Les atteintes à la confidentialité et aux droits de propriété intellectuelle

La majorité des employeurs redoutent que certains employés insouciants ou malhonnêtes diffusent des informations concernant l’entreprise ou ses clients, en contravention, notamment, avec les principes relatifs au secret professionnel ou à la confidentialité ou encore au domaine boursier. Ainsi, la Loi sur les valeurs mobilières379 _{interdit la}

manipulation des informations boursières visant à influencer ou tenter d’influencer le cours ou la valeur d’un titre380. Elle interdit également la communication ou l’utilisation frauduleuse d’informations privilégiées381, tout comme la divulgation d’informations fausses ou trompeuses382. L’employeur a donc un intérêt particulier à veiller à ce que l’information boursière ne soit pas utilisée de façon frauduleuse ou abusive par ses salariés,

379 _{L.R.Q. 1982, c. V-1.1.} 380 _{Id., art. 195.2.} 381 _{Id., art. 187 et suiv.} 382 _{Id., art. 196 et 197.}

de tels agissements pouvant compromettre sa réputation sur les marchés boursiers, voire engager sa responsabilité. Un tel risque existera si, par exemple, les salariés d’une entreprise cotée en bourse divulguent sur des forums de discussions des informations financières la concernant. La Commission des Opérations de Bourse française (ci-après désignée « COB ») a été confrontée, il y a quelques années, à des agissements frauduleux opérés par des salariés qui, sans y être habilités, proposaient des produits financiers aux investisseurs, grâce à le réseau Internet de leur société. La COB avait alors émis un communiqué de presse dans lequel elle mettait en cause les sociétés dont les « insuffisances manifestes dans les procédures de contrôle relatives à l’accès au réseau depuis les locaux professionnels »383 avaient permis la commission de tels actes. Elle avait invité les entreprises à la plus grande vigilance, face aux risques d'utilisation du réseau à des fins personnelles ou frauduleuses par des salariés indélicats et éventuellement par des personnes externes, soulignant que de tels agissements pouvaient engager la responsabilité de la société et/ou de ses dirigeants. Cette mise en garde visait tout particulièrement les sociétés de bourse en ligne et les entreprises financières qui ont l’obligation d’effectuer un contrôle des plus serrés de l’utilisation des ressources informatiques par leurs salariés. À cet égard, il serait intéressant de voir comment se fera l’imputation des responsabilités dans le cadre des plaintes déposées par la direction de la Société Générale et des associations de petits porteurs à la suite des malversations d’un courtier en bourse qui auraient, officiellement, causé une perte de 4,9 milliards d'euros en 2008384. Pour l’instant, seul le courtier a été formellement mis en examen. Pourtant, les analystes s’accordent pour dire qu’il n’aurait pas pu déjouer toutes les procédures de contrôle, surtout pendant plus d’un an, à l’insu de ses supérieurs hiérarchiques. Quoi qu’il en soit, la réputation de la banque en ressortira

383 _{COMMISSION DES OPÉRATIONS DE BOURSE, Communiqué à l'attention des sociétés disposant d'un site ou d'un accès}

internet sur les possibilités d'utilisation du réseau, Paris, 2000, en ligne : <http://www.amf-

france.org/documents/general/3390_1.pdf> (site consulté le 25 juillet 2010).

384 _L

E MONDE.FR, « Selon son ancien chef, Jérôme Kerviel "mentait" mais était "crédible" », Lemonde.fr, 21 juin 2010, en

ligne : <http://www.lemonde.fr/economie/article/2010/06/21/selon-son-ancien-chef-jerome-kerviel-mentait-mais-etait- credible_1376141_3234.html> (site consulté le 30 juillet 2010).

certainement sérieusement écornée en raison, soit du manque de fiabilité de son système de sécurité, soit du laxisme de ses cadres quant à la prise de risques excessive de son salarié. En ce qui concerne plus particulièrement la confidentialité des informations, force est de constater que les agissements des salariés ne sont pas toujours conformes aux exigences en matière de protection des renseignements personnels et du droit à la vie privée. La commissaire à la vie privée du Canada a ainsi, notamment, eu à déplorer la conduite pour le moins légère d’un vice-président de société vis-à-vis des ces règles385. Ce dernier avait envoyé un message électronique à tous les salariés de l’entreprise afin d’obtenir le nom de l'employeur d’une tierce personne. Cet individu n’avait aucun lien avec l’entreprise, n’y avait jamais travaillé, à quelque titre que ce soit, et n’évoluait même pas dans le même secteur d’activité. Il s’avéra ultérieurement que la sœur du vice-président représentait en cour l'ancienne femme de ce monsieur dans le différend juridique qui les opposait. Bien que la quête du vice-président n’ait pas porté fruit, aucun employé n’ayant répondu à son message, la commissaire à la vie privée a désapprouvé ces agissements qui ne répondaient, de toute évidence, pas à des motivations professionnelles. Elle a aussi fustigé le manque de responsabilisation de la société et sa désinvolture dans la gestion des renseignements personnels et du droit à la vie privée d’autrui.

La question de la confidentialité revêt une telle importance, que la plupart des organismes prennent des mesures préventives pour minimiser les risques liés aux actes – accidentels ou volontaires – de leurs employés susceptibles d’occasionner des fuites. Outre la mise en place quasi systématique de dispositifs de filtrage, les entreprises ont de plus en plus recours à l’adjonction automatique d’un « avis de non-responsabilité » ou d’une « clause de confidentialité » à chaque courrier électronique émis depuis l’entreprise. Ces avertissements rappellent ceux qui figurent sur les formulaires de télécopie de la majorité des entreprises. Il existe des variantes à ces avis, avec des contenus plus ou moins détaillés;

385 _C

OMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA, Résumé de conclusions d'enquête en vertu de la

LPRPDÉ n° 346. Un courriel soulève des questions concernant les motifs, la crédibilité et la responsabilisation, 15 juin

toutefois, même les moins élaborées d’entre eux incluent généralement des dispositions visant la confidentialité des données et la protection de la propriété intellectuelle. On peut se demander, avec Myriam Delawari et Christophe Landat, « [q]uelle valeur accorder […] à cette "clause" élusive de responsabilité » incluse non dans un contrat mais dans un courrier386. Si le Code civil du Québec prévoit la possibilité pour toute personne de recourir à des clauses exonératoires, notamment en invoquant la force majeure de l’article 1470 C.c.Q., cette faculté est strictement encadrée et les dispositions de l’article 1476 C.c.Q., excluent expressément la possibilité pour un individu d'exclure ou de limiter, par simple avis, son obligation de réparer le préjudice causé à des tiers. Cet article leur accorde tout au plus la valeur d’une « dénonciation d’un danger ». De plus, si l’on considère que l’entreprise a un devoir général de surveillance des informations qu’elle manipule387_{, un tel}

avis ne sera certainement pas suffisant pour la dégager de sa responsabilité. Cependant, les juges pourront considérer que cet avis atteste de la bonne foi de l’employeur388, surtout si ce dernier prend soin d’avertir les destinataires non « visés » des conséquences liées à l’utilisation non autorisée des informations qu’ils n’auraient pas dû recevoir et leur indique la procédure à suivre pour mettre fin, ou à tout le moins minimiser le préjudice découlant de cette violation de la confidentialité. De plus, la personne qui a connaissance d'un tel avis est tenue de prendre les mesures qui s'imposent pour éviter le dommage et si elle ignore la mise en garde qu'il contient, « elle pourra être considérée comme ayant été elle-même fautive », ce qui pourra affecter son droit d'obtenir réparation du préjudice subi389. Autrement dit, on pourra difficilement considérer que l’employeur a rempli ses obligations s’il se contente d’adjoindre un avertissement aux messages sortants de l’entreprise et ne fait

386 _{ChristopheLANDAT et Myriam DELAWARI, « Les enjeux du développement d'Internet au regard de la relation salariale}

et pré-salariale », Droit.ntic.com, 2001, p. 111, en ligne : <http://www.droit-ntic.com/pdf/cybersurv.pdf> (site consulté le 29 juillet 2010).

387 _{E. A. C}

APRIOLI, « La qualité de fournisseur d'accès à l'internet : un nouveau risque juridique pour l'entreprise », préc.,

note 287.

388 _{C. L}

ANDAT et M. DELAWARI, préc., note 386, p. 111.

389 _{Pierre DESCHAMPS, « L'exonération et le partage de responsabilité », dans Responsabilité, Collection de droit 2007-}

rien de plus pour empêcher les activités illicites à travers son réseau ou pour inciter ses salariés à un usage responsable du système informatique. Il pourra, en revanche, plus facilement démontrer son sérieux s’il a également pris des mesures pour minimiser les risques, notamment en mettant en place un système de filtrage approprié et une politique d’utilisation des ressources informatiques dont il s’assure qu’elle est scrupuleusement respectée.

Un autre sujet de préoccupation pour les employeurs est le respect des droits de propriété intellectuelle d’autrui et, notamment, les droits d’auteur rattachés à certains documents informatiques ou les licences d’utilisation de certains logiciels. L’échange et le partage des vidéos ou de fichiers musicaux sont en hausse constante et les employés peuvent participer à ces transactions en violation de ces droits. Or, la reproduction ou le piratage d’œuvres ou de logiciels peuvent entraîner de lourdes pertes financières pour les titulaires de droits de propriété, sans compter le préjudice sur l’image de marque. Aussi ces derniers n’hésitent pas à poursuivre les personnes qui violent leurs droits ainsi que ceux qui leur apportent une aide quelconque dans la réalisation de leurs forfaits. La Northwestern University a ainsi été amenée à congédier une employée qui avait stocké plus de 2000 fichiers MP3 sur son ordinateur professionnel390. La salariée avait prétendu que ces fichiers provenaient de sa propre collection de CD et non d’un quelconque site Internet proposant des pièces musicales. Cependant, l’université avait été alertée sur des téléchargements illégaux d’œuvres musicales effectués depuis ses locaux par au moins l’une des entreprises victimes de ces activités. De même, une entreprise américaine a dû négocier un arrangement hors cour d’un montant d’un million de dollars avec l’industrie américaine du disque parce qu’elle avait mis à la disposition de ses employés un serveur destiné au téléchargement, à la conservation et au partage de fichiers MP3391.

390 _{W. G. PORTER II, M. C. GRIFFATON, préc., note 354.} 391 _Id.

En France, il existe une incrimination autonome de fourniture de moyens pour lutter contre la fraude informatique au sens large. Ainsi, la Loi pour la confiance dans l’économie numérique392 sanctionne, notamment, « le fait d’offrir, de détenir, de céder, de mettre à disposition un équipement informatique permettant la commission d’une infraction »393. De son côté, la Loi relative au droit d'auteur et aux droits voisins dans la société de l'information394 a introduit dans le Code de la propriété intellectuelle395 des dispositions concernant le téléchargement illicite et visant les différents intervenants (en amont, les fournisseurs d’accès Internet et, en aval, leurs abonnés). L’article 21 de cette loi réprime le fait d’« éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'œuvres ou d'objets protégés »396_{. Tandis que les}

articles 25 et 28 mettent en place des mesures préventives afin d’inciter les fournisseurs d’accès à sensibiliser les internautes aux dangers du téléchargement397, et les utilisateurs à veiller à ce que leur accès à l’Internet ne soit pas utilisé pour des échanges illégaux398.