Section 2 : L’exclusion du contenu de la base de données
A. La protection du contenu tirée des règles du cyberdroit
50. – Les règles relatives à la protection des données à caractère personnel. Le contenu d’une base de données peut être formé à partir de données à caractère personnel. Les droits français et sénégalais ont prévu, lorsqu’une telle situation se présente, un régime juridique spécifique qui devra s’appliquer à ce type particulier de contenu, au regard de son incidence sur les droits et libertés fondamentaux des personnes concernées. Les impératifs de protection de la vie privée des personnes physiques peuvent en effet intéresser l’encadrement juridique du contenu de certaines bases de données.
En France, le droit de chacun à sa vie privée avait été affirmé depuis 1970 à travers l’article 9 du Code civil. Cette disposition permettait déjà de sanctionner l’appréhension et la diffusion abusive d’informations relatives aux personnes, au moyen du son, de l’écrit ou de l’image. La transposition de ces règles dans le contexte des bases de données pourrait révéler certaines inadaptations, mais leur application à ces outils informationnels ne s’en trouve pas totalement contrariée. La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés201 est venue avec plus de précision organiser la protection des personnes physiques contre le traitement illicite ou illégitime de leurs données à caractère personnel.
.
201 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, JORF du 7 janvier 1978, p. 227
94 Contrairement à la France qui a assez tôt investi le domaine, le Sénégal n’a légiféré sur les données à caractère personnel qu’en 2008 avec la loi n° 2008-12 du 25 janvier202. Ce texte, en s’inspirant des expériences internationales, européenne et française en particulier, institue plusieurs régimes de protection203. Ceux-ci demeurent, du reste, gouvernés par un arsenal de principes directeurs dédiés aux activités de traitement des données à caractère personnel.
Dans les deux pays, la naissance du droit des données à caractère personnel consacre, du moins de façon implicite, « un droit primordial de la personne sur les données qui la concernent 204». Il est ainsi reconnu aux individus d’importantes prérogatives sur les données qui les concernent nommément. Il en est ainsi d’un droit à l’information205, d’un droit d’accès206, du droit d’opposition207 et d’un droit de rectification et de suppression208. Les règles de protection des données à caractère personnel ne sont pas, à première vue, destinées à préserver les intérêts de l’auteur d’une base de données qui les abrite. Sous un certain angle, elles se révèlent plutôt comme une contrainte pour cet auteur ; l’obligeant à respecter un niveau élevé de conformité aux différentes exigences liées à la préservation des droits et libertés fondamentaux des personnes concernées. En amont comme en aval, le producteur de la base de données, qui devient en l’espèce le responsable du traitement des données à caractère personnel, est obligé de respecter toutes les prescriptions légales sous peine de voir sa responsabilité pénale engagée. Le producteur ou l’auteur de la base
202 Loi n° 2008-12 du 25 janvier 2008 portant sur la Protection des données à caractère personnel, JORS n° 6406 du 3 mai 2008.
203
Voir l’exposé des motifs de la loi 2008-12 du 25 janvier 2008
204 Pierre Catala, « Ebauche d’une théorie juridique de l’information », D. 1984, chr., XVII, n° 12 p. 99.
205 Voir l’article 58 de la loi 2008-12 sur la protection des données à caractère personnel au Sénégal ou art. 27 de la loi informatique et liberté du 6 janvier 1978.
206 Voir l’article 62 de la loi 2008-12 sur la protection des données à caractère personnel au Sénégal ou les articles 34 et 35 de la loi informatique et liberté du 6 janvier 1978.
207 Voir l’article 68 de la loi 2008-12 sur la protection des données à caractère personnel au Sénégal ou l’article 26 de la loi informatique et liberté du 6 janvier 1978.
208 Voir l’article 69 de la loi 2008-12 sur la protection des données à caractère personnel au Sénégal ou l’article 36 de la loi informatique et liberté du 6 janvier 1978.
95 en question ne saurait prétendre à aucune forme de propriété sur ce type de fonds documentaire.
En somme, si le concepteur de la base a pu bénéficier de la protection de l’architecture par le droit d’auteur, il devra s’en contenter pour tirer profit de son œuvre.
51. – Les règles relatives à la lutte contre la cybercriminalité. Dans le contexte qui nous interpelle, les règles relatives à la lutte contre la cybercriminalité n’intéresseront que les bases de données électroniques. En tant que création informatique représentant une importance stratégique dans la société de l’information, lesdites bases de données peuvent faire l’objet d’actes répréhensibles au plan pénal.
Le droit pénal du cyberespace apparaît alors comme une réponse curative à l’atteinte portée contre le bien que constitue la base de données. La protection pénale des données informatisées peut ainsi constituer un bon atout pour la protection du contenu d’une base. La mise en œuvre des principes relatifs à la lutte contre la cybercriminalité se fait indépendamment de la possibilité d’appliquer d’autres mécanismes juridiques de protection à la structure de la base ou aux éléments eux mêmes. L’important est toujours de garder à l’esprit l’exclusion du contenu de la protection par le droit d’auteur sur l’ensemble de la base de données. L’indépendance du sort du contenu documentaire donne une légitimité au recours à d’autres mécanismes de protection comme le droit pénal du cyberespace.
Au Sénégal, l’adoption de la loi n° 2008-11 du 25 janvier 2008 portant sur la Cybercriminalité209 marque la consécration d’un droit pénal dédié à l’environnement dématérialisé. La France avait déjà occupé la position d’avant-gardiste dès 1988 avec la loi du 5 janvier de la même date dite loi Godfrain210. Depuis lors la France a adopté plusieurs autres textes pour renforcer son dispositif de lutte contre la cybercriminalité211.
209
Loi n° 2008-11 du 25 janvier 2008 portant sur la Cybercriminalité, JORS n° 6406 du 3 mai 2008.
210 Loi n° 88-19 du 5 janvier 1988 relative à la fraude informatique, JORF du 6 janvier 1988, p. 231.
211 Il faut relever, parmi les textes venus en renfort de la loi du 5 janvier 1988, la loi n° 2001-1062 d 15 novembre 2001 pour la sécurité quotidienne dite loi LSQ (JO du 16 nov. 2001, 18215), la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure (JO du 19 mars 2003, 4763), la loi n° 2004-204 du 9 mars 2004
96 Il en est ainsi de la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique dite LCEN212.
S’inspirant de la convention de Budapest, les deux pays ont défini dans leur Code pénal un ensemble d’infractions visant des agissements se rapportant aux technologies de l’information et de la communication. Parmi les actes répréhensibles prévus par les législations concernées, les atteintes à la confidentialité des systèmes informatiques retiendront l’attention.
Les atteintes à la confidentialité des systèmes informatiques regroupent les infractions d’accès illégal ou frauduleux à un système informatique213 et de maintien frauduleux dans un système informatique214. Selon Jean-Paul Buffelan, « il y a accès dès lors qu’un individu (…) tente de s’introduire ou s’introduit dans un système de traitement automatisé de données »215. Il s’agit là d’une approche matérialiste de l’accès qui suppose que l’acte de pénétration soit réalisé dans un lieu matériel. A cette conception matérialiste de l’accès s’oppose une conception intellectuelle défendue par Raymond Gassin. Selon lui « on doit entendre par l’accès au système comme l’équivalent de l’accès à la capacité de penser d’une personne, bien qu’il n’y ait aucune similitude entre l’intelligence humaine et les
portant adaptation de la justice aux évolutions de la criminalité (JO du 10 mars 2004, 4567), la loi n° 2004-669 du 9 juillet 2004 relative aux communications électroniques et aux services de communication audiovisuelle (JO du 10 juillet 2004, 12483), la loi n° 2006-64 du 23 janvier 2006 sur la lutte contre le terrorisme (JO du 24 janvier 2006, 0020) et la loi n° 2007-297 du 5 mars 2007 relative à la prévention de la délinquance (JO du 7 mars 2007, 4297).
212
Loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, JORF n°0143 du 22 juin 2004, p. 11168.
213 Aux termes de l’article 431-8 de la loi n° 2001-11 du 25 janvier 2008 sur la lutte contre la cybercriminalité, « Quiconque aura accédé ou tenté d’accéder frauduleusement à tout ou partie d’un système informatique, sera puni d’un emprisonnement de six (6) mois à trois (3) ans et d’une amende de 1.000.000 à 10.000.000 francs ou de l’une de ces deux peines seulement. Est puni des mêmes peines, celui qui se procure ou tente de se procurer frauduleusement, pour soi-même ou pour autrui, un avantage quelconque en s’introduisant dans un système informatique ».
214
Aux termes de l’article 431-9 de la loi n° 2001-11 du 25 janvier 2008 sur la lutte contre la cybercriminalité, «Quiconque se sera maintenu ou aura tenté de se maintenir frauduleusement dans tout ou partie d’un système informatique, sera puni d’un emprisonnement de six (6) mois à trois (3) ans et d’une amende de 1.000.000 à 10.000.000 francs ou de l’une de ces deux peines seulement. ».
97 traitements informatiques, y compris l’intelligence dite artificielle »216. Une approche plus conciliante est proposée par Jean Desèze. Pour cet auteur, le simple fait d’accéder à la capacité de réaliser des opérations intellectuelles dont est doté le système ne saurait être constitutive du délit. La réalisation de ce dernier suppose en effet que soient effectuées des « manipulations ou d’autres opérations permettant de communiquer effectivement avec le système »217. Les infractions d’accès et de maintien frauduleux dans un système informatique218 visent à sanctionner les personnes non autorisées qui cherchent à prendre connaissance des données ou informations stockées dans des systèmes de traitement automatisé de données. Leur responsabilité pénale pourra être engagée dès l’instant que la preuve du caractère frauduleux de l’accès et celle du caractère intentionnel de la pénétration illicite au système sont établies.
Quoiqu’il en soit, l’applicabilité de ces infractions aux cas des bases de données est tributaire de la possible assimilation de ces dites bases à des systèmes informatiques. Si le Sénégal ne prévoit pas de définition précise de la notion de base de données, la directive 96/9/CE du 11 mars 1996 en son article 1.2 la présente comme « un recueil d'œuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ». Il s’agit aussi de la définition reprise, à l'identique, par la loi de transposition n° 98-536 du 1er juillet 1998219.
D’un autre côté un système informatique se définit dans la Convention de Budapest comme « tout dispositif isolé ou ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un
216 Raymond Gassin, « Informatique (Fraude informatique) », Rép. pén. proc. pén. Dalloz, octobre 1995, n°100 p. 17.
217
Jean Devèze, « Atteintes aux systèmes de traitement automatisé de données », J-Cl. pén, art.323-1 à 323-7, 1997, p. 8, n° 26.
218 Le terme « système informatique » renvoie également à « système de traitement automatisé de données », en abrégé « STAD ».
98 traitement automatisé de données »220. Cette définition est reprise aussi bien en droit français qu’en droit sénégalais.
Une confrontation des définitions de « base de données » et de « système informatique » révèle qu’une base de données électronique peut être assimilé à un système informatique. Les logiciels et autres outils de fonctionnement de la base de données électronique apparentés entre eux peuvent faire de cette base un dispositif de traitement automatisé de données, qu’elle soit ouverte au public ou non. La loi sénégalaise sur la cybercriminalité définit en effet le système informatique comme « tout dispositif isolé ou non, tout ensemble de dispositifs interconnectés assurant en tout ou partie, un traitement automatisé de données en exécution d’un programme »221. La base de données électronique présente quasiment les mêmes fonctionnalités.
Dans la jurisprudence française, certains sites Internet ont pu être assimilées à des bases de données. Ce fut notamment le cas dans des litiges mettant en cause le « pillage » de bases de données ayant été mises à disposition du public sur l'Internet. Saisie à propos d'un site Internet proposant au public des offres de ventes et de locations immobilières, la cour d'appel de Paris, a d’abord considéré que le site en question constituait un « recueil de données séparables les unes des autres et comportant une méthode permettant de retrouver chacun de ses éléments constitutifs », avant de qualifier le site de base de données au sens de la directive n° 96/9/CE222.
Si les sites Internet peuvent être considérée comme des systèmes de traitement automatisé de données, le même principe prévaut également pour les bases de données.
Dès lors, toute violation de la confidentialité d’une base de données devrait être considérée comme un accès frauduleux ou un maintien frauduleux dans un système
220 Cf. article 1er de la Convention de Budapest du 23 novembre 2001sur la cybercriminalité.
221 V. art. 1er de la n° 2008-11 du 25 janvier 2008 portant sur la Cybercriminalité, JORS n° 6406 du 3 mai 2008.
222 V. CA Paris, 18 janv. 2008, Sefi c/ Éd. Neressis : JurisData n° 2008-355380. - V. aussi sur l'assimilation d'un site à une base de données, CA Aix-en-Provence, 3 sept. 2009 : www.legalis.net. En sens contraire, v. CA Paris, 21 nov. 2008 : JurisData n° 2008-373507 ; Propr. intell. 2009, n° 31, p. 175, note A. Lucas ;
RIDA juill. 2009, n° 221, p. 516, chron. P. Sirinelli ; RDLI févr. 2009, n° 1509, obs. L. Costes ; CA
99 d’information. Par conséquent, les dispositions pertinentes de lutte contre la cybercriminalité constituent un mécanisme alternatif de protection du contenu informationnel des bases de données.