Droit et usages du numérique

LES ENJEUX DE LA PROTECTION DES DONNÉES PERSONNELLES EN INFORMATIQUE

À l’ère du numérique, la protection des données personnelles est un enjeu de taille. Alors que
la dématérialisation des services et autres procédures s’accélèrent, les collectes et
manipulations de données personnelles sont devenues monnaie courante. Avec le Big Data,
la production massive de données et leur récolte sont plus que jamais d’actualité, elles sont
même devenues un élément moteur dans le développement économique.

Les entreprises et autres organismes sont ainsi toujours plus nombreux à investir dans la
collecte et l’exploitation de données personnelles, ce qui a pour conséquence l’émergence
permanente de nouveaux outils et systèmes relatifs à ces traitements.

La Loi Informatique et Libertés, créée en 1978 et modifiée en 2004, concerne l’ensemble

des traitements automatisés de données personnelles. Elle s’applique donc à tous les
secteurs qui ont recours à des données personnelles dans le cadre de leurs activités. Plusieurs
dispositions sont comprises dans cette loi, à savoir :

 L’obligation de déclarer auprès de la CNIL les fichiers contenant des données

personnelles
 L’interdiction de collecter des données à caractère sensible, c’est-à-dire
relatives à la religion, la santé, la politique, etc. (sauf exceptions)
 Le principe de collecte loyale de données
 L’obligation d’assurer la sécurité de l’ensemble des données collectées
 L’obligation d’informer les individus concernés de la collecte de leurs données
 Le droit à l’accès, la modification et la suppression des données en question

La CNIL, « institution indépendante chargée de veiller au respect de l’identité humaine, de la

vie privée et des libertés dans un monde numérique », a notamment été créée pour veiller à
la bonne application de cette Loi Informatique et Libertés.

Ainsi, la CNIL, organe décisionnel dont l’importance n’est plus à démontrer, possède un rôle
essentiel dans le maintien des principes de la Loi Informatique et Libertés. La Commission
Nationale de l’Informatique et des Libertés est, entre autres, chargée de l’évolution de cette
législation et d’en informer l’État et les citoyens dans un rapport annuel. En tant qu’autorité
administrative indépendante, la CNIL est ainsi en charge de contrôler la conformité de
l’ensemble de ces traitements de données automatisés, en adéquation avec la loi de janvier
1978.

En résumé, la Loi Informatique et Libertés du 6 janvier 1978 fait ainsi référence aux droits
des personnes et non plus seulement aux fichiers informatiques. Cette législation garantit
ainsi la liberté individuelle et publique en traitant de l’utilisation des profils automatisés,
lesquels doivent désormais être obligatoirement déclarés à la CNIL lors de leur création. De
cette manière, la Loi Informatique et Libertés précise le rôle de la CNIL en permettant de
renforcer significativement les droits des personnes quant à leurs données personnelles.

1
Les données personnelles, telles que l'âge, la localisation, le sexe ou les préférences, peuvent
sembler anodines, mais leur utilisation doit être prudente. En effet, une mauvaise
manipulation de ces informations peut poser des problèmes, notamment si des données
sensibles telles que les opinions politiques ou la santé tombent entre de mauvaises mains. De
plus, nos traces numériques permettent aux entreprises de mieux cibler leurs offres et
services. La Loi Informatique et Libertés, soutenue par la CNIL, vise à protéger les
informations personnelles et à informer chaque internaute sur la collecte de ses données.
Avec l'avènement du Big Data, cette loi a dû être mise à jour pour répondre aux nouveaux
défis de la collecte de données à l'échelle mondiale. Ainsi, le RGPD renforce les droits des
internautes en matière d'utilisation de leurs données, permettant à la CNIL de mieux protéger
les informations des utilisateurs européens, même si elles sont collectées et traitées dans le
monde entier.

LE RGPD : UNE SIMPLE MISE À JOUR DE LA LOI INFORMATIQUE ET LIBERTÉS ?

Le Règlement Général pour la Protection des Données (RGPD), en vigueur depuis le 25 mai
2018, vise à harmoniser les lois européennes sur la protection des données afin de mieux
protéger les droits des internautes européens. Contrairement à une simple mise à jour de la
Loi Informatique et Libertés, le RGPD uniformise les législations nationales des États membres
de l'UE. Chaque pays conserve la possibilité d'adapter ou d'ajouter des lois spécifiques, mais
le RGPD comprend tout de même 54 références au droit national, soulignant ainsi le rôle
continu de la Loi Informatique et Libertés en tant que fondement légal.

Le principal but du Règlement Européen pour la Protection des Données est donc avant tout
d’harmoniser au niveau européen l’ensemble des législations portant sur la protection de
données personnelles, en y ajoutant de nouvelles dispositions.

Le RGPD ne remplace pas la Loi Informatique et Libertés mais introduit des nouveautés en
réponse aux évolutions technologiques. Les entreprises doivent désormais mettre en place
des procédures internes pour garantir leur conformité au RGPD. Contrairement à la Loi
Informatique et Libertés qui exigeait des entreprises une obligation de moyens vis-à-vis de la
CNIL, le RGPD impose une obligation de résultats. De plus, les sociétés doivent suivre le
principe du "privacy by design" dans tous leurs projets, ce qui implique d'intégrer la
protection des données personnelles dès le début de chaque projet.

Définition : une donnée personnelle est toute information se rapportant à une personne
physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci
doivent en conserver la maîtrise.

Une personne physique peut être identifiée :

 directement (exemple : nom et prénom) ;

 indirectement (exemple : par un numéro de téléphone ou de plaque
d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse
postale ou courriel, mais aussi la voix ou l’image).

L’identification d’une personne physique peut être réalisée :

2
  à partir d’une seule donnée (exemple : nom) ;
 à partir du croisement d’un ensemble de données (exemple : une femme vivant à telle
adresse, née tel jour et membre dans telle association).

L'ADRESSE IP EST ELLE UNE DONNEE PERSONELLE ?

Le développement de l’internet a nécessité la création des adresses IP afin que

chaque ordinateur ait une identité, cela permet alors de reconnaître l’ordinateur lors d’une
connexion à l’internet. C’est ainsi que certaines personnes se sont demandées si l’adresse IP
constitue une donnée à caractère personnel.
Selon l’article 2 alinéa 2 de la loi « informatique et libertés » une donnée à caractère
personnelle recouvre toute information relative à une personne physique identifiée, ou qui
pourrait l’être directement ou non, par référence à un numéro d’identification ou d’autres
éléments qui lui sont propres.

A l’heure de la traque des internautes qui téléchargent illégalement des œuvres

protégées par le droit d’auteur, l’assimilation de l’adresse IP à une donnée à caractère
personnelle revêt une importance capitale.

A l’origine la loi du 6 janvier 1978 « informatique et libertés » visait les informations

nominatives. Le terme avait pour avantage d’être assez clair sur ce qui ne devait pas entrer
dans le champ d’application de la loi. La loi du 6 août 2004 a procédé à une extension du
champ d’application de la loi « informatique et libertés ».
En effet elle remplace le terme « information nominative » par celui de « donnée à
caractère personnelle ». Or cette notion est plus vaste.

La question s’est donc posée de savoir si l’adresse IP devait être considérée comme
une information permettant d’identifier une personne indirectement, donc comme étant une
donnée à caractère personnelle.

L’adresse IP (pour « Internet Protocol ») est le numéro qui permet d’identifier

chaque ordinateur sur le réseau Internet.

Plus largement, tout appareil permettant l’accès au réseau internet possède une
adresse IP. La plupart du temps, cette adresse IP est dite « dynamique » : l’adresse est en effet
assignée automatiquement à l’ordinateur dès le moment où il se connecte sur le réseau.
L’adresse IP peut également être fixe, c’est-à-dire qu’il faudra entrer manuellement l’adresse
au moment de la connexion.

La CNIL en France, s’occupe de prévenir des atteintes par des moyens informatiques à
la vie privée, aux droits de l’Homme, à l’identité humaine et aux libertés individuelles et
publiques des individus, conformément à la loi du 6 janvier 1978 précitée.

L’adresse IP permet aux machines de communiquer entre elles. La CNIL trouve donc
parfois à agir quant à ces interactions, et notamment au sujet de la qualification de l’adresse
IP en tant que donnée personnelle : en effet, c’est là que réside tout le nœud du problème.
L’adresse IP ne renvoie pas à une personne directement, mais à une machine, or cette
dernière peut être utilisée par une pluralité de personnes.

3
La CNIL, en France, considère les adresses IP comme des données personnelles, mais cette
opinion a été contestée par deux arrêts de la cour d'appel de Paris en 2007, soulignant que
les adresses IP ne sont pas directement liées à des individus mais plutôt à des machines.

Le RGPD clôt définitivement ce débat en visant les « identifiants en ligne » parmi les données
permettant de rendre identifiables des personnes physiques. Le RGPD clarifie que les
"identifiants en ligne", comme les adresses IP ou les cookies, peuvent rendre une personne
identifiable. Ces identifiants laissent des traces qui, lorsqu'associées à d'autres informations,
peuvent être utilisées pour créer des profils et identifier les personnes.

Notion de données « sensibles »

Les données sensibles forment une catégorie particulière des données personnelles.

Ce sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions
politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi
que le traitement des données génétiques, des données biométriques aux fins d'identifier
une personne physique de manière unique, des données concernant la santé ou des données
concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Le règlement européen interdit de recueillir ou d’utiliser ces données, sauf, notamment, dans
les cas suivants :

 si la personne concernée a donné son accord

 si les informations sont rendues publiques par la personne concernée ;
 si elles sont nécessaires à la sauvegarde de la vie humaine ;
 si leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL ;
 si elles concernent les membres ou adhérents d'une association ou d'une organisation
politique, religieuse, philosophique, politique ou syndicale.

« Traitement » de données
Le RGPD établit des règles pour le traitement des données personnelles, qui incluent un large
éventail d'opérations. Selon sa définition, le traitement comprend toute action réalisée,
automatisée ou non, sur des données personnelles, comme la collecte, l'enregistrement, la
consultation, ou la destruction. Cela couvre diverses activités telles que la création de bases
de données, la publication de sites web, ou la vidéosurveillance. Les activités strictement
personnelles ou domestiques ne sont pas concernées par le RGPD, mais dès lors qu'elles ont
un but commercial ou professionnel, elles doivent se conformer à la loi. Le RGPD s'applique
également aux traitements manuels de données, y compris les fichiers physiques ou les
classeurs.
Le "responsable du traitement" est celui qui décide de ce qui doit être fait avec les données
personnelles. Ce n'est pas forcément la personne qui collecte ou stocke les données, mais
celle qui choisit pourquoi et comment les données sont utilisées. Le RGPD reconnaît
également les situations où plusieurs parties peuvent être des "responsables conjoints" du
traitement, ce qui signifie qu'ils partagent la responsabilité de prendre des décisions sur les
données.

4
Avant le 25 mai 2018, le traitement des données personnelles était soumis à certaines règles
établies par la loi Informatique et Libertés. Pour simplifier, ces règles étaient les suivantes : le
traitement était autorisé s'il n'était pas explicitement interdit, s'il ne concernait pas des
données sensibles, s'il respectait des conditions de forme telles que la procédure de
déclaration ou d'autorisation, et s'il respectait les principes de la loi de 1978, notamment en
termes d'information et de consentement des personnes concernées. Il existait deux niveaux
de formalités : la déclaration préalable pour les traitements de données courants et
l'autorisation préalable pour les traitements plus intrusifs, comme ceux impliquant des
données biométriques. De plus, les organisations pouvaient nommer un Correspondant
Informatique et Libertés (CIL) pour s'assurer du respect des règles.

Le RGPD a changé les règles sans bouleverser les principes de base. Il protège mieux les
utilisateurs et ajoute de nouvelles règles pour les responsables de traitement. Par exemple, il
garantit le droit à l'oubli et à la portabilité des données. Les responsables de traitement n'ont
plus besoin d'obtenir une autorisation avant de commencer, mais ils doivent prouver qu'ils
respectent les règles. Ils doivent aussi communiquer clairement avec les utilisateurs et
anticiper les changements technologiques. Le RGPD crée également un nouveau poste, le
DPO, qui remplace le CIL et a un rôle plus étendu.

Les conditions de fond

Pour qu'un traitement de données personnelles soit autorisé selon le RGPD, il doit respecter
certaines conditions. Tout d'abord, il ne doit pas être interdit par le RGPD, notamment s'il
concerne des données sensibles. Ensuite, le responsable du traitement et ses sous-traitants
doivent respecter un certain nombre d'obligations, et le traitement lui-même doit répondre à
des conditions de fond.

Les conditions de fond (RGPD), reprenant les principes énoncés dans la loi de 1978. Ces
principes, tels que la licéité, la loyauté et la transparence, doivent guider la conception et
l'exploitation du traitement des données personnelles. Ils découlent des obligations du
responsable de traitement et des droits des personnes concernées.

Ces données ne doivent pas être traitées ultérieurement de manière incompatible avec ces
finalités. Il est cependant permis d'utiliser les données à des fins archivistiques, de recherche
scientifique, historique ou statistique.

De plus, les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire
pour les finalités du traitement, ce qui signifie qu'il faut limiter les données collectées aux
informations pertinentes. Les données doivent également être exactes et tenues à jour si
nécessaire, et toute donnée inexacte doit être corrigée ou effacée. Enfin, les données doivent
être conservées uniquement pendant la durée nécessaire aux finalités du traitement, et des
mesures appropriées doivent être prises pour garantir leur sécurité, y compris contre tout
accès non autorisé ou perte accidentelle.

Le consentement (accord) de la personne concernée

5
Le RGPD exige un consentement clair et spécifique des personnes concernées avant tout
traitement de leurs données personnelles. Ce consentement doit être donné de manière libre,
éclairée et univoque, et ne peut pas être présumé. Il doit être obtenu avant la collecte des
données, être spécifique à chaque traitement et clairement distingué des autres questions.

Les obligations à la charge du responsable de traitement

Le RGPD impose au responsable de traitement de prendre en charge la conformité aux règles

de fond. Avec la disparition des contrôles préalables, la responsabilisation devient
primordiale. Le responsable doit prouver sa conformité en évaluant et en prenant des
mesures pour respecter le RGPD. Il doit mettre en place des mesures internes, tenir un
registre des activités de traitement, réaliser une analyse d'impact, et désigner un Délégué à la
Protection des Données dans certains cas. En cas de violation de données, il doit alerter et
prendre des mesures correctives. La cartographie des traitements est essentielle pour assurer
la conformité.

Les droits reconnus aux personnes concernées par le traitement

Le RGPD accorde plusieurs droits aux personnes concernées par le traitement de leurs
données. Ils incluent le droit à l'information sur le traitement, le droit d'accès aux
informations détenues, le droit de rectification des données erronées, le droit à l'effacement
ou "droit à l'oubli", le droit à la limitation du traitement, le droit à la portabilité des données,
le droit d'opposition, et le droit de ne pas faire l'objet d'une décision individuelle
automatisée. Ces droits offrent aux individus un contrôle accru sur leurs données
personnelles et visent à garantir leur protection et leur respect de la vie privée.

Le contrôle/la sanction

Les violations des règles concernant la protection des données personnelles peuvent
entraîner des sanctions administratives et pénales. Les sanctions administratives, décidées par
la CNIL, comprennent des mesures correctrices telles que des rappels à l'ordre, des
injonctions de faire, ainsi que des amendes pouvant aller jusqu'à 20 millions d'euros ou 4%
du chiffre d'affaires annuel mondial de l'entreprise. Les sanctions pénales sont fixées par la
législation nationale et incluent des peines pouvant aller jusqu'à 5 ans d'emprisonnement et
300 000 euros d'amende. La CNIL, en tant qu'autorité administrative indépendante, a pour
mission d'informer les individus de leurs droits et les professionnels de leurs obligations en
matière de protection des données, ainsi que de contrôler et sanctionner les violations de ces
règles.

La communication d’une collectivité

Les collectivités doivent respecter plusieurs règles lors de la communication avec le public,
notamment sur les sites internet. Pour les sites vitrines, la collectivité est responsable du

6
traitement des données et doit fournir les informations nécessaires. Les formulaires en ligne
pour recueillir des informations des administrés nécessitent une information spécifique et
une réflexion sur la pertinence des données demandées. Les téléservices administratifs
doivent respecter toutes les obligations de protection des données, avec une attention
particulière sur la pluralité des identifiants et le cloisonnement des données entre services.
Bien que le cloisonnement soit une norme, des initiatives de partage d'informations entre
entités publiques sont en cours pour simplifier les démarches administratives, ce qui souligne
l'importance de bien informer les usagers sur la nature et l'utilisation de leurs données.

La communication de données protégées

La communication de données à caractère personnel détenues par un service administratif

est très encadrée. Il est primordial de respecter le principe de confidentialité et de ne les
partager qu'avec des organismes autorisés. Les demandes doivent être légitimes, écrites et
présentées par une personne habilitée. Les modalités de communication doivent être
sécurisées. Les tiers autorisés incluent notamment l'administration fiscale, l'administration de
la justice, la police, les organismes sociaux et les huissiers de justice sous certaines conditions.
Les institutions publiques sont confrontées à un défi complexe, car elles doivent concilier les
règles de protection des données avec la modernisation de l'État, notamment par le biais de
la dématérialisation des services.

CHAPITRE II. La dématérialisation des services administratifs et les enjeux de

l’administration électronique

L'équivalence juridique entre le courrier électronique et le courrier sur support papier

L'ordonnance du 8 décembre 2005 établit une équivalence juridique entre les échanges
électroniques et le courrier papier avec les administrations. Elle garantit que les demandes
faites par voie électronique reçoivent un accusé de réception ou d'enregistrement. Pour
respecter les délais, la date de réception de cet accusé fait foi, même s'il n'est pas instantané.
Cette équivalence est renforcée par l'article L112 8 du Code des relations entre le public et
l'administration, et la loi pour une République numérique de 2016, qui établit que l'envoi
recommandé électronique est équivalent à l'envoi par lettre recommandée s'il répond aux
exigences du règlement européen sur l'identification électronique et les services de
confiance.

Légifrance, lancé en 2002, permet d'accéder au droit en ligne. Les circulaires ont également
leur propre site. Pour éviter la dispersion des informations publiques, service-public.fr a été
créé.

Avant 2015, seuls certains actes administratifs étaient rendus opposables par leur publication
électronique au Journal officiel. Les autres devaient être imprimés.

Cependant, l'accès au droit reste inégal car tout le monde n'a pas Internet. Depuis 2016, le
Journal officiel n'est disponible qu'en version électronique.

7
La communication des documents administratifs

La communication des documents administratifs a connu une évolution vers plus de

transparence depuis les années 70. Le Code des relations entre le public et l'administration
(CRPA) régit désormais ce domaine.

La Commission d'accès aux documents administratifs (Cada), créée en 1978, est le premier
interlocuteur pour toute demande d'accès à un document administratif. Toute personne ou
autorité administrative peut la saisir pour éclaircir la communicabilité d'un document.

La loi pour une République numérique de 2016 a renforcé ces règles en permettant la
communication entre administrations et en reconnaissant la communicabilité des codes
sources et algorithmes. Les demandeurs peuvent même demander la publication en ligne des
documents, sous certaines conditions.

Cependant, cette communication est soumise à des restrictions pour éviter les abus,
notamment en excluant les documents en cours de production.

L’open data et la réutilisation des données publiques

L'open data et la réutilisation des données publiques sont des principes visant à rendre
accessibles et réutilisables les informations produites ou reçues par les administrations
publiques. Ces données doivent être présentées dans un format permettant leur traitement
automatisé.

La réutilisation des données publiques concerne les documents communicables et exclut les
documents préparatoires et non définitifs de l'administration. L'ordonnance de 2005 et la loi
de 2015 ont renforcé ce principe, notamment en établissant la gratuité de l'accès aux
données, tout en permettant une redevance dans certains cas.

La réutilisation des données publiques est réglementée par le Code des relations entre le
public et l'administration, et comporte un enjeu économique important, favorisant le
développement d'applications innovantes et de nouveaux services.

Débats

Le mouvement "open data" vise à rendre accessibles et réutilisables les données publiques
non nominatives, dans le but de renforcer la transparence et la démocratie. Cependant,
malgré l'intérêt suscité par cette démarche, des débats persistent. La question de la gratuité
pose également un problème, car la collecte et la mise à disposition des données peuvent
représenter un coût pour les entités publiques. La réutilisation des données publiques est
encadrée par des contraintes techniques et juridiques, notamment en ce qui concerne la
protection des données personnelles. Malgré les efforts pour promouvoir l'open data, son
impact concret reste limité, bien que des initiatives soient régulièrement lancées pour
stimuler cette démarche.

CHAPITRE III. La propriété intellectuelle

8
La propriété intellectuelle englobe les droits attachés aux créations immatérielles, comme les
œuvres de l'esprit. Sur Internet, ces droits sont omniprésents et peuvent être violés. Deux
grandes branches de la propriété intellectuelle existent : la propriété industrielle et la
propriété littéraire et artistique. Elles confèrent un monopole d'exploitation temporaire aux
titulaires, mais ce monopole est encadré pour éviter les abus. La violation de ces droits est
appelée contrefaçon.

La propriété industrielle englobe les droits qui protègent les aspects économiques des
créations. Les principaux droits sont les brevets, les marques et les dessins et modèles. Ces
droits naissent par le dépôt auprès d'organismes comme l’Institut National de la Propriété
Industrielle (Inpi). Ils sont limités dans le temps et ne doivent pas empêcher la concurrence.
Par exemple, un brevet dure 20 ans, une marque 10 ans et peut être renouvelée. Les marques
sont spécifiques à certaines catégories de produits ou de services. Les indications
géographiques sont également protégées.

La propriété littéraire et artistique(droit d’auteur)

Au 16ème siècle, les éditeurs bénéficient d'un privilège royal pour protéger leurs
investissements dans l'imprimerie, marquant les débuts des droits d'auteur. La Révolution
consacre le monopole de l’auteur sur sa création. Au 19ème siècle, le droit exclusif de l'auteur
est étendu à 50 ans et le droit moral est établi par la Cour de cassation en 1902.
Contrairement au copyright anglo-saxon, le droit d’auteur français est centré sur la personne
du créateur de l’œuvre, ce qui inclut un droit moral. Le Code de la propriété intellectuelle
définit le droit d’auteur comme un droit exclusif dès la création de l'œuvre, sans besoin de
dépôt. Pour être protégée, une œuvre doit être originale et dépasser le stade de la simple
idée.

L’originalité de la création

Une œuvre doit résulter d'une activité humaine créatrice, ce qui implique généralement
qu'une personne physique soit l'auteur (contrairement au copyright). Selon la Cour de
cassation, le critère de protection est « l'empreinte de la personnalité de l’auteur », ce qui
signifie que l'œuvre doit refléter la personnalité de son créateur pour être protégée. Ce
critère subjectif est différent des critères objectifs de la propriété industrielle. En pratique,
l'originalité est souvent présumée, mais examinée par le juge en cas de litige. Cependant,
cette perception classique est remise en question par l'influence croissante de la philosophie
du copyright, notamment dans le contexte du financement de l'œuvre par une personne
morale. De plus, le développement de l'intelligence artificielle soulève des questions sur le
concept d'originalité, notamment avec des outils capables de produire des créations
autonomes, telles que des œuvres d'art ou des contenus textuels.

La mise en forme de l’idée

Pour être protégé par le droit d'auteur, il ne suffit pas d'avoir une idée, même brillante. Cette
idée doit être concrétisée sous une forme tangible, comme un croquis ou un scénario. On ne
peut pas revendiquer la propriété d'une idée seule, car les idées sont considérées comme

9
libres et ouvertes à tous. Cependant, la frontière entre une simple idée et une idée mise en
forme peut parfois être floue, notamment dans des domaines comme le cinéma. Par
exemple, l'œuvre "Fontaine" de Marcel Duchamp, qui est un simple urinoir, est considérée
comme une œuvre d'art parce que l'artiste l'a présentée comme telle. En d'autres termes,
l'auteur doit avoir apporté une contribution originale et identifiable à l'idée pour qu'elle soit
protégée par le droit d'auteur.

Qui détient les droits d’auteur?

En théorie, le créateur est le titulaire initial des droits d'auteur. Cependant, en pratique, la
situation peut devenir complexe. Plusieurs scénarios peuvent se présenter :

- Œuvre collective ou plurielle : L'œuvre peut être le résultat de la collaboration de plusieurs

auteurs, qui n'ont pas nécessairement contribué de manière égale.

- Création salariée : Lorsque l'œuvre est créée dans le cadre d'un emploi, la question se pose
de savoir si les droits appartiennent à l'employeur ou à l'employé.

- Titulaire des droits : Il peut y avoir une distinction entre le titulaire initial des droits, qui est
une personne physique, et la personne morale qui exerce ces droits à sa place, souvent des
sociétés de gestion collective des droits.

 Il existe plusieurs types d'œuvres impliquant la participation de multiples auteurs :

1.Œuvre de collaboration : C'est une œuvre résultant de la contribution de plusieurs

personnes physiques travaillant ensemble, comme un dessinateur et un scénariste pour une
bande dessinée, ou un compositeur et un librettiste pour un opéra. Cela crée une forme de
copropriété sur l'œuvre.

2.Œuvre composite : Il s'agit d'une œuvre nouvelle contenant une œuvre préexistante, mais
sans la collaboration de son auteur. Par exemple, une adaptation cinématographique d'un
roman. L'auteur de l'œuvre composite détient les droits sur celle-ci, mais doit obtenir les
droits de l'œuvre préexistante pour son exploitation.

3.Œuvre collective : Dans ce cas, un groupe d'auteurs travaille sous la direction d'une
personne physique ou morale qui coordonne le projet. Cela peut être le cas dans des ateliers
d'écriture pour des séries télévisées. Les droits d'une œuvre collective peuvent être attribués
à une personne morale, et les juges cherchent à déterminer s'il existe une relation
hiérarchique dans le processus de création, limitant ainsi la liberté créative individuelle des
auteurs.

Le cas de la création salariée

Lorsqu'une œuvre est créée dans le cadre d'un emploi, le créateur, même salarié, détient en
principe les droits d'auteur, sauf si ceux-ci sont cédés à l'employeur. Pour les agents publics,
l'employeur acquiert automatiquement ces droits pour les œuvres créées dans le cadre de
leurs fonctions. Cependant, cette règle ne s'applique qu'aux créations réalisées sous un

10
pouvoir hiérarchique. Les enseignants du primaire, soumis à des directives nationales et à un
contrôle hiérarchique, sont souvent concernés. En revanche, les professeurs d'université, plus
indépendants, peuvent généralement conserver leurs droits. Cependant, leurs droits moraux
peuvent être partiellement restreints, mais le droit de paternité reste normalement préservé.

Les Droit patrimoniaux

Les droits patrimoniaux de l'auteur comprennent deux principaux droits : le droit de

reproduire son œuvre (la copier) et le droit de la représenter (la montrer ou la jouer en
public). La reproduction concerne la fixation matérielle de l'œuvre, tandis que la
représentation implique la communication directe au public. Par exemple, lorsque vous
numérisez une œuvre, c'est de la reproduction, et lorsque vous la montrez à l'écran, c'est de
la représentation.

Le Droit moral de l’auteur

Le droit moral de l'auteur, quant à lui, inclut plusieurs aspects :

1. Le droit de décider si oui ou non son œuvre peut être diffusée publiquement (droit de
divulgation).

2. Le droit de s'opposer à toute altération ou modification de son œuvre (droit au respect de

l'intégrité).

3. Le droit d'être reconnu en tant qu'auteur de son œuvre (droit à la paternité).

4. Le droit de retirer ou de stopper la publication de son œuvre, sous certaines conditions

(droit de retrait ou de repentir).

Les limitations au droit exclusif de l'auteur sont fixées par la loi. Par exemple, la durée des
droits patrimoniaux est limitée à 70 ans après la mort de l'auteur. Pendant cette période,
l'auteur ne peut pas interdire toutes les utilisations de son œuvre. Il y a aussi des exceptions
prévues par la loi, comme le droit de représenter l'œuvre dans le cadre familial, de faire des
copies pour un usage strictement privé, d'utiliser de courtes citations pour des analyses, etc.
Ces exceptions permettent une utilisation limitée de l'œuvre sans avoir à obtenir
l'autorisation de l'auteur à chaque fois.

Les limites légales

Les droits d'auteur ne sont pas illimités. Ils sont soumis à des limites légales. Par exemple, la
durée des droits patrimoniaux est de 70 ans après la mort de l'auteur. Au-delà de cette
période, l'œuvre tombe dans le domaine public, bien que les droits moraux continuent
d'exister et peuvent être exercés par les héritiers.

Même pendant la durée du monopole, l'auteur ne peut pas interdire toutes les utilisations de
son œuvre. Il existe des exceptions au monopole de l'auteur, énumérées dans le code de la
Propriété intellectuelle. Ces exceptions incluent la représentation dans le cadre familial, la
copie à usage privé, les analyses et courtes citations pour des usages critiques,

11
pédagogiques, etc., ainsi que les parodies et pastiches réalisés à des fins humoristiques sans
confusion avec l'œuvre originale.

Les bases de données, qu'elles soient informatiques ou sur support papier, sont protégées de
deux manières :

Protection par le droit d'auteur : La structure de la base de données est protégée si elle est
originale, c'est-à-dire si le choix ou l'organisation des éléments révèlent une création
intellectuelle. Par exemple, un classement par date ou zone géographique ne suffit
généralement pas à être considéré comme original.

Droit sui generis du producteur de la base de données : Ce régime spécifique protège

contre la réutilisation des données contenues dans la base. Il vise à éviter qu'un concurrent
puisse profiter du travail important et coûteux de collecte et d'ordonnancement des données.
Cette protection est accordée au producteur de la base de données ayant fourni un effort
substantiel, tant qualitatif que quantitatif, pour la crée.

CHAPITRE IV. L’usage des TIC dans l’environnement professionnel

L'utilisation des technologies de l'information et de la communication (TIC) dans le milieu

professionnel est encadrée par le droit du travail, qui doit concilier la nécessaire
subordination des employés à leur employeur avec le respect de leurs droits fondamentaux,
tels que le droit à la vie privée.

Internet est désormais un outil de travail, mais son utilisation excessive à des fins
personnelles peut entraîner des problèmes de productivité pour l'employeur. Les abus, tels
que l'utilisation inappropriée des réseaux sociaux pour critiquer l'employeur, sont également
des sujets de litige courants.

Le devoir de loyauté de l’employé

Le devoir de loyauté de l'employé implique une utilisation raisonnable des outils

informatiques mis à disposition par l'employeur. Les excès sont sanctionnés par la
jurisprudence, bien que la qualification de ces abus soit souvent subjective et factuelle.

La fréquentation de certains sites, comme ceux à caractère pornographique, peut constituer

une faute grave entraînant un licenciement, surtout si elle affecte la productivité du salarié.
Cependant, la preuve du préjudice pour l'employeur est souvent difficile à établir.

En revanche, des actions telles que le verrouillage du poste de travail sans autorisation de
l'employeur peut également être considérées comme des fautes graves.

Le pouvoir de contrôle de l’employeur

Les employeurs ont le droit de contrôler leurs employés afin d'assurer le bon déroulement
des missions et de prévenir les abus. Cependant, les méthodes de surveillance clandestines

12
sont interdites. En cas de faute commise par un employé pendant son travail ou en utilisant
les moyens fournis par l'employeur, ce dernier peut engager sa responsabilité en tant que
commettant.

Les tribunaux ont validé des licenciements pour faute grave dans des cas de téléchargements
illicites effectués par des salariés. Par exemple, en 2007, la cour d'appel de Paris a considéré
qu'il était justifié de licencier un administrateur ayant téléchargé des fichiers contrefaits,
mettant ainsi en danger la sécurité de l'entreprise.

Les deux types de contrôle : a priori ou a posteriori

1 Les contrôles a priori consistent à filtrer les contenus dès l'accès au réseau. Ils empêchent la
consultation de sites non autorisés et restreignent les activités des employés, par exemple en
interdisant le téléchargement de fichiers ou l'accès à la messagerie personnelle. Bien que
simples techniquement, ces dispositifs limitent la liberté des employés, comme dans le cas
des banques où le transfert de fichiers volumineux est bloqué.

2 Les contrôles a posteriori impliquent un suivi des connexions et des activités des employés
après coup. Cela inclut le suivi des heures de connexion, la durée d'utilisation de l'ordinateur
et même le contenu échangé sur Internet.

Les principes encadrant les dispositifs de contrôle

Les dispositifs de contrôle dans le cadre professionnel doivent respecter plusieurs principes :

-Principe de limitation des finalités : Le contrôle doit être utilisé uniquement dans le but
précis pour lequel il a été mis en place. Par exemple, un système de vidéosurveillance
autorisé pour surveiller les clients d'un magasin ne doit pas être utilisé pour surveiller les
employés sans leur consentement préalable.

-Principe de minimisation des données : Le contrôle ne doit collecter que les données
nécessaires à son objectif légitime. Par exemple, les systèmes de vidéosurveillance doivent
être positionnés pour garantir la sécurité des personnes et des biens, et non pour surveiller
les activités des employés. De même, les dispositifs de géolocalisation ne doivent être utilisés
que lorsque des alternatives moins intrusives ne sont pas possibles.

Principe de loyauté et obligation d’information

Les employeurs ont l'obligation d'informer préalablement les employés sur tous les
dispositifs de contrôle mis en place. Cette information doit être claire, écrite et diffusée
individuellement à tous les salariés concernés. La communication par simple affichage n'est
pas considérée comme suffisante par la jurisprudence et la Cnil.  En résumé, tout dispositif
de contrôle doit respecter la vie privée des employés et ne doit pas être détourné de ses
objectifs légitimes.

13
Limite : l’inviolabilité des correspondances

L'employeur n'a pas le droit de prendre connaissance des correspondances personnelles de

ses employés, qu'elles soient physiques ou numériques, même si l'utilisation de l'ordinateur
est interdite à des fins non professionnelles. Cependant, l'employeur peut accéder aux
messages professionnels, y compris à la messagerie électronique, même en cas d'absence de
l'employé. Pour distinguer les messages personnels des professionnels, la jurisprudence
présume que les dossiers et fichiers créés sur l'ordinateur professionnel ont un caractère
professionnel, sauf si l'employé les identifie comme étant personnels. Cette présomption
s'étend également aux pages Internet et aux périphériques tels que les clés USB. Il est donc
important pour l'employé de bien identifier les éléments à caractère personnel pour les
protéger de l'accès de l'employeur.

Principes de base de l’hygiène informatique

Pour une bonne hygiène informatique, il est essentiel de prendre quelques précautions
simples mais importantes. Tout d'abord, il faut être conscient des risques sans devenir
paranoïaque. Même si vous pensez ne pas avoir de données intéressantes, votre accès peut
être utilisé pour attaquer d'autres personnes ou réseaux. Par exemple, lorsque vous utilisez
des réseaux Wi-Fi publics, considérez-les comme non sécurisés et utilisez un VPN
professionnel pour protéger vos données.

Ensuite, en cas de doute sur la sécurité de votre mot de passe, ne prenez aucun risque et
changez-le immédiatement. Il est également important de séparer vos usages personnels et
professionnels, même en dehors des heures de travail, en utilisant de préférence vos
équipements professionnels pour le travail et vos équipements personnels pour les activités
privées.

De plus, utilisez des mots de passe uniques et solides pour chaque compte, en évitant de les
enregistrer dans les navigateurs. Les navigateurs sont souvent vulnérables et peuvent être
ciblés par des logiciels malveillants, il est donc préférable de ne pas leur faire confiance pour
stocker des mots de passe. En suivant ces conseils simples, vous pouvez réduire
considérablement les risques liés à la sécurité informatique.

14