Le secret des affaires peut apporter à l’algorithme une protection juridique qui paraît particulièrement adaptée et efficace à ce type de création immatérielle.
Les algorithmes ont aujourd’hui des utilisations très diversifiées : comparer les prix de chambres d’hôtels, de billets d’avions ou d’assurances, permettre des matchs sur les sites de rencontres[1] mais aussi orienter les recherches d’emplois[2], voire même aider au recrutement[3] … sans oublier les applications en matière bancaire, financière ou liées à la sécurité nationale [4].
Parmi les plus connus ou utilisés, il y a bien sûr les algorithmes de recommandations[5] : développés par les grandes plateformes numériques (Facebook, Google, Twitter, YouTube, …), ils servent à proposer des contenus à leurs utilisateurs, en fonction de leur comportement passé et du comportement d’autres utilisateurs au profil similaire. Sur le portail Google, la définition proposée est d’ailleurs la suivante « Les algorithmes sont des programmes informatiques conçus pour naviguer parmi des milliards de pages, y déceler les bons indices et vous renvoyer exactement la réponse à votre question. »[6].
L’enjeu d’un algorithme performant est de pouvoir exploiter efficacement le « big data », l’énorme quantité accumulée des données numériques disponibles sur internet (messages, images, vidéos, données de géolocalisation via mobile, de capteurs météorologiques…). Il est largement admis à ce jour que les enjeux économiques sont, dans ce domaine, colossaux.
Ne pas confondre algorithme et algorithme
L’algorithme ne peut plus se réduire à sa simple définition mathématique[7], à savoir, être une suite d’opérations élémentaires destinée à solutionner un problème. L’algorithme est en soi un nouvel outil, constituant le cœur intelligent d’un logiciel. Et un algorithme efficace a, sans conteste, une valeur commerciale considérable.
Rappelons que, en tant que suite d’opérations élémentaires, l’algorithme est assimilé à un principe mathématique. Et un principe mathématique relève des idées dites de libre parcours, non protégeables par la propriété intellectuelle, que ce soit par le droit d’auteur ou par le brevet d’invention. C’est ce qui est acté par la Directive 2009/24/CE sur la protection juridique des programmes d'ordinateur[8], et par plusieurs décisions se fondant sur ce principe, comme par exemple : Cass., Civ.1, Arrêt du 14 nov. 2013 (c/Microsoft), CA Paris, 24 nov. 2015, n° 13/24577, CA Caen, chambre des appels correctionnels, 18 mars 2015 (c/ Skype).
Cependant, en pratique, le code de la propriété intellectuelle peut offrir une certaine protection indirecte à l’algorithme. En effet, un algorithme est intégré dans le code source d’un logiciel. Et ce logiciel, s’il répond au principe d’originalité[9], est protégé par le droit d’auteur. Il en est de même pour une invention brevetable utilisant un algorithme. Ces protections, lorsqu’elles peuvent être mises en œuvre, restent cependant imparfaites.
La protection imparfaite par la propriété intellectuelle
L’algorithme mis en œuvre par un logiciel, peut-il réellement bénéficier d’une protection par le droit d’auteur qui est accordé au titre des dispositions de l’article L.112-2 du CPI ?
La protection par le droit d’auteur a l’avantage de la simplicité de la procédure : aucune formalité y compris à l’international (dans les pays qui sont parties à la convention de Berne) et une période de protection longue. Toutefois, la principale limite de cette « protection » par le droit d’auteur, est que, en réalité, c’est le logiciel qui peut en bénéficier, en tant que « support » de l’algorithme, et non l’algorithme lui-même. Aussi, si un tiers réussit à extraire, de façon légale[10], l’algorithme contenu dans le logiciel (même lorsque ce logiciel est protégé par le droit d’auteur), il sera libre de l’utiliser…[11].
Il n’est pas inenvisageable de chercher une protection complémentaire par le brevet d’invention, dans le cas où le logiciel mettant en œuvre l’algorithme, pourra bénéficier de cette protection. Outre le fait que la protection du logiciel par le brevet d’invention, question encore largement débattue[12], n’est pas toujours utilisable, les inconvénients liés à ce type de protection paraissent supérieurs à leur bénéfice. Sans s’attarder, un avantage de la protection par le brevet d’invention est que l’algorithme sera protégé au même titre que l’invention. Cependant, l’inconvénient de cette protection est majeur : d’une part, l’inventeur est en effet tenu de divulguer son algorithme puisque celui-ci doit être détaillé dans les revendications dudit brevet, qui sont nécessairement rendues publiques ; d’autre part, cette description dans les revendications d’un brevet, fige, en quelque sorte, l’algorithme. Or il est évident que celui-ci a vocation à évoluer[13], et il faudrait alors déposer des brevets de perfectionnements successifs, pour protéger chaque modification de l’algorithme, ce qui n’est pas toujours possible, que ce soit pour des questions de budget ou, plus encore, d’inventivité.
Alors que faire ? La solution viendra sans doute du régime du secret des affaires, adopté récemment au niveau européen.
La future protection par le secret des affaires
Les dispositions de la directive européenne sur le secret d’affaires adoptée en juin 2016[14] créent un régime propre au secret d’affaires, distinct de celui applicable aux droits de la propriété intellectuelle[15].
Le secret est depuis longtemps utilisé dans les affaires pour garder un avantage concurrentiel, un célèbre exemple des secrets commerciaux étant la formule de Coca-Cola[16]. La protection par le secret est aussi pratiquée par les acteurs du numérique, dont Google : « Derrière ce mot barbare [algorithme] se cache probablement le secret le mieux gardé de Google, voire d’Internet. Cet algorithme, c’est la recette, la formule mathématique créée par Google pour afficher l’ordre des réponses sur son moteur de recherche. » [17]. Le double avantage du "secret" est de ne pas nécessiter de formalités de procédure (formalités nécessaires lors du dépôt d’un brevet d’invention) et d'offrir une durée de protection illimitée (à tout le moins, tant que le secret n’est pas dévoilé, licitement ou non).
Toutefois, jusqu’à présent en France, le recours au « secret » ne garantissait aucune protection juridique particulière (sauf dans le cas – très limité – des « secrets de fabrique » protégés par l’article L1227-1 du code du travail). Tout l’intérêt de la directive de 2016 est de créer maintenant dans toute l’UE une protection juridique uniforme des secrets d’affaires[18].
Cependant, pour que l'algorithme puisse bénéficier du nouveau régime établi par cette directive, certaines conditions doivent cumulativement être réunies
L’algorithme doit être secret, avoir une valeur commerciale du fait qu’il soit secret, et avoir fait l’objet de mesures de protection raisonnables (se reporter à l’article 2 de la Directive).
Cette Directive prévoit des dispositions en matière de réparation pour le détenteur du secret en cas de divulgation illicite comme des mesures provisoires et conservatoires (pour freiner la divulgation du secret sur le marché, dont la destruction des supports matérialisant ou contenant le secret d’affaires), de mesures de confidentialité pour les débats judiciaires, ou encore des méthodes spécifiques de calculs de dommages et intérêts. Les dispositions de la transposition en France de la Directive devraient être présentées au Parlement dans quelques mois.
Aussi, le secret des affaires peut apporter à l’algorithme une protection juridique qui paraît particulièrement adaptée et efficace à ce type de création immatérielle, et ce, d’autant plus que les dispositions sur le secret des affaires pourront se combiner, en cas d’appropriation illicite, avec la responsabilité délictuelle (action en concurrence déloyale ou parasitisme économique) ou contractuelle (en cas de non-respect d’un accord de confidentialité ou d’une clause de confidentialité, ou encore d’une interdiction d’exploitation même postérieurement au contrat, si cela était prévu).
Il est donc essentiel d’apporter, dès à présent, un grand soin à la rédaction de tout accord de confidentialité et de non concurrence : ces contrats doivent non seulement identifier l’information confidentielle (celle couverte par le secret d’affaires, et ici, l’algorithme, qui sera décrit précisément) mais également les personnes tenues au secret.
La prévention sur le risque de divulgation d’un secret d’affaires, est essentielle : il pourra être utilement mis en place un processus interne rigoureux pour la limitation stricte des destinataires, la maîtrise de la circulation et de la destruction des documents, voire des accès contrôlés, ... Les salariés seront particulièrement sensibilisés à l’importance du secret et pourront signer par exemple une charte de confidentialité.
Aussi, il importe que - dès le début du processus de création d’un algorithme - le développeur se pose la question de la protection juridique de celui-ci : le régime de protection des créations immatérielles (la propriété intellectuelle) étant imparfait pour l’algorithme, il faudra prévoir les conditions juridiques (accord ou clause de confidentialité) et techniques pour le garder secret, et pérenniser ainsi sa valeur commerciale.
Cependant, il reste que cette préservation du secret sur les algorithmes devra nécessairement être combinée avec les obligations de transparence liées au traitement de données personnelles.
Secret v. transparence
En effet, d’une part, la loi pour une République numérique (en France), impose aux administrations mettant en œuvre des traitement algorithmiques, davantage de transparence en la matière[19]. D’autre part, une toute récente décision de la CNIL[20] relative à APB (le fameux système informatique de l’Admission Post-Bac), met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation. Ce que la CNIL reproche notamment au Ministère est que, dans le système APB mis en place « s’agissant des formations non sélectives », « seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, (…). Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité » ». Cependant, la CNIL « ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations » (cf. le communiqué).
Enfin, et cela concerne les secteurs public et privé, des dispositions spécifiques en matière de transparence existent dans le Règlement (UE) 2016/679[21] sur la protection des données personnelles, dit RGPD (ou GDPR en anglais), texte directement applicable à tous les Etats membres de l’UE à compter du 25 mai 2018. En effet, la lecture du considérant 63 et des dispositions des articles 13 et 22 en particulier, indique que les « responsables de traitement »[22], lorsqu’ils mettent en œuvre « une prise de décision automatisée », devront pouvoir fournir les « informations utiles concernant la logique sous-jacente » de cette décision automatisée, « ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée ». Il s’agit donc bien d’une obligation de révéler tout ou partie de son algorithme.
Toute la subtilité résidera, pour les responsables de traitement en cause, dans le fait de ne pas en dire trop, pour garder leur avantage concurrentiel, tout en respectant la loi.
[4] Par exemple, selon le journal Le Monde http://lemde.fr/2ya5p0M, sur l’armée israélienne et son système de détection du risque et de prévention, ou encore l’algorithme prévu en France en matière de prévention du terrorisme par l’article 851-3 du code de la sécurité intérieure, créé par la loi n°2015-912 du 24 juillet 2015 relative au renseignement. http://bit.ly/2yaZfL5
[5] Parce qu’ils ont une influence sur les utilisateurs de ces plateformes, les algorithmes soulèvent d’autres questions, comme celle de pouvoir porter atteinte au droit à l’information de ces utilisateurs.
[7] Cf. l’arrêté du 27 juin 1989 relatif à l'enrichissement du vocabulaire de l'informatique : le terme algorithmique, qui relève du domaine informatique, est défini comme « l’étude de la résolution de problèmes par la mise en œuvre de suites d'opérations élémentaires selon un processus défini aboutissant à une solution ». Cf. aussi par exemple l’infographie sur l’évolution de l’algorithme http://bit.ly/2yE2SMN
[8] Directive 2009/24/CE du Parlement européen et du Conseil du 23 avril 2009 concernant la protection juridique des programmes d'ordinateur (abrogeant la Directive 91/250/CEE du Conseil) http://bit.ly/2yfYhiQ
[9] Pour un logiciel, il s’agit de démontrer un « effort intellectuel personnalisé » (Cass. Ass. Plén., 7 mars 1986), qui se déduit des choix opérés lors de sa conception (Cass. 1ère civ., 17 octobre 2012).
[10] Par le biais, par exemple, de la rétro-ingénierie.
[11] Cf. en ce sens, l’arrêt de la CJUE (grande chambre) le 2 mai 2012 (SAS Institute Inc.) http://bit.ly/2guly6X
[12] Cf. par exemple l’OMPI sur le sujet et les conseils proposés http://bit.ly/2xwViDE Pour une position plus positive sur la brevetabilité indirecte de l’algorithme ou du logiciel cf. l’OEB.
[13] Cf. par exemple les mises à jour fréquentes du moteur Google et ses conséquences sur le référencement des sites, http://bit.ly/1NOI6Xn Facebook dont l’algorithme évolutif « orchestre » la diffusion dans les fils d’actualité, des contenus publiés sur une page. Twitter et l’introduction en 2016 de son «fil algorithmique » http://bit.ly/2tYYpAK Instagram : http://bit.ly/22NH6zh TripAdvisor : http://bit.ly/2zeWecP
[14] Directive UE 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites Publication au JOUE (L157) du 15 juin 2016, entrée en vigueur le 5 juillet 2016, et transposition d’ici le 8 juin 2018 http://bit.ly/2yaftqA Cf. aussi l’article 39 de l'Accord sur les ADPIC.
[15] Même si, sur de nombreux aspects, il s’en inspire.
[19] Décret n° 2017-330 du 14 mars 2017 relatif aux droits des personnes faisant l'objet de décisions individuelles prises sur le fondement d'un traitement algorithmique (concerne les décision administrative) http://bit.ly/2wNdqVi
[20] Communiqué de la CNIL http://bit.ly/2xXFEQ1 Décision n°MED-2017-053 du 30 août 2017 mettant en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation http://bit.ly/2wnAbPD Décision de rendre publique cette décision de mise en demeure http://bit.ly/2ybDuLr
[21] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), publication JOUE L119 du 4 mai 2016 http://bit.ly/2cLkNSw
[22] Article 4 du RGPD : « responsable du traitement », la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement »
Pas de contribution, soyez le premier