu de l’argent – ne dépasse pas 1,8 % de part d’audience nationale (7,2 millions de téléspectateurs par jour en moyenne) et a même perdu 0,1 point de part d’audience en un an. Et il n’y a pas vraiment à attendre grand chose de son passage
à la HD le 5 avril dernier, comme les autres chaînes de la TNT.
Le résultat opérationnel du pôle Télévision, accusant un déficit de 37,1 millions d’euros (accru de 50 % en un an) pour un chiffre d’affaires de 83 millions d’euros, a été grevé par le coût élevé des grilles des deux chaînes gratuites, NRJ 12 et Chérie 25. Mais Jean-Paul Baudecroux a pu trouver dans les performances de son groupe en 2015 un motif de consolation : le bénéfice net est reparti à la hausse après quatre ans de baisse à 22,6 millions d’euros, soit un bond de plus de 150% (3). C’est le pôle Radio, premier métier et activité historique du groupe, qui apporte au groupe sa rentabilité avec ses quatre réseaux nationaux – NRJ (6,3 millions d’auditeurs chaque jour, ce qui en fait la première radio de France selon Médiamétrie), Nostalgie (3,1 millions), Chérie FM (2,4 millions) et Rire et Chansons (1,5 million).

NRJ croit aux webradios, pas à la RNT
Quant à l’offre digitale du groupe, elle est forte de 220 webradios qui font de NRJ la numéro un en France des radios sur Internet (selon l’ACPM), 7 applications mobile,
une offre de replay TV sur Internet et sur les téléviseurs connectés, sans parler de 8 sites web. En revanche, NRJ boude la radio numérique terrestre (RNT) à laquelle Jean- Paul Baudecroux ne croit pas du tout (lire ci-dessous). Le groupe NRJ fut pourtant par le passé candidat à la RNT ! Sa filiale de diffusion audiovisuelle Towercast était même partie prenante dès 2007… Mais la première radio de France avait finalement retiré sa candidature en mai 2012 « face aux très importantes incertitudes économiques et techniques entourant le projet ». @

Charles de Laubier

ZOOM

La RNT, dont NRJ est l’une des grandes absentes, va faire l’objet d’un nouvel appel à candidatures en juin
Une centaine de radios indépendantes sont diffusées en RNT, depuis juin 2014, à Paris, Marseille et Nice. Selon nos informations, le prochain appel à candidatures
aura lieu en juin pour Lille, Lyon et Strasbourg, puis d’ici la fin de l’année pour Nantes, Rouen et Toulouse. Mais, préalablement, le Conseil supérieur de l’audiovisuel (CSA)
a lancé le 19 avril – jusqu’au 13 mai – une consultation publique sur quatre études d’impact (nationale et régionales) de la RNT. Et des auditions seront menées jusqu’au 25 mai. De nombreux pays européens ont aussi adopté la RNT, souvent avec plus d’enthousiasme que la France… (4). Comme ses homologues de RTL, Europe 1 et BFM/ RMC (5), voire Radio France qui attend la décision de l’Etat, le fondateur de
NRJ n’y croit pas du tout. Son groupe avait même déposé le 19 juin 2013 devant le Conseil d’Etat un recours pour « excès de pouvoir » à l’encontre du CSA, lequel avait finalement délivré le 15 janvier de la même année 107 autorisations d’exploiter un service de RNT. A l’époque, Jean-Paul Baudecroux avait déclaré : « Ces autorisations sont illégales en raison notamment des fortes incertitudes entourant ce projet ». Au-delà des raisons de ce recours devant la Haute cour administrative, le groupe NRJ redoute la RNT comme pouvant « éventuellement modifier les équilibres concurrentiels actuels ». @

Protéger l’innovation et le patrimoine informationnel : une entreprise avertie en vaut deux

Depuis la directive européenne « Attaques contre les systèmes d’information »
de 2013, censée être transposée par les Ving-huit depuis le 4 septembre 2015,
les entreprises – et leurs-traitants – doivent redoubler de vigilance contre la cybercriminalité aux risques démultipliés. L’arsenal français est renforcé.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

L’innovation à l’ère numérique peut revêtir plusieurs formes :
un nouveau brevet, un concept commercial, un logiciel, des informations stratégiques, des bases de données, de la musique, des films, … Certaines de ces données bénéficient d’une protection légale : le droit d’auteur pour les logiciels, les vidéos, les œuvres multimédia… ; le droit des marques pour les noms de domaine,
les logos… ; la loi informatique et libertés pour les données personnelles, le droit des brevets pour les inventions, …

Preuve de la titularité des droits
La protection est parfois assujettie à des formalités légales : l’enregistrement des brevets, des dépôts de marques, des noms de domaine ou encore les formalités auprès de la Cnil (1). Parfois, la protection est acquise de plein droit mais il faudra justifier de certaines conditions en cas de contestation : l’« originalité » pour l’oeuvre logicielle ou encore l’« investissement financier, matériel ou humain substantiel » pour les bases de données (2). Il faudra en tout état de cause établir la preuve de la titularité des droits, ce qui peut exiger des précautions telles que le dépôt des codes sources pour lui donner date certaine, ou encore un contrat pour encadrer les conditions de cession
des données concernées.
Mais la protection n’est pas systématique, comme l’illustre si bien le long débat législatif sur le secret des affaires qui n’a pas encore permis de trouver de solution (3), ouvrant la voie au détournement de données stratégiques pour l’entreprise. S’il est désormais acquis que la valeur de l’entreprise réside en grande partie dans son patrimoine informationnel, la question de la protection de ces données est d’autant plus cruciale que l’entreprise, pour être compétitive, doit vivre à l’heure du big data, de l’open data, du cloud, du logiciel libre (open source), des API (4) et des objets connectés.
Comment, dans cet environnement, lutter contre la malveillance ou tout simplement la négligence ?
Une enquête réalisée par le cabinet d’étude britannique Vanson Bourne pour EMC, réalisée entre août et septembre 2014 sur des décideurs informatiques au sein d’entreprises employant plus de 250 personnes (pour un total de 3.300 personnes dans 24 pays), a révélé que 64 % des entreprises concernées avaient déclaré avoir
été victime(s) de pertes de données ou d’interruptions d’activité dans le cours de l’année 2014. Ce qui correspond à une moyenne de trois jours ouvrés d’interruption
non planifiée. Ces entreprises auraient subi un préjudice de 1,7 milliards de dollars.

Si les entreprises sont confrontées à des risques en provenance de l’extérieur (piratage, vol de données, fraude, virus, phishing, usurpation d’identité, …), il faut constater que les défaillances sont le plus souvent le résultat de négligences internes : non respect des règles de sécurité, notamment dans la gestion des badges d’accès ou des codes, divulgations non autorisées de données, erreurs de manipulations, …, manque de formation, d’information, de sensibilisation, etc.
L’exemple de la recherche et du développement – secteur d’investissement et d’innovation par nature – en est une bonne illustration. En effet, les travaux menés
par les chercheurs le sont parfois en mode collaboratif sur des réseaux non sécurisés, voire non conservés dans les serveurs de l’entreprise, exposant à la perte des investissements. De même, la publication ou l’utilisation d’API ouvrent des fenêtres sur les systèmes d’information des entreprises et organisations, et engendrent des risques liés à la sécurité, notamment d’atteintes aux données (intrusion, captation, …).

Directive contre la cybercriminalité
Le chef d’entreprise a l’obligation d’assurer la sécurité de l’entreprise. Cette obligation devrait être renforcée dans les années à venir avec la directive européenne « Attaques contre les systèmes d’information » du 12 août 2013.
Cette directive visant à combattre la cybercriminalité (5), qui devait être transposée par les Vingt-huit avant le 4 septembre 2015 (6), encourage les Etats membres à prévoir
« dans le cadre de leur droit national, des mesures pertinentes permettant d’engager
la responsabilité des personnes morales, lorsque celles-ci n’ont de toute évidence pas assuré un niveau de protection suffisant contre les cyberattaques » (considérant 26). Mais au-delà de cette obligation générale, le chef d’entreprise peut être tenu, pour certaines catégories de données, à des obligations légales spécifiques. Tel est le cas pour les données à caractère personnel pour lesquelles il est tenu de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (7).
Le manquement à cette disposition légale est sanctionné de cinq ans de prison et de 300.000 euros d’amende (8).

Obligations des entreprises
L’entreprise, elle, doit également veiller au respect de cette obligation par ses sous-traitants (9), au risque d’être sanctionnée. Ainsi, une société distribuant des produits optiques a été condamnée par la Cnil à une sanction de 50.000 euros pour avoir, entre autres, manqué à son obligation d’assurer la sécurité et la confidentialité gérées par
un de ses sous-traitants. La Cnil relève que « le contrat entre la société et son sous-traitant ne comportait aucune clause relative à la sécurité et à la confidentialité des données » (10).
Sur ce point également, le prochain règlement européen sur la protection des données à caractère personnel (« Privacy »), devrait renforcer les obligations en prévoyant une obligation de notification des failles de sécurité à toutes les personnes concernées, ainsi qu’une obligation d’informer l’autorité de contrôle de toute violation « sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance ». Au-delà du délai de 24 heures, l’entreprise devra nécessairement justifier son silence.
Par ailleurs, les opérateurs d’importance vitale (OIV) sont tenus de respecter des règles de sécurité spécifiques (11). Leur non-respect les expose à des sanctions pénales (12). Les OIV ont également l’obligation d’informer sans délai le Premier ministre de tout incident affectant le fonctionnement ou la sécurité des systèmes d’information (13).

Enfin, on rappellera que le Référentiel général de sécurité (RGS) – afin d’instaurer
la confiance dans les échanges au sein de l’administration et avec les citoyens – s’impose aux administrations et aux prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d’information (arrêté du 13 juin 2014 portant approbation du RGS et précisant les modalités de mise en oeuvre de la procédure
de validation des certificats électroniques). Plus généralement, on rappellera que l’arsenal français est complet avec plusieurs infractions répertoriées dans le Code pénal. Le vol (14) de données est cependant rarement reconnu par la jurisprudence puisque les éléments constitutifs de l’infraction ne sont pas réunis : dans la mesure
où la donnée n’est pas une « chose », il n’y a pas de « soustraction frauduleuse de la chose d’autrui ».
En revanche, le recel (15) peut être invoqué à la condition que les données atteintes soient fixées sur un support physique. Même si le recel d’informations sans support matériel a pu être admis dans des arrêts anciens, la jurisprudence actuelle ne suit
pas cette tendance. De même, l’abus de confiance (16) est souvent utilisé à l’encontre de salariés ayant détourné des fichiers informatiques à des fins personnelles, en contradiction avec, notamment, la Charte informatique de l’entreprise. Enfin, l’usurpation d’identité numérique (17), utilisée depuis peu, a conduit récemment à la condamnation d’une personne s’étant fait passer pour l’ancien associé d’une entreprise afin de créer des adresses courrielles et des profils sur les réseaux sociaux. De même, c’est sur ce fondement qu’a été sanctionnée la personne ayant créé un faux site web permettant aux internautes de publier au nom d’une personne publiques des communiqués au contenu diffamatoire.

Infractions et Cheval de Troie
Enfin, les atteintes aux STAD (18) répertorient toute une série d’infractions : le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un STAD, le fait d’entraver ou fausser le fonctionnement d’un STAD, le fait d’introduire frauduleusement des données dans un STAD, extraire, détenir, reproduire, transmettre, supprimer ou modifier frauduleusement les données qu’il contient, ou encore le fait de – sans motif légitime – importer, détenir, offrir, céder ou mettre à disposition un équipement, instrument, programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions prévues par les articles 232-1 à 323-3 du Code pénal, comme par exemple le Cheval de Troie.
Il convient de signaler que dans un arrêt récent (19), la Cour d’appel de Paris a relaxé un internaute ayant accédé à un système de traitement automatisé de données (STAD) dont la sécurité défaillante avait permis l’accès aux données, mais l’a condamné pour maintien frauduleux, ayant constaté qu’il avait réalisé des opérations de chargement alors qu’il existait un contrôle d’accès dont il n’avait pu ignorer l’existence On rappellera que la voie pénale n’exclut pas une action civile pour obtenir des dommages intérêts. @

* Christiane Féral-Schuhl,
ancien bâtonnier du Barreau de Paris.