Résumé

Le secret est une composante essentielle de l'État de droit dans une société démocratique.
Le dépositaire doit toujours répondre personnellement des violations du secret qui seraient commises de son fait, par négligence ou imprudence.
Mis à l'épreuve du numérique qui amplifie les risques d'atteintes au secret (I), il est de la responsabilité du dépositaire du secret de prendre des mesures adaptées et proportionnées de cybersécurité (II).

Le secret ne semble pas faire l'objet d'une définition légale commune. Il serait l'information « qui n'est connu[e] que d'un nombre limité de personnes »(1). Il se distinguerait du devoir comme de l'obligation de réserve(2), de discrétion(3) et de confidentialité(4). Pour autant, il est visé par de nombreux textes officiels, se déclinant dans un large spectre de matières juridiques, avec des règles de protection et de dérogation assez strictes, élaborées pour certaines depuis le XVe siècle. Leur violation est sanctionnée. Leur durée de vie est variable.

On y trouve aussi bien le secret des données personnelles(5), le secret des correspondances(6), le secret des affaires, le secret bancaire(7), le secret d'État(8), le secret des sources(9), le secret de l'enquête et de l'instruction(10), le secret du délibéré, le secret de l'avocat, le secret médical(11), le secret du vote(12), le secret de la confession(13)...

Certains servent des intérêts publics, d'autres préservent des intérêts privés.

Dans certains cas, le dépositaire est tenu à un secret absolu opposable même au juge. Tel est le cas du médecin, de l'avocat et du prêtre qui « ne pourraient accomplir leur mission si les confidences qui leur sont faites n'étaient assurées d'un secret inviolable. Il importe donc à l'ordre social que ces confidences nécessaires soient astreintes à la discrétion, et que le silence leur soit imposé sans condition ni réserve, car personne n'oserait plus s'adresser à eux si on pouvait craindre la divulgation d'un secret confié. Ainsi, l'article 378 a pour but moins de protéger la confidence d'un particulier que de garantir un devoir professionnel indispensable à tous »(14). Ce secret absolu est institué dans l'intérêt de la société, pour son bon fonctionnement. C'est pour cette raison que sa violation est pénalement sanctionnée en vertu de l'article 226-13 du Code pénal(15).

Dans d'autres cas, le dépositaire est tenu à un secret professionnel « relatif », c'est-à-dire qu'il doit révéler ce qu'il sait lorsqu'il est interrogé par un juge. Il s'agit notamment des banquiers, des préposés des postes, des éducateurs...

Mais, dans tous les cas, le secret apparaît indiscutablement comme une composante essentielle de l'État de droit dans une société démocratique.

Le secret est désormais mis à l'épreuve de la société du numérique. Quels sont les défis auxquels il est confronté ?  (A). Comment peut-il être préservé dans l'environnement numérique ?  (B).

A. Les défis de la société du numérique

La société du numérique ouvre la faculté pour chacun, partout dans le monde, d'informer et d'accéder à l'information au moyen des nouvelles technologies de l'information et de la communication. Cette culture de la transparence (1) se double de moyens de surveillance des citoyens mis en œuvre par les États, officiellement pour assurer leur sécurité (2). Il faut également compter avec l'inflation des cyberattaques qui fragilisent, partout dans le monde, les entreprises et les institutions (3).

1. Une culture de la transparence

Les technologies, omniprésentes, offrent au citoyen les moyens d'une visibilité permanente. De manière ambivalente, alors que le secret a notamment pour vocation de le protéger, de le mettre à l'abri contre toute intrusion dans sa vie privée, voire professionnelle, le citoyen n'hésite pas à se « déshabiller numériquement », à ouvrir sa sphère d'intimité, en livrant des informations très personnelles. Il suffit de parcourir les réseaux sociaux pour constater que le citoyen qui s'insurge contre toute atteinte portée à sa vie privée, n'hésite pas de lui-même à partager, sans pudeur et en vrac, photos de famille et états d'âme !

L'avocat dont le secret professionnel est d'ordre public, général, et absolu(16), quels que soient les supports matériels ou immatériels utilisés, n'échappe pas à cette tentation. Tel est le cas lorsqu'il commente son activité sur les réseaux sociaux ou qu'il livre certaines informations personnelles sur son fil professionnel. La ligne rouge peut être vite franchie, car même s'il ne dévoile pas le nom de ses clients ou ne communique pas des données nominatives sur un dossier ou sur son agenda, certaines fonctionnalités peuvent livrer des informations confidentielles. La géolocalisation, par exemple, souvent paramétrée par défaut, permet de suivre les déplacements de l'avocat, de situer l'endroit où il est, d'opérer des recoupements qui peuvent ainsi conduire à identifier une adresse, le nom d'une société, l'adresse du client(17)... et ainsi, à dévoiler tout ou partie d'un secret.

Parallèlement, l'avènement des nouvelles technologies a poussé à son paroxysme le désir du citoyen d'être pleinement informé, de pénétrer les coulisses de la connaissance. C'est ce qu'Edwy Plenel appelle « le droit de savoir ». Il considère en effet « qu'un journaliste fait son travail quand il apprend au public ce qui lui échappe, ce qu'on ne voudrait pas qu'il sache, ce qu'on lui dissimule ou qu'on lui cache, ce qui lui est méconnu ou inconnu, bref tout ce qui ne ressort pas de la communication d'où qu'elle vienne »(18). La Cour de cassation a eu l'occasion de réaffirmer le principe de protection des sources journalistiques(19). Quant à la Cour européenne des droits de l'homme, elle estime que c'est la nécessité d'informer le public qui rend le secret des sources légitime : « La protection des sources journalistiques est l'une des pierres angulaires de la liberté de la presse [...]. L'absence d'une telle protection pourrait dissuader les sources journalistiques d'aider la presse à informer le public sur des questions d'intérêt général »(20).

C'est également ce « droit de savoir » qui légitime le signalement du lanceur d'alerte dont la protection(21) a été encore renforcée par la loi du 21 mars 2022(22), dite loi Waserman, entrée en vigueur le 1er septembre 2022. Il bénéficie d'une double immunité : sa responsabilité ne peut être mise en cause ni sur le plan civil, au titre des dommages causés par son signalement ou divulgation, ni sur le plan pénal pour soustraction, détournement ou recel de documents, ou de tout support contenant les informations, objets de l'alerte.

2. La surveillance par les États

Le législateur, tant européen que national, considère parfois que certains secrets doivent céder le pas en présence des intérêts supérieurs de l'État, par exemple pour lutter contre le terrorisme et la criminalité organisée. Dans cet objectif, il a renforcé les pouvoirs et les moyens des autorités chargées d'enquête dans l'environnement numérique. Ainsi, le juge des libertés et de la détention (JLD), saisi par le procureur de la République par voie de requête, peut autoriser l'interception, l'enregistrement et la transcription de correspondances émises par la voie des communications électroniques selon certaines modalités(23).

Le déploiement de nouvelles techniques d'investigation, de captation des données inévitablement fragilise le secret, notamment la confidentialité des échanges entre l'avocat et son client. Pourtant, le Parlement européen, dans sa résolution du 12 mars 2014(24) « juge capital de protéger le secret professionnel des avocats [...] contre les activités de surveillance de masse ; souligne en particulier que toute incertitude concernant la confidentialité des communications entre les avocats et leurs clients pourrait avoir des incidences négatives sur le droit d'accès des citoyens de l'Union européenne à l'assistance juridique et à la justice, ainsi que le droit à un procès équitable ». Le Conseil consultatif des barreaux européens (CCBE) a exprimé, pour les mêmes raisons, de manière répétée depuis 2013 sa profonde préoccupation du fait que de telles pratiques compromettent non seulement la valeur essentielle de la profession d'avocat, mais aussi « le fonctionnement même de l'État de droit »(25).

Le sujet est d'autant plus préoccupant que les prestataires de services numériques (plateformes, fournisseurs d'accès, hébergeurs...) sont devenus au fil du temps les véritables gardiens des données des citoyens. Ces acteurs, incontournables, peuvent être soumis à des législations européennes et internationales qui leur imposent des obligations de divulgation des données sur demande des autorités nationales. Le US Patriot Act permet ainsi d'obtenir la communication d'informations dans le cadre d'enquêtes en matière de terrorisme ou d'espionnage international. C'est à ce titre d'ailleurs que les services de renseignement américains peuvent accéder aux données d'un compte gmail(26) ! Le risque n'est pas hypothétique puisqu'il suffit de consulter le rapport de transparence de Google pour constater que le célèbre moteur de recherche est régulièrement destinataire de demandes de données (data requests) de la part des autorités américaines !

Ce constat fait écho à l'affaire Snowden(27) qui, en 2013, avait provoqué un immense coup de tonnerre planétaire en dénonçant la collecte massive des données des grandes plateformes (Google, Facebook, Amazon...) par la National Security Agency (NSA) pour surveiller à grande échelle les communications mondiales. En 2014, c'est la Chine qui, à son tour, a été accusée par la justice américaine d'espionnage et de vol de secrets économiques. Au cours de l'été 2016, ce sont des piratages informatiques provenant de Russie, visant le Parlement et des entreprises de plusieurs secteurs sensibles qui ont été dénoncés par l'Allemagne. En 2016 également, lors d'une conférence devant un parterre d'élèves ingénieurs, Bernard Barbier, ancien directeur technique des services de renseignements français, a confirmé que les États-Unis avaient piraté les systèmes d'information de la présidence française à l'Élysée en 2012.

3. L'inflation des cyberattaques

On ne compte plus le nombre d'entreprises victimes de failles de sécurité relatives à des informations confidentielles : données bancaires ou données médicales qui sont vendues, détruites, altérées, divulguées publiquement...

Il faut également compter avec les conséquences souvent désastreuses de ces cyberattaques. Le cabinet new-yorkais Grubman Shire Meiselas & Sacks, victime d'une attaque de rançongiciel(28), a refusé de payer la rançon de 42 millions de dollars exigée par les hackers. Les données confidentielles de leurs clients ont été rendues publiques, à l'instar de celles concernant Lady Gaga, occasionnant un très lourd préjudice économique et « réputationnel » au cabinet. Dans l'affaire des Panama Papers, le cabinet d'avocats, victime de la fuite de 11,5 millions de documents provoquée par un lanceur d'alerte anonyme, n'a pas survécu et a dû cesser ses activités deux ans plus tard !

Les raisons sont multiples. Certes, il peut y avoir des motifs d'espionnage à l'initiative de concurrents ou de vengeance à l'initiative d'anciens salariés, partenaires ou prestataires... mais il s'agit aussi souvent d'actes de négligence ou d'imprudence : un dispositif de protection trop léger, l'utilisation sans encadrement d'objets connectés en lien avec les serveurs, le recours à des wifi publics non sécurisés, un manque de formation des collaborateurs aux règles essentielles de « l'hygiène informatique »... Quiconque disposant d'un ordinateur et de quelques connaissances en la matière peut infiltrer un écosystème mal protégé.

Les risques sont amplifiés par les nouveaux outils intrusifs qui facilitent, voire encouragent, l'interception et la collecte des informations à distance. Ils sont désormais accessibles à des acteurs privés, comme l'a démontré le scandale Pegasus. Ce logiciel permettrait, à partir d'un simple numéro de téléphone, d'accéder à toutes les données du titulaire du numéro du téléphone, ses courriels, ses photos, ses notes... Avec plus de 50 000 numéros de téléphone identifiés comme des cibles potentielles à surveiller - dont les téléphones du président de la République et de nombreuses hautes personnalités politiques - cette affaire démontre que même les secrets d'État ne sont pas à l'abri d'une intrusion.

B. Les exigences de la cybersécurité

Le dépositaire doit toujours répondre personnellement des violations du secret(29) qui seraient commises de son fait, par négligence ou imprudence. Il lui appartient donc d'anticiper et de prendre les mesures qui s'imposent. À ce titre, comme le précise le Règlement intérieur national de la profession d'avocat, ce dernier est tenu de faire respecter le secret non seulement par son équipe, mais encore par « toute personne qui coopère avec lui dans son activité professionnelle »(30).

Il existe des dispositions légales, tant au plan européen que national, pour préserver le secret, à charge pour le dépositaire de se conformer à certaines obligations. En effet, le défaut de sécurisation peut l'exposer à des sanctions pénales et administratives (1). Toutefois, plus généralement, le dépositaire est tenu à une obligation générale de cybersécurité qui doit le conduire à prendre des mesures qui relèvent le plus souvent du « cyber bon sens » (2).

1. Des contraintes légales et normatives de préservation du secret

La loi du 22 décembre 2021(31), pour la confiance dans l'institution judiciaire, a ainsi opéré un rééquilibrage visant à renforcer le secret professionnel, en prévoyant qu'aucun accès aux données de connexion d'un avocat ne sera possible, sauf décision motivée d'un juge des libertés et de la détention (JLD) lorsqu'il existe contre l'avocat des raisons plausibles de le soupçonner d'avoir commis une infraction.

Précédemment, la loi du 30 juillet 2018(32), relative à la protection du secret des affaires, a transposé en droit français la directive 2016/943(33) sur la protection des savoir-faire et des informations commerciales non divulgués, dite directive secret des affaires. Ce dispositif vise à protéger les entreprises contre l'espionnage économique. Aussi, la lutte contre le pillage des données, des secrets de fabrique, du savoir-faire, des brevets... passe par le label de la compliance et la mise en œuvre de normes de sécurité.

Au plan européen, la directive 2022/2555(34) sur des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite directive SRI 2 ou NIS 2, a été adoptée le 14 décembre 2022. Elle a vocation à renforcer le cadre qui avait été introduit par la directive 2016/1148(35), dite NIS 1, notamment les exigences relatives à la gestion des risques et des incidents ainsi que de la coopération européenne en la matière. Ainsi, en ayant pour objectif « d'harmoniser les exigences en matière de cybersécurité et la mise en œuvre des mesures de cybersécurité dans les différents États membres »(36), la directive participe à la protection de l'environnement numérique du secret, indissociable du secret en lui-même.

Depuis son entrée en vigueur, les exigences particulières du RGPD contribuent également à la protection des données confidentielles, et donc du secret. Il peut être obligatoire - à tout le moins utile - de désigner un Délégué à la protection des données (DPD souvent désigné DPO : Data Protection Officer) pour veiller au respect des mesures de sécurité en conformité avec le RGPD. Celui-ci peut également avoir pour mission de sensibiliser et de former les collaborateurs et le personnel administratif. Le réflexe « sécurité » s'apprend et exige un suivi constant.

Dans tous les cas, le responsable du traitement doit mettre en œuvre des mesures proportionnées à la sensibilité des données. Le RGPD impose ainsi des obligations de protection de l'environnement du secret et des données personnelles qu'il peut contenir : l'obligation de sécurisation des traitements, de limitation des durées de conservation, l'analyse d'impact, un droit à l'oubli qui permet le déréférencement... On notera que l'obligation d'information du responsable du traitement, lorsque les données personnelles n'ont pas été collectées auprès de la personne concernée(37), contient une dérogation en présence d'une obligation professionnelle. Pour illustrer les effets de cette exception pour la préservation du secret, le G29 cite dans le cadre de ses lignes directrices sur la transparence au sens du RGPD l'exemple suivant : « Un médecin (responsable du traitement) est tenu au secret professionnel à l'égard des informations médicales de ses patients. Un patient (auquel le respect du secret professionnel s'applique) communique au médecin des informations sur sa santé concernant une maladie génétique dont certains de ses proches sont atteints. Le patient fournit également au médecin certaines données à caractère personnel sur ses proches (personnes concernées), qui sont atteints de cette même maladie. Le médecin n'est pas tenu de fournir aux proches les informations visées à l'article 14 puisque la dérogation prévue à l'article 14, paragraphe 5, point d), s'applique. Si le médecin communiquait les informations prévues à l'article 14 aux proches, cela constituerait une violation du secret professionnel vis-à-vis de son patient »(38).

Parfois, de manière paradoxale, certaines obligations de transparence imposées par le législateur ont pour objectif en fait de renforcer la protection du secret. Tel est le cas pour la loi du 3 mars 2022(39), instaurant le cyberscore, qui prévoit des obligations de transparence à la charge des plateformes, des opérateurs de messagerie et des solutions de visioconférence. Celles-ci ont pour objectif de mettre les internautes en mesure de choisir les solutions numériques les plus fiables et sécurisées et de mettre en exergue les failles de sécurité afin de mieux lutter contre le risque de violation des données. À titre d'illustration, lors des confinements successifs de la pandémie de la Covid, nombre d'internautes se sont tournés vers des outils de visioconférence sans se soucier des risques liés à la confidentialité de leurs échanges. Or, l'utilisation de plateformes non sécurisées expose à de nombreux risques cybers, tels que le vol de données, l'enregistrement des conversations ou l'espionnage. En rendant l'information publique, les plateformes concernées ont été contraintes de renforcer leur sécurité, ne serait-ce que pour rester compétitives sur le marché.

Dans la même logique, les conditions d'intervention des administrateurs réseau doivent être portées à la connaissance des employés et des institutions représentatives du personnel (IRP) au titre de l'obligation de transparence à la charge de l'employeur(40). On rappellera que leur mission consiste à s'assurer du fonctionnement normal et de la sécurité des réseaux et systèmes au sein de l'entreprise, ce qui peut les conduire à avoir accès à des informations relatives aux utilisateurs (messagerie, données de connexion à internet, fichiers-logs...)(41). Ils ont ainsi les moyens d'intervenir à distance sur les postes de travail, par exemple pour assurer la télémaintenance des logiciels. Leurs interventions doivent être limitées au bon fonctionnement des applications et strictement encadrées : information préalable de l'utilisateur et intervention avec son accord préalable, au besoin par courriel ou en tenant un registre de leurs interventions(42). Ils ne doivent en aucun cas exploiter, volontairement ou sur ordre de leur hiérarchie, le contenu de la messagerie des salariés qui reste soumis au secret des correspondances.

2. Des mesures préventives de « cyber bon sens »(43)

Il est de la responsabilité du dépositaire du secret d'anticiper et de circonscrire le risque des attaques qui peuvent survenir à tout moment.

Il existe de nombreux guides pour instaurer les bonnes pratiques et les mesures de précaution standard, parmi lesquels ceux de l'ANSSI(44) ou encore de la CNIL(45). Les mesures à mettre en place, certes contraignantes, sont indispensables pour préserver la confidentialité et le secret : gérer strictement les accès aux serveurs et attribuer des niveaux d'habilitation en fonction des besoins réels des utilisateurs, supprimer les comptes des anciens collaborateurs, effectuer les mises à jour des logiciels de sécurité (même si cela oblige à redémarrer l'ordinateur !), disposer d'une politique de mots de passe robuste (imposer un nombre et une typologie de caractères, imposer une modification régulière des mots de passe, refuser leur communication à toute autre personne que son titulaire, etc.), prévoir des moyens de chiffrement... Autant de précautions basiques qui sont encore trop peu souvent mises en application.

De même, prendre des renseignements sur le prestataire informatique pressenti, sur les normes de sécurité qu'il propose, lui faire signer un engagement de confidentialité, encadrer les conditions d'intervention des services d'assistance (conditions d'accès à distance ou accès aux locaux), interdire toute sous-traitance sans accord préalable... sont autant de précautions indispensables pour prévenir les risques d'intrusion ou d'altération des données.

Il convient également d'envisager la sécurisation des nouveaux modes de travail, tels que l'utilisation des outils de vidéoconférence ou encore la pratique du télétravail, qui se sont largement développés depuis la crise sanitaire ! De ce fait, les structures sont de plus en plus exposées au risque d'incidents de sécurité, notamment du fait de l'utilisation des outils « BYOD » (bring your own device), ces outils « privés » (ordinateurs, smartphones...).

Enfin, certaines mesures basiques sont souvent négligées. Il s'agit notamment de prêter attention aux outils de traitement de texte qui permettent d'inscrire des « mark-up » souvent particulièrement révélateurs des orientations du travail du dépositaire du secret, et ainsi de potentiellement reconstituer des échanges couverts par le secret. Ou encore, la revente des ordinateurs ou serveurs professionnels est également un exemple courant en termes d'incident de sécurité : la suppression (et non le simple effacement !) des contenus des disques durs est primordiale pour empêcher la récupération d'informations couvertes par le secret. Encore en 2022, la presse s'est fait l'écho d'une affaire impliquant une mairie de France qui avait cédé des disques durs contenant des données confidentielles(46) !

* * *

Face au numérique, le secret ne change pas. Il demeure une garantie fondamentale pour le citoyen dans un État démocratique.

Ce qui change, c'est que le secret n'est plus dissociable de son enveloppe numérique, à charge pour le dépositaire de prendre les mesures de cybersécurité garantissant une protection effective !

(1): Selon le Centre national de ressources textuelles et lexicales. Le Robert, qui partage la définition précédente, ajoute « qui est ou doit être caché aux autres, au public ».

(2): C. fonction publ., art. L. 121-1 et s.

(3): B. Fages, « Le devoir de discrétion de l'administrateur », BJS 2019, p. 7.

(4): A. Grumberg, F. Barrière, « Les obligations de confidentialité des administrateurs des sociétés cotées », Décideurs juridiques, sept. 2019, p. 122-123.

(5): Règl. 2016/679 du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

(6): C. pén., art. 226-15 et 432-9.

(7): L. no 84-46 du 24 janv. 1984 relative à l'activité et au contrôle des établissements de crédit, dite loi bancaire.

(8): B. Michalon, B. Puybareau, « Secret d'État et secret des sources : comment des journalistes enquêtent-ils sur le renseignement en France : Entretiens avec Jean Guisnel et Jacques Follorou », Cultures & Conflits, 2019, p. 114-115, 227-262 ; [https://doi.org/10.4000/conflits.21231,] consulté le 5 janv. 2023.

(9): L. n° 2010-1 du 4 janv. 2010 relative à la protection du secret des sources des journalistes.

(10): C. pr. pén., art. 11 - La règle est ancienne : l'ordonnance de Blois de 1498 prévoyait déjà que le procès devait se tenir « le plus diligemment et secrètement que faire se pourra » ou encore avec l'ordonnance de Villers-Cotterêts de 1539.

(11): C. santé publ., art. L. 1110-1 à L. 1110-13.

(12): Constitution du 4 oct. 1958, art. 3 : « Le suffrage [...] est toujours universel, égal et secret. »

(13): « Le secret sacramentel est inviolable » en vertu du canon 983 § 1 du Code de droit canonique de 1983 ; ce principe s'applique aux ministres du culte par une jurisprudence constante de la Cour de cassation depuis 1810 - E. Tawil, « Le secret de la confession, source de conflit entre le droit canonique et le droit français ? », 12 oct. 2021, L'actualité au prisme du droit, [www.leclubdesjuristes.com/categorie/blog/], consulté le 5 janv. 2023 - B. du Puy-Montbrun, La détermination du secret chez les ministres du culte : Le secret pastoral en droit canonique et en droit français, L'échelle de Jacob, 2012.

(14): Position adoptée par Émile Garçon dans son Code pénal annoté sous l'ancien article 378 du code pénal de 1810 : « Le secret professionnel. »

(15): S'agissant plus particulièrement du secret professionnel de l'avocat, la CEDH renvoyant à la Cour de justice de l'Union européenne précise qu'il « est la base de la relation de confiance qui existe entre l'avocat et son client. [...] le secret professionnel constitue également une 'garantie essentielle de la liberté de l'individu et du bon fonctionnement de la justice' », CEDH, Ve sect., 24 juill. 2008, André et autre c/France, no 18603/03.

(16): L. no 71-1130 du 31 déc. 1971 portant réforme de certaines professions judiciaires et juridiques, art. 66-5 et décr. no 2005-790 du 12 juill. 2005 relatif aux règles de déontologie de la profession d'avocat, art. 4 et 5.

(17): Par ex. : Cons. const., déc. no 2021-952 QPC du 3 déc. 2021, M. Omar Y.

(18): E. Plenel, Le Droit de savoir, Éditions Don Quichotte, 2013.

(19): Cass. Com. 11 mai 2017, no 15-28.988.

(20): CEDH, Gde ch., Goodwin c/Royaume-Uni, 27 mars 1996, no 17488/90.

(21): C. pén, art. 122-9 ; Protection introduite par la loi no 2016-1691 du 9 déc. 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin II.

(22): L. no 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte ; transposant la directive 2019/1937 du Parlement européen et du Conseil du 23 oct. 2019 sur la protection des personnes qui signalent des violations du droit de l'Union.

(23): C. pr. pén., art. 706-95 et s.

(24): Parlement européen, Résolution sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures (2013/2188(INI)), 12 mars 2014.

(25): CCBE, Recommandations sur la protection du secret professionnel dans le cadre des activités de surveillance, 2016, p. 5.

(26): En application de certaines lois américaines comme le Cloud Act ou encore le Foreign Intelligence Surveillance Act (FISA).

(27): A. Lefébure, L'affaire Snowden : Comment les États-Unis espionnent le monde, La Découverte, 2014, p. 74-75.

(28): Le rançongiciel (ransomware) est un logiciel malveillant qui empêche l'accès aux données stockées sur un ordinateur et propose leur récupération contre le paiement d'une rançon. Ce logiciel prend en otage les données présentes sur un ordinateur en les chiffrant. Une fois les données rendues inaccessibles pour l'utilisateur, le pirate exige le paiement d'une rançon en contrepartie de la livraison de la clé de déchiffrement.

(29): La violation du secret est punie, par l'article 226-13 du Code pénal, d'une peine d'un an d'emprisonnement et de 15 000 euros d'amende. Cependant, des exceptions sont prévues par l'article 226-14 du Code pénal permettant la révélation du secret (ex. : le cas du professionnel de santé qui dénonce l'existence de violences physiques, sexuelles ou psychiques sur un mineur).

(30): RIN, art. 2.3.

(31): L. no 2021-1729 du 22 déc. 2021 pour la confiance dans l'institution judiciaire.

(32): L. no 2018-670 du 30 juill. 2018 relative à la protection du secret des affaires.

(33): Dir. 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites.

(34): Dir. 2022/2555 du Parlement européen et du Conseil du 14 déc. 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union.

(35): Dir. 2016/1148 du Parlement européen et du Conseil du 6 juill. 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

(36): Conseil européen, Communiqué de presse, 28 nov. 2022, « L'UE décide de renforcer la cybersécurité et la résilience dans l'ensemble de l'Union : adoption d'une nouvelle directive par le Conseil ».

(37): RGPD, art. 14.

(38): Groupe de travail « article 29 », Lignes directrices sur la transparence au sens du règlement (UE) 2016/679, version révisée et adoptée le 11 avr. 2018.

(39): L. no 2022-309 du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.

(40): C. trav., art. L. 1222-4 : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. » ; C. trav., art. L. 2312-38, al. 3 ; * Aussi : Soc. 14 mars 2000, no 98-42.090 - Soc. 11 déc. 2019, no 18-11.792 - La CNIL rappelle régulièrement cette obligation ; En ce sens : délib. formation restreinte no SAN-2020-003 du 28 juill. 2020.

(41): Amiens, 31 mars 2020, RG no 18/03506.

(42): M. Hautefort [A. Dupayse et S. Dorlencours] (dir.), Conseils opérationnels : Gestion du personnel, Lamy, [mis à jour janv. 2019, no 230-24].

(43): X. Leonetti et C. Féral-Schuhl, Cybersécurité, mode d'emploi, PUF, 2022.

(44): ANSSI, Guide de l'hygiène informatique, renforcer la sécurité de son système d'information en 42 mesures, janv. 2017.

(45): CNIL, Les guides de la Cnil, La sécurité des données personnelles, 2018.

(46): J. Joly, « Comment nous avons acheté les disques durs contenant les données confidentielles d'une mairie bretonne », Le Télégramme, 2 déc. 2022.

Citer cet article

Christiane FERAL-SCHUHL. « Le secret face au numérique », Titre VII [en ligne], n° 10, Le secret, avril 2023. URL complète : https://www.conseil-constitutionnel.fr/publications/titre-vii/le-secret-face-au-numerique