Lexique du numérique

05/02/2021 - mise à jour : 10/04/2022

Le « numérique » désigne aujourd'hui les technologies de l'information et de la communication La croissance rapide desdites technologies sont à l'origine d'une révolution qui bouleverse radicalement nos modes de communication, voire notre mode de pensée.

Le présent lexique a pour objet de présenter sommairement quelques notions inhérentes au numérique.

► voir aussi les colloques en vidéo de la cour de cassation sur le thème du numérique (Blockchain et santé, Numérique et environnement (cycle ’Numérique, droit et société’), Numérique et droit pénal (cycle ’Numérique, droit et société’), Blockchain et intelligence artificielle, Blockchain et preuve Numérique, droit et société - introduction au cycle 2020, Blockchain et droit immobilier, Blockchain et propriété intellectuelle, Blockchain et droit bancaire et financier , Blockchain et métiers du droit : la fin des tiers de confiance ?, De la technologie des algorithmes à la technique juridiqueLa collecte transfrontalière de preuves numériques en matière pénale – L’Europe à la hauteur des défis actuels et futurs ?, Le juge et le numérique : un défi pour la justice du XXIème siècle, La jurisprudence dans le mouvement de l’open data)

Big data et open data

► le Big Data

Le terme Big Data peut être traduit par « données massives » ou « méga données ». Le Big Data est constitué d’une masse de données ouvertes, structurées et analysables par des machines

Le développement des nouvelles technologies, de l’internet et des réseaux sociaux a eu pour conséquence la  production d’une masse considérable de données numériques (textes, photos, vidéos, signaux GPS...). L’accroissement des capacités de stockage de ces données et le développement d’outils de tri, d’analyse et de traitement performants permettent l’exploitation de ces masses de données et engendrent une évolution de nos modes de fonctionnement.

L’arrivée du Big Data est considérée parfois comme une révolution, celle de l’information, au même titre que la découverte de l’électricité et de l’informatique.

Les ensembles de données correspondant à la définition du big data répondent à trois caractéristiques principales : volume (des données), vélocité (dans la création, la collecte et le partage des données) et variété (dans la nature et la source des informations)

Une entreprise ou une administration peut ainsi enrichir ses propres données (journal des ventes, états des stocks, liste des clients et prospects pour une entreprise ; nombre de dossiers en cours, nombre de nouveaux dossiers, âge moyen du stock, durée moyenne des procédures, types de procédures, taux de couverture etc pour un tribunal) par des données externes.

Les données externes peuvent ainsi provenir :

  • des « logs » des sites web, pour la justice, les sites internet et intranet des cours d’appels et tribunaux : l’analyse des pages consultées – grâce à la mise en place de trackers- peut être révélateur des besoins d’information des justiciables
  • des « insights » des médias sociaux : les comptes personnels de magistrats et les comptes fonctionnels de juridictions se développent, notamment sur twitter ; l’utilisation de ces réseaux permet de promouvoir l'action du ministère de la justice, des juridictions locales et les métiers de la justice, de relayer les principales actualités du droit et de combattre une certaine opacité de son fonctionnement ; elle permet également de percevoir les signaux positifs (like, retweet, partage) ou négatifs quant à son image
  • de l’Open data

►L’Open Data

L’open data désigne une donnée numérique librement accessible et utilisable.

Il désigne également un mouvement, né en Grande-Bretagne et aux États-Unis, d’ouverture et de mise à disposition des données produites et collectées par les services publics, une politique d’ouverture publique de données structurées.

Le décret n° 2011-194 du 21 février 2011 portant création d'une mission « Etalab » chargée de la création d'un portail unique interministériel des données publiques  a permis la création du site www.data.gouv.fr qui se définit comme la plateforme ouverte des données publiques.

Certes, les décisions de justice ont toujours été diffusées, notamment par le Bulletin officiel des arrêts de la Cour de cassation créé en 1798 qui publie intégralement et régulièrement des décisions civiles et criminelles de cette juridiction ( bulletin numérique des arrêts publiés des chambres civiles et bulletin numérique des arrêts publiés de la chambre criminelle depuis 2019) et par le site internet legifrance issu du décret n° 2002-1064 du 7 août 2002 relatif au service public de la diffusion du droit par l’internet, qui met à disposition gratuite du public une partie des décisions du Conseil d’État, de la Cour de cassation et des juridictions du fond.

La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique ouvre cependant un accès à l’intégralité des décisions de justice.

Cette mise à disposition doit se faire dans le respect de la protection des données personnelles et du respect de la vie privée des personnes concernées et des règles régissant la publicité et l’accès aux décisions. Dès lors, en mai 2017, le ministre de la Justice a confié au professeur Loïc CADIET une mission notamment d’analyse des enjeux et risques associés à l’accès, la détention et la gestion des données de jurisprudence avant leur anonymisation, de définition des conditions de la diffusion des décisions de justice au regard des droits fondamentaux, libertés publiques et garanties procédurales, de la protection des données sensibles et à caractère personnel, notamment au regard de l’étendue de l’anonymisation.

Le rapport CADIET sur l'open data des décisions de justice a été remis le 29 novembre 2017 au ministre de la Justice et a émis vingt recommandations et notamment : prévoir la mise en œuvre la pseudonymisation à l’égard de l’ensemble des personnes physiques mentionnées dans les décisions de justice sans la limiter aux parties et aux témoins, maintenir un régime de délivrance de décisions aux tiers par le greffe, prévoir que seules les décisions rendues publiquement et accessibles aux tiers peuvent faire l’objet d’une mise à disposition du public. Il préconise un traitement centralisé des décisions, avec pour les décisions judiciaires, un pilotage par la cour de cassation de la collecte automatisée de la jurisprudence de l’ensemble des juridictions de son périmètre juridictionnel, de son traitement, en particulier son anonymisation et de sa diffusion.

La loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice a modifié l’article L111-13 du code de l’organisation judiciaire et créé l'article L111-14 du même code, en prévoyant la mise à disposition à titre gratuit des décisions de justice dans le respect des dispositions particulières qui régissent l’accès et la publicité des décisions judiciaires (voir les articles L10 et L10-1 du code de justice administrative pour les décisions des juridictions administratives) :

Article L111-13 du code de l'organisation judiciaire:
Sous réserve des dispositions particulières qui régissent l'accès aux décisions de justice et leur publicité, les décisions rendues par les juridictions judiciaires sont mises à la disposition du public à titre gratuit sous forme électronique.

Les nom et prénoms des personnes physiques mentionnées dans la décision, lorsqu'elles sont parties ou tiers, sont occultés préalablement à la mise à la disposition du public. Lorsque sa divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage, est également occulté tout élément permettant d'identifier les parties, les tiers, les magistrats et les membres du greffe.

Les données d'identité des magistrats et des membres du greffe ne peuvent faire l'objet d'une réutilisation ayant pour objet ou pour effet d'évaluer, d'analyser, de comparer ou de prédire leurs pratiques professionnelles réelles ou supposées. La violation de cette interdiction est punie des peines prévues aux articles 226-18,226-24 et 226-31 du code pénal, sans préjudice des mesures et sanctions prévues par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Les articles L321-1 à L326-1 du code des relations entre le public et l'administration sont également applicables à la réutilisation des informations publiques figurant dans ces décisions.
Un décret en Conseil d'Etat fixe, pour les décisions de premier ressort, d'appel ou de cassation, les conditions d'application du présent article.
Article L111-14 du code de l'organisation judiciaire:
Les tiers peuvent se faire délivrer copie des décisions de justice par le greffe de la juridiction concernée conformément aux règles applicables en matière civile ou pénale et sous réserve des demandes abusives, en particulier par leur nombre ou par leur caractère répétitif ou systématique.

Les éléments permettant d'identifier les personnes physiques mentionnées dans la décision, lorsqu'elles sont parties ou tiers, sont occultés si leur divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage.

Un décret en Conseil d'Etat fixe, pour les décisions de premier ressort, d'appel ou de cassation, les conditions d'application du présent article.

​Le décret n° 2020-797 du 29 juin 2020 relatif à la mise à la disposition du public des décisions des juridictions judiciaires et administratives met à la charge du Conseil d'Etat la responsabilité de la mise à disposition du public, sous forme électronique, des décisions de justice rendues par les juridictions administratives, et à la Cour de cassation cette responsabilité pour les juridictions de l'ordre judiciaire. Il fixe notamment les conditions de mise à la disposition du public des décisions de justice et détermine les cas d'occultation des éléments d'identification des personnes physiques afin d'assurer la conciliation de la publicité des décisions de justice et du droit au respect de la vie privée (articles R111-10 à R111-13 du code de l'organisation judiciaire et articles R741-13 à R741-15 du code de justice administrative).

L'article 9 dudit décret prévoit qu'un arrêté du garde des Sceaux déterminera, pour chacun des ordres judiciaire et administratif et le cas échéant par niveau d'instance et par type de contentieux, la date à compter de laquelle les décisions de justice sont mises à la disposition du public. Saisi par l'association Ouvre-boite, le Conseil d'Etat a, par arrêt du 21 janvier 2021, enjoint au garde des sceaux, ministre de la justice, de prendre, dans un délai de trois mois à compter de la notification de la présente décision, l'arrêté prévu à l'article 9 du décret du 29 juin 2020.

Les algorithmes

► qu’est-ce qu’un algorithme ?

Un algorithme est une suite d’instructions destinées à réaliser une opération ou à obtenir un résultat, c’est une méthode générale pour résoudre un type de problèmes, un procédé systématique, applicable mécaniquement, en se contentant de suivre un mode d’emploi précis.

Donald KNUTH, mathématicien et informaticien, a donné une liste de cinq propriétés qui sont largement reconnues comme les prérequis d'un algorithme:

  • Finitude: « Un algorithme doit toujours se terminer après un nombre fini d'étapes. »
  • Définition précise: « Chaque étape d'un algorithme doit être définie précisément; les actions à transposer doivent être spécifiées rigoureusement et sans ambigüité pour chaque cas. »
  • Entrées: « (…) des quantités qui lui sont données avant qu'un algorithme ne commence. Ces entrées sont prises dans un ensemble d'objets spécifié. »
  • Sorties: « (…) des quantités qui ont une relation spécifiée avec les entrées. »
  • Rendement: « (…) toutes les opérations que l'algorithme doit accomplir, doivent être suffisamment basiques pour pouvoir être en principe réalisées dans une durée finie par un homme utilisant du papier et un crayon. »

Dès lors, un algorithme peut également être défini comme une suite finie de règles, à appliquer dans un ordre déterminé, à un nombre fini de données, pour arriver avec certitude, en un nombre fini d'étapes, à un certain résultat, indépendamment des données.

Le terme d’algorithme (qui viendraitt d'une déformation du nom d'un mathématicien persan du IXe siècle Abu Abdullah Muhammad ibn Musa al-Khwarizmi), a une origine mathématique : l’on connait ainsi l’algorithme d'Euclide permettant le calcul du PGCD (plus grand commun diviseur), l'algorithme glouton trouvé en 1201 par Fibonacci pour effectuer une décomposition en fractions égyptiennes, l'algorithme de Gauss relatif au calcul de π, le crible d’Ératosthène de Cyrène (276 - 194 av. J.-C. ) sur la recherche des nombres premiers, la méthode de Newton relative à la racine des équations etc.

Bien qu'invisibles, les algorithmes sont omniprésents dans notre vie quotidienne : une recette de cuisine, la recherche d’un mot dans un dictionnaire, une tactique sportive, le montage de meuble,  etc suivent selon une méthode ou un mode d’emploi déterminés et sont à ce titre des algorithmes.

Les algorithmes se sont développés grâce à l’augmentation considérable de la puissance de calcul des ordinateurs et la nécessité d'automatiser lesdits calculs. Aujourd’hui, ils portent sur des objets de plus en plus complexes, qu’il s’agisse de nombres ou d’objets mathématiques de mots, de textes ou d’images.

Les d’algorithmes peuvent être classés :

  • selon leur finalité (sous divisée en genres)
  • selon leur complexité
  • selon leur implémentation, le même algorithme pouvant être implémenté selon des principes de base différents : algorithme récursif s’appelant lui-même répétitivement jusqu’à ce que la condition soit remplie, programmation logique, algorithme en série exécutant des instructions une par une ou algorithmes parallèles traitant plusieurs instructions en même temps etc),
  • selon leur paradigme de conception : par exemple le principe «diviser pour régner » qui réduit un problème à un cas plus simple ou un ensemble de sous-problèmes, jusqu'à atteindre un niveau de simplicité suffisant pour pouvoir le résoudre facilement, ou le principe de programmation dynamique évitant de recalculer des solutions déjà traitées, ou la modélisation sous forme de graphes, ou le principe probabilistique faisant des choix aléatoires, ou le principe heuristique dont le but n’est pas  de trouver une solution optimale, mais une bonne solution si la meilleure serait trop couteuse en temps et en ressources etc.

Les genres d’algorithmes sont multiples : il existe aujourd’hui des algorithmes mathématiques, des algorithmes de compression des données, de tri, de cryptographie, de graphisme, de textes (traitements de mots, reconnaissance), algorithmes utilisés en sciences (astronomie- éphémérides, positions de la lune-  et médecine- aide au diagnostic, calcul de médications- )  etc

A titre d’exemple, l’on peut citer l'algorithme PageRank (qui évalue le nombre et la qualité des liens vers une page pour obtenir une estimation approximative de l’importance d’un site internet), le format mp3 (permettant de faire tenir les mêmes informations musicales en moins d’espace et permettant de les transmettre à distance), les algorithmes de traduction (d’un texte d’une langue à une autre), les algorithmes de détection automatiques de faits biologiques (détection de visages dans la foule, par un appareil photo numérique ou identification de visages par des systèmes de vidéosurveillance), les algorithmes de recommandation (qui détectent les goûts d’un internaute et conditionnent sa vie en ligne, sur les réseaux sociaux, sur les sites de streaming ou d’e-commerce, en fonction de ses précédentes sélections), les algorithmes de jeux (échecs, go etc), les algorithmes de conception assistée par ordinateur (présentation de plans et vues en relief, test de fonctionnalités, de productibilité, de fiabilité) etc.

Les techniques algorithmiques sont elles aussi diverses :

  • l’apprentissage machine (machine learning) supervisé (prédictif) ou non-supervisé
  • le classement (ranking)
  • le fact checking
  • l’information flow monitoring
  • la provenance des données et le contrôle de l’usage des données
  • la recommandation

Pour en savoir plus sur ces techniques : https://www.transalgo.org/category/types-de-systemes-algorithmiques/techniques-algorithmiques/

Certains algorithmes ont été conçus de sorte que leur comportement évolue dans le temps, en fonction des données qui leur ont été fournies : ils sont dits  auto-apprenants et relèvent de l'intelligence artificielle.

► Vertus et dangers des algorithmes

La vertu essentielle des algorithmes est de permettre l’exécution optimisée de procédés répétitifs. Leur performance se mesure notamment par la durée de calcul, la consommation de mémoire vive et la précision des résultats obtenus. Ainsi, un ordinateur va réaliser mécaniquement la tâche qui lui est assignée, il  exécutera des instructions et opérations mathématiques de manière répétitive, de telle sorte que l’on peut le considérer comme un outil parfaitement neutre et objective.

Cependant, l’algorithme reflète nécessairement un ensemble d’options, voire d’opinions ou d’intentions dissimulées dans des codes mathématiques : les biais de ses concepteurs, ses programmateurs humains. Chaque algorithme contient  en effet un secret de fabrication, qui assurera  son succès  (à titre d’exemple, l’algorithme utilisé par le moteur de recherche Google qui détermine les pages  présentées à l’internaute lors d’une requête).

Cependant, les recommandations automatiques de consommations de biens et services auxquelles est soumis chaque internaute sont-elles loyales au consommateur ? ou répondent-elle à des biais introduits à l’insu des utilisateurs et dans l’intérêt du fournisseur du service  (ex : activation de la géolocalisation malgré le refus du consommateur, technique du pricing volatil consistant à faire augmenter le prix d’un billet d’avion au fur et à mesure des visites sur un site d’e-commerce)?

« Les algorithmes, ou plutôt les systèmes algorithmiques, sont des opinions encapsulées à travers leur paramétrage et leurs données d’entrainement. La manière dont ils sont conçus peut générer des situations de discrimination intentionnelles ou non. » (Transalgo)

La question de la transparence de l’algorithme se pose de manière d’autant plus cruciale qu’il peut gérer des données personnelles : le consentement à l'utilisation des données personnelles est-il réellement respecté ?

La transparence se heurte cependant au secret industriel et la publication d’un code informatique n’est pas toujours compatible avec  les impératifs de confidentialité.

Les enjeux du développement des algorithmes sont dès lors protéiformes : respect du consentement et de la vie privée, neutralité, loyauté, équité, non-discrimination, transparence,  lutte contre la concurrence déloyale etc. –

► Les évolutions législatives

La loi n°2016-1321 du 7 octobre 2016 pour une République numérique  prévoit l’ouverture par défaut des  données publiques, la neutralité du net, une obligation de loyauté des plateformes en ligne, ainsi qu’une protection accrue pour les données personnelles des usagers du  net.

Suite à l’adoption de cette loi, le secrétaire d'État chargée du Numérique et de l'Innovation, a commandé au Conseil général de l’économie un rapport sur les modalités de régulation des algorithmes de traitement des contenus. Ce rapport a recommandé  la mise en place d’une plate-forme scientifique collaborative destinée à favoriser le développement d’outils logiciels et de méthodes de tests d’algorithmes la promotion de leur utilisation.

C’est ainsi que le projet Transalgo a été initié et que son développement a été confié à l’INRIA. Cette plate-forme, qui est une première en Europe, n’est pas en charge du contrôle réglementaire des algorithmes ou de l’utilisation des données mais  propose des études, outils  et services à l’ensemble des acteurs concernés.

« Nous tentons d’éclairer sur des notions, parfois subjectives, de loyauté d’algorithmes, de consentement, d’explicabilité, d’intelligibilité, de transparence. Nous souhaitons développer une culture et un savoir-faire destinés à une production, une analyse algorithmique et une valorisation des données responsables et éthiques. Cela par un travail d’audit profond des systèmes algorithmiques existants ainsi que par la conception d’une nouvelle génération d’algorithmes transparents et responsables-par-construction.» (Transalgo)

Enfin , la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles a adapté  le droit français en matière de protection des données personnelles au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et a transposé la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données.

Elle a notamment modifié l’article 10 de la loi  n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et prévoit  d'étendre les cas dans lesquels, par exception, une décision produisant des effets juridiques à l'égard d'une personne ou l'affectant de manière significative peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.

Dans sa décision 2018-765 du 12 juin 2018, le Conseil constitutionnel a jugé ces dispositions conformes à la Constitution. Il se prononçait ainsi pour la première fois sur le recours par l'administration à des algorithmes pour l'édiction de ses décisions. Ainsi, le seul recours à un algorithme pour fonder une décision administrative individuelle est subordonné au respect de trois conditions :

-  conformément à l'article L311-3-1 du code des relations entre le public et l'administration, la décision administrative individuelle doit mentionner explicitement qu'elle a été adoptée sur le fondement d'un algorithme et les principales caractéristiques de mise en œuvre de ce dernier doivent être communiquées à la personne intéressée, à sa demande.

- la décision administrative individuelle doit pouvoir faire l'objet de recours administratifs, L'administration sollicitée à l'occasion de ces recours est alors tenue de se prononcer en ne se fondant plus exclusivement sur l'algorithme. La décision administrative est en outre placée, en cas de recours contentieux, sous le contrôle du juge, qui est susceptible d'exiger de l'administration la communication de l'algorithme.

- le recours exclusif à un algorithme est prohibé si ce traitement porte sur l'une des données sensibles mentionnées au paragraphe I de l'article 8 de la loi du 6 janvier 1978, c'est-à-dire des données à caractère personnel « qui révèlent la prétendue origine raciale ou l'origine ethnique », les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique, des données génétiques, des données biométriques, des données de santé ou des données relatives à la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Par ailleurs, le Conseil constitutionnel a relevé que le responsable du traitement doit s'assurer de la maîtrise du traitement algorithmique et de ses évolutions afin de pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard.

 Il en résulte que ne peuvent être utilisés, comme fondement exclusif d'une décision administrative individuelle, des algorithmes susceptibles de réviser eux-mêmes les règles qu'ils appliquent, sans le contrôle et la validation du responsable du traitement (algorithme « auto-apprenant »). A noter que les expériences de justice prédictive reposent sur ce type d'algorithmes (intelligence artificielle et « machine learning »).

L'intelligence artificielle

► pour en savoir plus

►qu’est-ce que l’intelligence artificielle ?

« Définir l’intelligence artificielle n’est pas chose facile. Depuis ses origines comme domaine de recherche spécifique, au milieu du XXe  siècle, elle a toujours constitué une frontière, incessamment repoussée. L’intelligence artificielle désigne en effet moins un champ de recherches bien défini qu’un programme, fondé autour d’un objectif ambitieux : comprendre comment fonctionne la cognition humaine et la reproduire ; créer des processus cognitifs comparables à ceux de l’être humain. » (introduction au rapport de Cédric VILLANI).

« L’intelligence artificielle est un ensemble de notions s’inspirant de la cognition humaine ou du cerveau biologique, et destinés à assister ou suppléer l’individu dans le traitement des informations massives » (rapport France Intelligence Artificielle)

L’intelligence artificielle, c’est « faire faire aux machines des activités qu’on attribue généralement aux animaux et aux humains » (Yann LeCun, chercheur et responsable du laboratoire FAIR)

Si le concept d’intelligence artificielle fait l’objet, depuis plusieurs années, de nombreuses publications et émerge dans notre quotidien, il date en réalité des années 1950 : dans son livre Computing Machinery and Intelligence (Oxford University Press, vol.  59, no  236,‎ ), le mathématicien Alan Turing pose déjà la question de l’apport aux machines d’une forme d'intelligence et propose un test déterminant si une machine possède ou non une conscience.

En 1956, le mathématicien John McCarthy organise un séminaire au cours duquel est inventé le terme « intelligence artificielle » (Darmouth Collège, Etats-Unis).

Si de nombreux algorithmes ont été conçus dans les années 1980, l’augmentation de la capacité de calcul et le développement des technologies de traitement des données massives permettent aujourd’hui d’assurer à l’intelligence artificielle un développement et des progrès fulgurants.

En effet, dès 1984, Ernst Dickmanns (Université de Munich) et Mercedes-Benz testent une camionnette automatique, précurseur de la voiture sans conducteur.

Le web apparaît début des années 1990 : il se présente comme un ensemble de pages mêlant textes, liens, images représentant des centaines de milliards de données circulant et s’échangeant librement.

En 1997, Deep Blue, supercalculateur d’IBM, bat aux échecs le champion du monde Garry Kasparov.

En 2007, Apple commercialise le premier iphone, tactile, qui ouvre ainsi la voie aux smartphones et tablettes.

A compter de 2011, les applications utilisant le langage naturel se développent.

2012 marque une étape importante dans le domaine de l’intelligence artificielle, avec la victoire d’un « réseau de neurones » de l’université de Toronto, lors du concours annuel de reconnaissance d’images ImageNet Challenge, grâce au « deep learning » (ou « technique d’apprentissage  profond » s 'inspirant du fonctionnement du cortex cérébral en simulant des réseaux de neurones), qui permet à un programme informatique d’établir lui-même des règles permettant d’interpréter d’autres données qui étaient jusqu’ici trop complexes à traiter, en étant entraîné sur une base de données pertinente. Avec le deep learning, la machine devrait un jour apprendre sans supervision.

En 2015, Google publie TensorFlow, logiciel d’apprentissage en deep learning, utilisé à des fins industrielles et de recherche.

Si les domaines de recherche sont nombreux (apprentissage automatique, représentation des connaissances, modélisation des raisonnements, modélisation de la cognition, gestion de l’incertitude, etc), la recherche semble se concentrer sur :

  • la compréhension du langage écrit ou vocal : si la machine sait aujourd’hui interpréter un texte en détectant l’opinion qui y est exprimée, ou peut répondre à des questions sur ledit texte, elle n’en saisit pas vraiment le sens, le contexte, les références culturelles
  • la reconnaissance visuelle : elle doit permettre de comprendre le contenu d'une image et de reconnaître un objet ou un visage.

Malgré des progrès fulgurants, nous ne pouvons pas encore construire des machines capables de concevoir une réflexion autonome, de simuler des émotions et de dialoguer naturellement avec les humains…

► Les applications de l’intelligence artificielle

L’intelligence artificielle est source d’innovations protéiformes : innovation technologique, innovation des modèles économiques et commerciaux, innovation des modèles d’organisation, innovation sociale.

Certaines ont d’ores et déjà pris place dans notre vie quotidienne (smartphones, assistants personnels, maisons connectées, robot malins, jeu d’échecs ou jeu de go, reconnaissance faciale, traducteurs, services personnalisés avec notamment suggestions de centres d’intérêts sur les réseaux sociaux, Parcoursup etc) ou dans la vie professionnelle (assistance des chirurgiens par la robotique, simulation de l’évolution de la propagation de la grippe en hiver, évaluation des risques bancaires ou dans le domaine des assurances, aide à la décision sur le terrain militaire, détection spontanée de galaxies par un ordinateur ayant appris comment regarder des images prises par le télescope spatial Hubble…).

Bien d’autres sont imaginées ou attendues à plus ou moins long terme : capteurs détectant les signes de fatigue d’un conducteur, voiture sans conducteur, aide à la transition écologique etc.

► Les enjeux éthiques de l’intelligence artificielle

« Le développement d’une intelligence artificielle complète pourrait provoquer la fin de l’humanité » (Stephen Hawking, astrophysicien, BBC 2014)

« Serons-nous aidés par l’intelligence artificielle ou mis de côté, ou encore détruits par elle ? » (Stephen Hawking, salon technologique Web Summit de Lisbonne, 2017).

« Les normes européennes en matière d’intelligence artificielle doivent se fonder sur les principes d’éthique numérique, de dignité humaine, de respect des droits fondamentaux, de protection des données et de sécurité, et viser à intégrer ces principes dès la conception, contribuant ainsi à renforcer la confiance des utilisateurs » (avis de la commission des libertés civiles, de la justice et des affaires intérieures in  Rapport du Parlement Européen sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique)

Le débat sur les enjeux éthiques de l’intelligence artificielle doit se frayer une place entre d’un côté des déclarations apocalyptiques, des mythes irrationnels et de l’autre un enthousiasme débordant, des attentes démesurées et une fascination devant le défi technologique, alors même qu’il est bien difficile de prévoir son avenir et ses conséquences à long terme. La nécessité d’une vaste réflexion collective ne fait aucun doute, et il conviendra notamment de répondre à la question suivante : les créations échapperont-elles à leurs créateurs ? l’homme deviendra-t-il le jouet de l’artifice qu’il a créé ?

La transparence des systèmes, le traitement des biais et préjugés et leur neutralisation semblent être l’un des enjeux de demain. En effet, si les données d’entrées et les données de sortie sont connues, le fonctionnement interne, le mécanisme des systèmes algorithmiques sont mal compris.

Ils sont cependant susceptibles de reproduire des préjugés, biais ou préjugés humains :

« l’IA c’est avant tout l’apprentissage des processus humains, et ces processus embarquent avec eux des catégorisations, des stéréotypes. Nous avons aujourd’hui les preuves que tous les systèmes que nous avons entraînés pour exécuter une tâche humaine intègrent des biais humains. Finalement, c’est l’outil ultime d’introspection, pour faire ressortir nos propres croyances. Mais maintenant que nous le savons, nous ne pouvons pas déléguer nos préjugés aux algorithmes » (Blaise Agüera y Arcas, Google Brain)

Une autre crainte est relative au big data : si l’accumulation des données ne semble pas en soi poser problème, la régulation de leur utilisation est fondamentale : l’utilisation des données à des fins criminelles, ou l’utilisation de résultats erronés issus d’une masse de données peuvent être désastreuses (notamment en cas d’utilisation d’algorithmes pour fonder une décision d’octroi ou de refus de prêt bancaire, ou une décision d’orientation scolaire, une embauche, voire évaluer le risque criminologique d’un individu).

Les craintes seront apaisées si les développements des projets d’intelligence artificielle s’orientent résolument vers la facilitation de la vie des hommes, et si l’on admet que l’humanité ne se définit pas que par son intelligence, ses capacités de raisonnement et de décision, mais également par ses émotions, son adaptabilité et sa créativité.

Au terme d’un débat public mené en 2017, la CNIL a dégagé deux principes pour une intelligence artificielle au service de l’homme, qui pourraient constituer une nouvelle génération de droits fondamentaux :

  • le principe de loyauté : tout algorithme, qu’il traite ou non des données personnelles, doit être loyal envers ses utilisateurs, (consommateurs, citoyens, voire envers des communautés ou de grands intérêts collectifs dont l’existence pourrait être directement affectée) dont l’intérêt doit primer
  • le principe de vigilance/réflexivité : il s’agit d’organiser un dialogue systématique et continu entre les différentes parties-prenantes, concepteurs, entreprises, citoyens)

Elle formule six recommandations opérationnelles :

  • Former à l’éthique tous les acteurs-maillons de la « chaîne algorithmique » (concepteurs, professionnels, citoyens) : l’alphabétisation au numérique doit permettre à chaque humain de comprendre les ressorts de la machine
  • Rendre les systèmes algorithmiques compréhensibles en renforçant les droits existants et en organisant la médiation avec les utilisateurs
  • Travailler le design des systèmes algorithmiques au service de la liberté humaine, pour contrer l’effet « boîtes noires»
  • Constituer une plateforme nationale d’audit des algorithmes
  • Encourager la recherche sur l’IA éthique et lancer une grande cause nationale participative autour d’un projet de recherche d’intérêt général
  • Renforcer la fonction éthique au sein des entreprises (par exemple, l’élaboration de comités d’éthique, la diffusion de bonnes pratiques sectorielles ou la révision de chartes de déontologie peuvent être envisagées.

L’on peut y ajouter la réflexion nécessaire relative aux impacts de l’intelligence artificielle sur la réalisation des objectifs de l’ONU en matière de développement durable (ODD).

► Les enjeux juridiques de l’intelligence artificielle

L’intelligence artificielle impose une réflexion relative à l’adaptation des dispositions législatives et réglementaires aux nouveaux outils qu’elle permet de développer, notamment en matière de responsabilité civile, de droits d’auteur et de protection des données personnelles.

• le droit de la responsabilité

Un robot doté d'une intelligence artificielle peut-il être considéré comme une personne juridique ? Aux côtés de la personnalité physique et la personnalité morale, une personnalité pourrait-elle être conférée à tout robot qui prend des décisions autonomes ou qui interagit de manière indépendante avec des tiers ? Comment en robot, qui n’a en l’état pas de patrimoine, pourrait-il indemniser une victime ? Un patrimoine pourrait-il lui être affecté dès sa mise en service ?

A défaut, quelle personne pourrait être désignée comme responsable juridiquement en cas de faute commise par un robot ou par tout autre système d’intelligence artificielle autonome ? Les constructeurs pourraient-ils être tenus responsables des négligences graves dans la conception d’un robot en matière de sécurité ou de sûreté ? Une telle question peut se poser tant au regard de la législation sur les produits défectueux qu’au regard de la loi du 5 juillet 1985 relative aux accidents de la circulation, notamment pour les voitures sans conducteur.

En l’état actuel du droit, seule la mise en œuvre des principes de la responsabilité des produits défectueux (articles 1245 et suivants du code civil) peut être envisagée, l’action pouvant être dirigée contre le fabricant ou le concepteur/développeur.

Cependant, comment peut-on imputer à ces derniers la faute d’un robot due à une erreur de calcul d’un algorithme ?

• le droit d’auteur

La question de la protection des algorithmes et de leur titularité se pose. Il peut être envisagé de recourir au droit d’auteur pour protéger une solution d’intelligence artificielle.

Bien plus, quelle personne peut être considérée comme auteur d’une œuvre d’art élaborée en tout ou partie par l’intelligence artificielle ? Le 25 octobre 2018, une toile créée par un logiciel d'intelligence artificielle, intitulée « Portrait d'Edmond de Belamy», a été vendue aux enchères par la maison Christie’s. Estimée entre 7 000 et 10 000 dollars, elle a été adjugée 432 500 dollars. Cette toile a été réalisée par un logiciel qui, nourri de 15 000 portraits classiques, a appris à comprendre les règles du portrait pour générer lui-même de nouvelles images.

Le collectif Obvious, qui a développé ce projet, estime que sa démarche reste une démarche artistique puisque si l’algorithme crée l’image, c’est le collectif qui en a eu l’intention, qui a choisi le sujet, qui a imprimé la toile, qui l’a signée.

Dès lors, le collectif en est-il l'auteur, ou est-ce l'algorithme? Des droits d'auteur peuvent-ils être perçus pour sa reproduction ?

• la protection des données personnelles

La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a modifié la loi « Informatique et Libertés » pour l’adapter aux dispositions du Règlement général sur la protection des données (RGPD), applicable partout en Europe depuis le 25 mai 2018 (voir infra, la protection des données personnelles)

Le rapport VILLANI pose cependant la question de la survivance de la notion de données à caractère personnel puisque, notamment dans le cadre du deep learning, les données qui sont exploitées à grande échelle et peuvent renseigner simultanément sur plusieurs individus et établir des corrélations entre eux.

►Intelligence artificielle et systèmes judiciaires

L’utilisation de l’intelligence artificielle dans les systèmes judiciaires pose de multiples questions qui sont abordées dans Charte éthique européenne d’utilisation de l’intelligence artificielle dans les systèmes judiciaires et leur environnement adoptée le 3 décembre 2018 par la Commission européenne pour l’efficacité de la justice (CEPEJ) du Conseil de l’Europe : si l’utilisation de l’intelligence artificielle dans le domaine de la justice peut contribuer à améliorer son efficacité et sa qualité, le traitement par les algorithmes des décisions juridictionnelles et des données judiciaires et leur l’utilisation doivent notamment respecter les droits fondamentaux, un principe de non-discrimination, un principe de qualité et sécurité (les sources utilisées doivent être certifiées, l’environnement technologique doit être sécurisé), un principe de transparence, neutralité et intégrité intellectuelle (les méthodologies de traitement des données doivent être accessibles et compréhensibles), et un principe de maîtrise par l’utilisateur (qui doit être un acteur éclairé et maître de ses choix) .

L’open data permet d’accéder à de grandes masses de décisions de justice et l’intelligence artificielle permet de traiter ces masses de données. Les utilisations de l’intelligence artificielle en matière judiciaire peuvent être les suivants :

  • renseignements de justiciable via des chatbots
  • développement de moteurs de recherche de jurisprudence
  • veille juridique
  • analyse prédictive
  • modes alternatifs de résolution des litiges en ligne
  • aide à la rédaction d’actes et veille législative relative aux actes rédigés, extraction de l'information dans des textes complexes
  • aide à l’analyse des besoins d’administration de la justice via le traitement avancé des statistiques des juridictions afin de prévoir l’évolution des besoins en moyens humains et financiers.

Etc

En France, plusieurs legaltechs (dont la liste ci-après n’est pas limitative) ont développé des services utilisant l’intelligence artificielle :

- les moteurs de recherche :

  •  Doctrine.fr qui « organise l’information juridique pour la rendre facilement accessible et pertinente pour les professionnels du droit »
  •  Juri’Predis « moteur de recherche juridique doté d’intelligence artificielle qui imite l’indexation humaine de la jurisprudence »
  •  Jus mundi, moteur de recherche multilingue de droit international

- la veille juridique :

            Alinéa by Luxia : moteur de recherche et  veille juridique quasi-automatisée en droit français et européen

- les chatbots :

  • Dailydroits: « le droit d’avoir le droit. Un accompagnement humain rapide et économique »
  • Justinien « Notre rêve : rendre le droit accessible à tous grâce à l'IA, sans conditions de ressources ou d'éducation. »
  •  LegaBot: « Chatbot permettant de contester ses contraventions et de régler seul ses litiges du quotidien »

- les outils d’aide à la rédaction :

  • LegalPlace propose une automatisation de la rédaction d'actes et des process juridiques à l'aide d'un outil d'accompagnement intelligent permettant de générer un produit final adapté à ses besoins et market practice.
  • Hyperlex propose aux entreprises et professionnels du droit une solution leur permettant de gérer et analyser automatiquement leurs contrats et documents juridiques associés.
  • SoftLaw : « Le progiciel d'analyse de documents juridiques de SoftLaw permet de retrouver en quelques clics les informations clés de vos contrats pour vérifier leur conformité à la règlementation, automatiser leur mise à jour ou faciliter leur analyse lors d'opérations transactionnelles. Il permet de réaliser très simplement des clausiers ou de retrouver rapidement le bon précédent. »
  • Gino : technologie originale de robotisation de contrats.
  • L’enjeu actuel de l’intelligence artificielle dans les systèmes judiciaires est cependant la justice prédictive.
  • Predilex outil d'estimation du montant des dommages corporels à destination des assurances
  • Maitredata : « LegiVision, une solution Maitredata, est un outil unique d’aide à la décision en matière de droit social pour les professionnels du droit permettant d’évaluer le montant d’une indemnité conventionnelle, la comparer à l’indemnité légale, déterminer le préavis, la période d’essai, le temps de procédure…La solution LegiVision c’est aussi le traitement statistique de vos données, l’élaboration d’une probabilité mathématique basée sur l’ensemble des données MaitreData ».
  • JurisData Analytics ou « le service d’analyse prédictive de lexis360® »  se présentant comme «le service d’aide à la décision de Lexis 360® pour évaluer le montant d’une indemnité ou toute autre prestation à caractère monétaire en exploitant les données chiffrées contenues dans la jurisprudence » dans le domaine des aliments, des baux, du divorce, du dommage corporel, du licenciement, des troubles de voisinage
  • Case Law Analytics  « L'Intelligence artificielle au service de la quantification du risque juridique » « Véritables aides à la décision qui placent le professionnel du droit au centre de l’analyse et de la stratégie juridique »
  • Prédictice : « Mettez la justice prédictive de votre côté. Estimez le taux de succès d’une action contentieuse. Puis transmettez cette information clé. Optimisez votre stratégie en fonction des juridictions. » 

Cependant, entre avril et juin 2017, les cours d’appel de Rennes et de Douai ont participé, à une expérimentation consistant à tester la plate-forme Predictice, qui, en analysant- grâce à un algorithme de machine learning- la jurisprudence des cours d’appel et de la cour de cassation, devrait permettre d’établir les chances de succès d’un dossier et d’évaluer le montant des indemnités allouées. Cette expérimentation n’a cependant pas été considérée comme concluante: l'outil n'apporterait aucune plus-value par rapport à d'autres moteurs de recherche aurait une approche plus quantitative que qualitative et pourrait produire des résultats aberrants et l'algorithme ne saurait pas lire les subtilités des motivations (voir l'interview de Xavier Ronsin, premier président de la cour d'appel de Rennes par Dalloz actualités).

Là encore, la transparence des algorithmes- qui, rappelons-le, sont toujours soumis à des biais et préjugés humains- s’avère indispensable et doit être alliée à une expertise juridique sur les données entrées afin de produire des résultats pertinents et gagner la confiance des utilisateurs.

« Une expérimentation menée sur des décisions de cours d’appel administratives françaises avec un algorithme de machine learning a permis d’établir que la confiance que l’on placerait dans des outils de justice prédictive implique, au cours du processus, que le calculs et les caractéristiques du modèle de prédiction soient visibles et compréhensibles par le juriste, avocat ou magistrat, qui les emploie » (Michael Benesty, L'open data et l'open source, des soutiens nécessaires à une justice prédictive fiable ?)

Si la justice ne semble pas évoluer aujourd’hui vers une justice mécanique rendue par des juges-robots, l’intelligence artificielle doit pouvoir offrir au juge des outils pour améliorer sa qualité et son efficacité, tout en respectant d’une part l’office du juge, son indépendance et sa liberté d’appréciation, et d’autre part l’accès à la justice.

Ainsi, le ministère de la Justice développe ses propres outils utilisant l'intelligence artificielle, notamment des outils d'aide à la rédaction des décisions de justice ou le programme DATAJUST  relatif à l'indemnisation des dommages corporels. De nombreuses autres applications de l'intelligence artificielles peuvent être imaginées, notamment relativement à l'analyse et la gestion des temps de procédures (temps utile, temps perdu, temps oublié etc) ou des flux/stocks.

 « Les robots ne vont jamais se substituer aux juges. Par contre, peut-être que les robots seront intégrés aux procédures ».Antoine GARAPON, secrétaire général de l'IHEJ

La blockchain

► pour en savoir plus

►Qu’ est-ce que la blockchain ?

La blockchain (ou chaîne de blocs) est un logiciel stockant et transférant de la valeur ou des données par internet. C'est une technologie de stockage et de transmission d’informations de manière sécurisée et sans recours à un organisme centralisateur. Elle constitue dès lors une base de données dont les caractéristiques sont les suivantes :

  • elle contient l’historique de tous les échanges effectués entre ses utilisateurs depuis sa création
  • elle fonctionne sans organe central de contrôle qui certifierait les transactions: c'est un processus décentralisé redistribuant la confiance
  • elle aurait un coût infinitésimal.

En outre, elle est partagée par tous ses utilisateurs, ce partage devant garantir :

  • sa transparence
  • sa sécurisation, puisque chaque utilisateur peut vérifier la validité de la chaîne

Selon les applications, la blockchain peut assurer l’instantanéité voire l’automaticité des opérations.

Elle se fonde sur l’utilisation de clés cryptographiques (asymétriques, c’est à dire une clé privée et une clé publique) et d’algorithmes de hachage, les informations contenues dans la blockchain étant des résumés chiffrés de transactions, appelés hash.

Il existe trois types de blockchains :

  • des blockchains publiques, ouvertes à tous
  • des blockchains à permission, dont l’accès est défini par des règles prédéterminées
  • des blockchains privées, dont l’accès est contrôlé et doit être validé par un acteur.

► Le fonctionnement de la blockchain

https://blockchainfrance.net/ présente le fonctionnement de la blockchain ainsi qu’il suit :

Les transactions effectuées entre les utilisateurs du réseau sont regroupées par blocs. Chaque bloc est validé par les nœuds du réseau appelés les “mineurs”, selon des techniques qui dépendent du type de blockchains.

Une fois le bloc validé, il est horodaté et ajouté à la chaîne de blocs. La transaction est alors visible pour le récepteur ainsi que l’ensemble du réseau.

Il existe dès lors trois types d’acteurs de la blockchain :

  • les participants, qui créent des transactions
  • les mineurs, qui valident les transactions et créent les blocs
  • les accédants, qui peuvent lire ou copier la chaîne.

► Les applications de la blockchain

Dans son rapport sur l’état des lieux de la blockchain et ses effets potentiels pour la propriété littéraire et artistique, le conseil supérieur de la propriété littéraire et artistique envisage trois fonctionnalités de la blockchain :

  • Le support de transactions portant soit sur des actifs intrinsèquement numériques ou titres de propriété virtuels  (aussi appelés tokens ou jetons, qu’il s’agisse de monnaie, d’actions, d’obligations etc), soit sur des titres correspondant à des échanges physiques (ex : transfert d’un certificat d’immatriculation lors de la vente d’un véhicule automobile)
  • La constitution de registres, permettant à une personne d’établir l’antériorité de ses droits ou de son action sur un objet et de suivre son évolution sans tiers de confiance en enregistrant le hash de transactions de façon publique et irrévocable
  • L’exécution automatique de contrats : les smart contracts (programmes informatiques qui réagissent à l’activation d’une condition en provoquant un résultat)

La première blockchain est apparue en 2008, avec la monnaie numérique bitcoin.

Cette technologie est également utilisée pour :

  • l’émission   de  lettres   de  crédit,   destinées   à  financer   le  commerce  à  l’export permettant à chaque partie concernée d’en suivre le déroulement (projet développé par la Bank of America Merrill Lynch, HSBC et l’autorité de développement   de   Singapour   Infocomm en 2016) 
  • la lutte contre l’origine frauduleuse des diamants (projet développé par la  start-up  Everledger qui a enregistré les caractéristiques (couleur, poids, transparence) de plus d’un million de diamants
  • l’authentification des titres de propriété immobilière grâce à la blockchain pour garantir l’absence de modification ultérieure (expérimentation du Ghana et la Géorgie)
  • la certification de documents administratifs, dont à terme des dossiers médicaux (projet estonien adoptant le système Keyless Signature)
  • la sécurisation de la gestion du registre du commerce et des sociétés par les greffiers des tribunaux de commerce en France (voir l'article du Monde du Droit)

Etc.

Elle pourrait l’être pour :

  • les paris : la victoire  d’un sportif  déclencherait une transaction financière entre les deux parieurs ou entre le parieur et le bookmaker
  • l’enregistrement de transactions entre consommateurs sur des produits culturels numérisables, permettant, par   exemple,   le   développement   d’un   marché   du   livre   numérique   d’occasion   en garantissant que le même livre n’est pas à la fois vendu et conservé par son premier propriétaire
  • la certificat de diplômes
  • la facilitation du crowfunding (financement collectif) d’œuvres d’art

Etc

►L'avenir de la blockchain

La blockchain est souvent qualifiée de troisième révolution, après la révolution de l’informatique et celle d’internet : elle ouvre la voie de l’économie numérique ou token économie, du web décentralisé, en permettant à ses utilisateurs de créer de nouveaux usages, de nouveaux modèles d’affaires.

Cependant, certains considèrent qu'il s'agit non seulement d'une mauvaise technologie mais également une vision erronée du futur puisque les systèmes fondés sur la confiance, les normes et les institutions fonctionnent et que l'espoir de produire de l'intégrité par la décentralisation est vain. L'idéal éthéré de la blockchain ne résisterait pas aux assauts de la réalité.

La blockchain serait inutile puisqu'il n'existe pas de problème qui pourrait être résolu exclusivement par la blockchain. A titre d'exemple, le transfert d'argent via la plateforme Venmo est gratuit alors que le transfert de bitcoin ne l'est pas (Ripple, géant de la blockchain, n'utilise d'ailleurs pas la blockchain pour ses transferts internationaux d'argent...). Le blockchain ne serait qu'une longue séquence de petits fichiers, chacun contenant un hash du précédent, quelques nouvelles données et la réponse à un problème mathématique, ainsi qu' un partage d'argent entre ceux qui veulent bien certifier et stocker ces fichiers sur leur ordinateur.  Que penser d'un système où tout le monde garderait ses archives dans un répertoire inviolable n'appartenant à personne?

Bien plus, la blockchain ne supprime pas le besoin de confiance. Si elle ne nécessite pas d'accorder sa confiance à un interlocuteur humain ou à des institutions, elle nécessite d'accorder sa confiance à un logiciel, qui n'est pas exempt de failles technologiques (si le système Bitcoin n'a jamais été piraté, les plateformes d'échanges  et de stockage l'ont été, de telle sorte que la responsabilité du piratage est transféré sur les utilisateurs). Par ailleurs, le risque de piratage, de manipulation (comme pour le Onecoin, s'avérant être un système de Ponzi ou de clôture, sur ordre du gouvernement, de la plateforme d’échange d'une cryptomonnaie, n'est pas exclu en  l'absence de de réglementation du secteur.

Par ailleurs, la nécessité de recourir à un tiers de confiance pour saisir numériquement une donnée physique externe anéantit le principal intérêt de la blockchain puisque si elle garantit l'intégrité des données une fois stockées, la blockchain ne peut garantir la sincérité desdites donner.

Enfin, le caractère énergivore et l'enjeu de la réduction de son empreinte environnementale de la blockchain sont au coeur des débats: il n'est pas contesté que la blockchain nécessite une importante puissance de calcul et engendre en effet des coûts énergétiques importants. Ainsi, le Bitcoin consommerait  l'équivalent de la consommation électrique annuelle de l'Irlande, ou encore de la production électrique de 4 centrales nucléaires (sachant que la consommation du web correspondrait à la production électrique de 30 centrales nucléaires, les datacenters consommant quant à eux près de 3% de l'énergie mondiale). A l’heure où l’environnement est une cause d’intérêt général, la consommation énergétique de la blockchain est un enjeu majeur.

►La blockchain en droit français

La blockchain reste largement un objet juridique inconnu. Elle a cependant fait son apparition en droit français en 2016 :

- l’article L223-12 du code monétaire et financier créé par ordonnance n°2016-520 du 28 avril 2016 prévoit que l'émission et la cession de minibons peuvent également être inscrites dans un « dispositif d'enregistrement électronique partagé » permettant l'authentification de ces opérations, dans des conditions, notamment de sécurité, définies par décret en Conseil d'Etat.

-  l’article 120 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique dite « Sapin II » 5  a autorisé le Gouvernement à prendre, par voie d’ordonnance, les mesures législatives nécessaires pour « adapter le droit applicable aux titres financiers et aux valeurs mobilières afin de permettre la représentation et la transmission, au moyen d'un dispositif d'enregistrement électronique partagé, des titres financiers qui ne sont pas admis aux opérations d'un dépositaire central ni livrés dans un système de règlement et de livraison d'instruments financiers »

La blockchain va affecter tout le secteur juridique et peut engendrer un bouleversement de nombreux domaines du droit et notamment le droit des contrats, le droit de la propriété intellectuelle,le droit au respect de la vie privée,  les règles de preuve (la blockchain constitue-t-elle une preuve authentique ?), le droit de la responsabilité, la lutte contre la fraude, la force juridique des opérations (l’acte a-t-il force exécutoire de plein droit ? quelles relations entre la cryptographie et l’opposabilité juridique?quelle territorialité pour les opérations?) etc.

Les smart contracts

Les smart contracts sont des programmes informatiques fonctionnant dans un système de blockchain, notamment Ethereum , qui exécutent automatiquement et sans intervention humaine les engagements d’un contrat si l’ensemble des conditions sont réunies.

Après que les parties aient défini les termes d’un contrat, et notamment les conditions ou termes de leur mise en œuvre, ils sont traduits en langage informatique ; lorsque les conditions d’exécution du contrat sont remplies, les engagements sont exécutés automatiquement.

            Par exemple,  X commande un produit auprès de Y pour un montant de x€. Lors de la formalisation du contrat, X met en gage x€ sur la blockchain Dès que le produit est livré, Y perçoit la rémunération. Si le produit n’est pas livré, X récupère son gage.

            Par exemple, sur l’application MyWish, l’on peut planifier l’envoi automatique de ses mots de passe personnels ou d’argent à des tiers en cas de décès.

            En 2017, la compagnie d’assurance Axa a lancé fizzy, qui permet une indemnisation automatique d’un voyageur en cas de retard d’un vol : avant son trajet, l’utilisateur indique son numéro de vol et verse le prix de l’assurance. Si l’avion est en retard de plus de deux heures, le voyageur est indemnisé automatiquement, quelle que soit la cause du retard, sans déclaration de sinistre et dès l’arrivée du vol, par crédit sur sa carte bancaire.

            Dans le domaine des assurances, l’assurance indicielle (liée à un indice, tel que la température ou le niveau de précipitations pendant une période donnée) peut faire l’objet de smart contracts : un smart contract peut prévoir qu’après 30 jours sans précipitations, une assurance verse automatiquement un montant prévu à son assuré agriculteur, quel que soit le préjudice effectif de l’agriculteur et sans déclaration de sinistre de sa part.

Dans le domaine immobilier, il existe des projets de smarts contracts appliqués à la location saisonnière (un paiement authentifié par la blockchain pourrait générer une clé électronique la porte, activable via son smartphone, valable exclusivement pour la durée de la location)

La principale difficulté est liée à la validation des conditions d’exécution. En effet, si ces conditions sont liées à d’autres écritures dans la blockchain, ou à une date d’exécution, la validation sera automatique. En revanche, si l’exécution du contrat est liée à un événement extérieur à la blockchain, un lien devra être fait manuellement entre la blockchain et le monde réel,  puisque la blockchain ne peut pas accéder à des sources de données externes.

Ce lien sera fait par des tiers appelés Oracles. L’oracle sera une personne physique ou morale, a priori rémunérée, choisie par les parties au contrat ou par le créateur du smart-contract, qui aura pour rôle d’insérer dans la blockchain l’information ou l’élément extérieur. Cet Oracle aura dès lors un rôle de tiers de confiance. Plusieurs structures plus ou moins complexes sont proposées par diverses sociétés pour limiter le pouvoir de l’Oracle et éviter ses défaillances et ses erreurs.

Les principales caractéristiques des smart-contracts sont dès lors leur fiabilité (immutabilité, exécution sécurisée) et leur efficacité (exécution automatique).

Les bénéfices attendus des smart contracts sont la réduction des délais de paiement, des coûts de traitement et de vérification, la réduction des fraudes, mais également la réduction des contentieux. Cependant, à terme, la question de la législation applicable à ces contrats « crypto » demeure : sera- t-elle la même que celle applicable aux contrats « fiat » (relevant de l’environnement juridique traditionnel) ? ou le code informatique fera-t-il office de loi (« code is law ») en ignorant les dispositions d’ordre public, par exemple  du droit de la consommation? comment envisager les modes de preuve ? Le smart contract est-Il un contrat ou une modalité technique d’exécution du contrat ? L’immutabilité de la blockchain ne s’oppose-t-elle pas au principe de renégociation de l’article 1195 du code civil ? à l’annulation pour vice du consentement ? Le propriétaire de la blockchain,  le créateur du logiciel ou ses utilisateurs sont-ils responsables en cas de dysfonctionnement?

Le RGPD

Le règlement général de protection des données dit RGPD est un règlement européen (règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif  à  la  protection  des  personnes  physiques  à  l'égard  du  traitement  des  données  à  caractère personnel  et  à  la  libre  circulation  de  ces  données,  et  abrogeant  la  directive  95/46/CE) est applicable en France depuis le 25 mai 2018.

Il établit des règles relatives à la collecte et l’utilisation des données à caractère personnel applicable sur tout le territoire de l’union européenne.

Il s’inscrit dans la continuité de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés  modifiée par la  loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.

La loi n° 2018-493 du 20 juin 2018 est elle-même amendée par l’ordonnance n° 2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel  entrant en vigueur au plus tard le 1er juin 2019.

Le règlement (UE) 2016/679 est complété par la Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, destinée aux administrations.

► pour aller plus loin

► Les données à caractère personnel

Aux termes de l’article 4 du règlement (UE) 2016/679, sont des «données  à caractère personnel» , toute information  se rapportant à une personne physique identifiée ou identifiable (…)  est  réputée  être  une  «personne  physique  identifiable»  une  personne physique qui peut être identifiée, directement ou indirectement, notamment par  référence à un identifiant,  tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »

Aux termes de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés  modifiée  par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles,

« constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

« Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique. »

Les données personnelles sont dès lors toute information se rapportant à une personne physique identifiée ou identifiable, que l’identification soit directe (par ses noms et prénoms, photographie) ou indirecte (par un numéro de sécurité sociale, adresse IP, numéro de téléphone, empreinte digitale etc)

►Le traitement des données

Aux termes de l’article 4 du règlement (UE) 2016/679, "on entend par «traitement»,  toute  opération  ou  tout  ensemble  d'opérations  effectuées  ou  non  à  l'aide  de  procédés  automatisés  et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation,  la  structuration,  la  conservation,  l'adaptation  ou  la  modification,  l'extraction,  la  consultation,  l'utilisation,  la  communication  par  transmission,  la  diffusion  ou  toute  autre  forme  de  mise  à disposition,  le  rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction » 

Aux termes de l'article 2 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée, « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. »

Dès lors, toute opération portant sur des données personnelles est un traitement.

► Le champ d’application

Est soumise au RGPD toute structure privée ou publique qui collecte ou traite des données :

  • si elle son siège dans l’union européenne
  • si elle a son siège hors de l’union européenne mais traite des données de résidents européens
  • si elle est sous-traitant d’une de ces structures.

Le RGPD est donc applicable tant aux sociétés commerciales qu’aux professionnels libéraux (notamment avocats, notaires, huissiers), associations, administrations etc.

► Les principes du RGPD

L’objectif du règlement est de renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en unifiant et simplifiant la réglementation pour les entreprises.

L’article 5 du règlement (UE) 2016/679 fixe les principes relatifs au traitement des données à caractère personnel :

  • licéité, loyauté, transparence  
  • limitation des finalités (qui doivent être  déterminées,  explicites  et  légitimes)
  • minimisation des données (qui doivent être adéquates,  pertinentes  et  limitées  à  ce  qui  est  nécessaire  au  regard  des  finalités  pour  lesquelles  elles  sont  traitées)
  • exactitude et mise à jour 
  • limitation de conservation (conservées  sous  une  forme  permettant  l'identification  des  personnes  concernées  pendant  une  durée  n'excédant  pas celle  nécessaire  au  regard  des  finalités  pour  lesquelles  elles  sont  traitées, sauf fins archivistiques dans l'intérêt public, ou de recherche scientifique ou historique ou statistiques (limitation de la conservation)
  • intégrité et confidentialité

La charge de la preuve du respect de ces principes pèse sur le responsable du traitement des données.

Sauf exceptions (lorsque ce traitement est nécessaire à l’exécution d’un contrat accepté par la personne, ou découle d’une obligation légale, est nécessaire à la sauvegarde des intérêts vitaux de la personne, à l’exécution d’une mission d’intérêt public, à tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant), le consentement à la collecte des données doit être exprès et doit résulter d’un acte positif. Il peut être retiré à tout moment.

            Article 4 du règlement (UE) 2016/679 : le consentement est « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
            Considérant n°32 du règlement (UE) 2016/679 : « il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité. »

Les personnes dont les données sont collectées disposent de droits à la rectification, à l’effacement des données et à l’oubli :

          Article 17 du règlement (UE) 2016/679 : « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais »

Lorsque les données personnelles ont été violées, et que cette violation est susceptible d’engendrer un risque « élevé » pour les droits et libertés d’une personne physique l’ensemble des responsables de traitement, en ce compris leurs sous-traitants, l’obligation d’informer les autorités au plus tard 72 heures après la découverte du problème, outre les personnes concernées, sauf si des mesures de protection ont été mises en œuvre ou seront prises ultérieurement.

        Article 34 du règlement (UE) 2016/679 : ce signalement devra intervenir « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique. »

► La mise en conformité

Avant la mise en place d’un traitement de données pouvant présenter des risques pour la protection des données personnelles, l’entreprise devra réaliser une analyse d’impact.

Article 35 du règlement (UE) 2016/679  « Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »

Un registre détaillé des traitements doit désormais être obligatoirement conservé par le responsable du traitement et par ses éventuels sous-traitants.  Il doit pouvoir être mis à tout moment à disposition des autorités de contrôle.

L’article 30 du règlement (UE) 2016/679 précise le contenu de ce registre.

La nomination d’un délégué à la protection des données (DPD) sera obligatoire dans certains cas.

Article 37 du règlement (UE) 2016/679 : la désignation est obligatoire lorsque « a)  le  traitement  est  effectué  par  une  autorité  publique  ou  un  organisme  public,  à  l'exception  des  juridictions  agissant dans l'exercice de leur fonction juridictionnelle; b)  les activités de  base  du responsable  du traitement ou  du sous-traitant  consistent en des  opérations  de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories  particulières  de  données  visées  à  l'article  9  et  de  données  à  caractère  personnel  relatives  à  des  condamnations pénales et à des infractions visées à l'article 10. »

Le délégué à la protection des données aura pour mission de contrôler le respect du règlement et des autres règles de protection des données, dispenser des conseils, coopérer avec l’autorité de contrôle etc (articles 38 et 39 du règlement (UE) 2016/679) 

►Les recours et les sanctions

Le RGPD consacre :

- le droit d’introduire une réclamation auprès d’une autorité de contrôle

            Article 77 du règlement (UE) 2016/679 :  Sans  préjudice  de  tout  autre  recours  administratif  ou  juridictionnel,  toute  personne  concernée  a  le  droit d'introduire une réclamation auprès d'une autorité de contrôle, en particulier dans l'État membre dans lequel se trouve sa résidence  habituelle,  son  lieu  de  travail  ou  le  lieu  où  la  violation  aurait  été  commise,  si  elle  considère  que  le  traitement de données à caractère personnel la concernant constitue une violation du présent règlement.

- le droit à un recours juridictionnel effectif contre une autorité de contrôle, devant les juridictions de l’Etat membre sur lequel l’autorité de contrôle est établie

            Article 78 du règlement (UE) 2016/679 :  sans  préjudice  de  tout autre  recours  administratif ou  extrajudiciaire, toute personne  physique ou  morale  a  le  droit de  former  un  recours  juridictionnel  effectif  contre  une  décision  juridiquement  contraignante  d'une  autorité  de  contrôle qui la concerne et toute personne concernée a le droit de former un recours juridictionnel effectif  lorsque l'autorité de contrôle ne traite pas  une  réclamation  ou  n'informe  pas  la  personne  concernée,  dans  un  délai  de  trois  mois,  de  l'état  d'avancement ou  de l'issue de sa réclamation.

- le droit à un recours juridictionnel effectif contre un responsable du traitement ou un sous-traitant,  devant  les  juridictions  de  l'État membre  dans  lequel  le  responsable  du  traitement  ou  le  sous-traitant  dispose  d'un  établissement (devant  les  juridictions  de  l'État  membre  dans  lequel  la  personne  concernée  a  sa  résidence  habituelle, sauf  si  le  responsable  du  traitement  ou  le  sous-traitant  est  une  autorité  publique  d'un  État  membre  agissant  dans l'exercice de ses prérogatives de puissance publique).  (Article 79 du règlement (UE) 2016/679). Dans le cadre de ce recours, la personne concernée du fait de la violation d’une obligation du règlement  qui a subi un préjudice matériel ou moral  pourra obtenir réparation du responsable  du  traitement  ou  du  sous-traitant, sauf si le fait qui a provoqué le dommage ne leur est pas imputable (article 82 du règlement (UE) 2016/679)

Pour tous ces recours, la  personne  concernée  peut être représentée par  un  organisme,  une  organisation  ou  une  association  à  but  non lucratif,  qui  a  été  valablement  constitué  conformément  au  droit  d'un  État  membre,  dont  les  objectifs  statutaires  sont d'intérêt public et est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de  la  protection  des  données  à  caractère  personnel (article 80 du règlement (UE) 2016/679 et article 43 quater de la loi n°78-17 du 6 janvier 1978 (futur article 38).

En France, la commission nationale de l’informatique et des libertés (CNIL) est l’autorité de contrôle dont la mission est notamment de veiller à l’application du règlement et à son respect, de fournir à toute personne qui le demande des informations sur l’exercice des droits que lui confère le règlement, et de traiter des réclamations introduites par une personne concernée ou un organisme (article 57 du règlement (UE) 2016/679)

Elle a notamment le pouvoir de se faire communiquer toute information par les responsables du traitement des données, mener des enquêtes (dans le respect des conditions de l’article 44 de la loi n°78-17 du 6 janvier 1978), notifier au responsable du traitement une violation alléguée du règlement etc.

Elle a également le pouvoir d’adopter les « mesures correctrices » suivantes (article 58 du règlement (UE) 2016/679 et articles 45 et 46 de la loi n°78-17 du 6 janvier 1978):

  • avertir  un  responsable  du  traitement  ou  un  sous-traitant  du  fait  que  les  opérations  de  traitement  envisagées  sont susceptibles de violer les dispositions du présent règlement;
  • rappeler  à  l'ordre  un  responsable  du  traitement ou  un  sous-traitant  lorsque  les  opérations  de  traitement ont entraîné une violation des dispositions du présent règlement;
  • ordonner  au  responsable  du  traitement  ou  au  sous-traitant  de  satisfaire  aux  demandes  présentées  par  la  personne concernée en vue d'exercer ses droits en application du présent règlement;
  • ordonner au responsable du traitement ou au sous-traitant de mettre les opérations de traitement en conformité avec les dispositions du présent règlement, le cas échéant, de manière spécifique et dans un délai déterminé;
  • ordonner  au  responsable  du  traitement  de  communiquer  à  la  personne  concernée  une  violation  de  données  à caractère personnel;
  • imposer une limitation temporaire ou définitive, y compris une interdiction, du traitement
  • ordonner  la  rectification  ou  l'effacement  de  données  à  caractère  personnel  ou  la  limitation  du  traitement  en application  des  articles  16,  17  et  18  et  la  notification  de  ces  mesures  aux  destinataires  auxquels  les  données  à caractère personnel ont été divulguées en application de l'article 17, paragraphe 2, et de l'article 19;
  • retirer  une  certification  ou  ordonner  à  l'organisme  de  certification  de  retirer  une  certification  délivrée  en  application des  articles  42  et  43,  ou  ordonner  à  l'organisme  de  certification  de  ne  pas  délivrer  de  certification  si  les  exigences applicables à la certification ne sont pas ou plus satisfaites;
  • imposer une amende administrative en application de l'article 83, en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas;
  • ordonner la suspension des flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale.

Les amendes administratives imposées doivent être effectives, proportionnées et dissuasives ; elles peuvent être cumulées avec les autres mesures de l’article 58 du règlement (UE) 2016/679 et doivent tenir compte des critères énoncés à l’article 83 du même règlement.

Article 83 du règlement (UE) 2016/679 : (…) Pour décider s'il y a lieu d'imposer  une amende administrative  et  pour  décider  du  montant  de  l'amende  administrative,  il  est  dûment tenu  compte,  dans  chaque  cas d'espèce, des éléments suivants: a)   la  nature,  la  gravité  et  la  durée  de  la violation,  compte tenu  de  la  nature,  de  la  portée ou  de  la  finalité  du  traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu'elles ont subi; b)  le fait que la violation a été commise délibérément ou par négligence; c)   toute  mesure  prise  par  le  responsable  du  traitement  ou  le  sous-traitant  pour  atténuer  le  dommage  subi  par  les personnes concernées; d)  le  degré  de  responsabilité  du  responsable  du  traitement  ou  du  sous-traitant,  compte  tenu  des  mesures  techniques  et organisationnelles qu'ils ont mises en œuvre en vertu des articles 25 et 32; e)   toute violation pertinente commise précédemment par le responsable du traitement ou le sous-traitant; f)   le  degré  de  coopération  établi  avec  l'autorité  de  contrôle  en  vue  de  remédier  à  la  violation  et  d'en  atténuer  les éventuels effets négatifs; g)   les catégories de données à caractère personnel concernées par la violation; h)  la  manière  dont  l'autorité  de  contrôle  a  eu  connaissance  de  la  violation,  notamment  si,  et  dans  quelle  mesure,  le responsable du traitement ou le sous-traitant a notifié la violation; i)   lorsque des mesures visées à l'article 58, paragraphe 2, ont été précédemment ordonnées à l'encontre du responsable du traitement ou du sous-traitant concerné pour le même objet, le respect de ces mesures; j)   l'application  de  codes  de  conduite  approuvés  en  application  de  l'article  40  ou  de  mécanismes  de  certification approuvés en application de l'article 42; et k)   toute  autre  circonstance  aggravante  ou  atténuante  applicable  aux  circonstances  de  l'espèce,  telle  que  les  avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation.

Selon le type de violations (énumérées à l’article 83 du règlement (UE) 2016/679 ), les amendes peuvent  s'élever  jusqu'à  10 000 000 € ou 20 000 000  € ,  dans  le  cas  d'une  entreprise,  jusqu'à  2  %  ou 4% du  chiffre  d'affaires  annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

En outre l’article 43 ter de la loi n°78-17 du 6 janvier 1978 (futur article 37) prévoit la possibilité d’exercer une action de groupe.

Par ailleurs, les articles 226-16 à 226-24 du code pénal (modifiés par l’ Ordonnance n°2018-1125 du 12 décembre 2018 à compter du 1er juin 2019) prévoient les sanctions applicables (5 ans d’emprisonnement et 300 000 € d’amende) en cas d’atteintes aux droits de la personne résultant des fichiers ou traitements informatiques et l’article 51 de la loi n°78-17 prévoit les sanctions (1 an d’emprisonnement et 15 000 € d’amende) en cas d’entrave de l’action de la commission nationale informatique et libertés.

La signature électronique

► Les différents types de signature

Il existe différents types de signature :

  • la signature manuscrite, réalisée à l’aide d’un stylo sur un support matériel, généralement papier
  • la signature manuscrite numérisée, qui est apposée sous forme d’image sur un document numérique, obtenue soit en scannant  une signature manuscrite, soit réalisée à l’aide d’une souris ou sur un écran tactile.
  • la signature électronique, qui est  un procédé cryptographique, et n’apparaît pas visuellement sur le document  mais peut être accompagnée d’un logo.
  • la signature numérique, qui est une signature manuscrite numérisée certifiée par une signature électronique : après avoir été apposée sur un écran tactile et conservée sur un appareil sécurisé garantissant l’intégrité de l’acte sur lequel elle est apposée.

►La signature électronique

La signature électronique est un procédé technique dans lequel une personne (le signataire) appose son accord à valeur juridique sur un document électronique.

L’outil de signature, qui a pour fonction d’identifier le signataire et de sceller le document, allie un logiciel de signature et un certificat électronique.

Le certificat électronique se présente sous la forme d’une suite de chiffres et de lettres, et peut être placé sur des supports multiples (clé USB, smartphone, carte à puce etc)

La signature électronique utilise un procédé de cryptographique asymétrique (ou chiffrement utilisant des clés différentes pour chiffrer et déchiffrer) : elle lie une clé privée (utilisée par le signataire pour le cryptage) à une clé publique (utilisée pour le décryptage) via une fonction de hachage.

► La valeur juridique de la signature électronique

La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique  et le décret n°2010-112 du 2 février 2010 ont introduit la signature électronique dans le droit français en créant l’article 1316-4 du code civil (devenu 1367) :

article 1367 du code civil : La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat.

Le règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (eIDAS)  s’applique depuis le 1er juillet 2016 pour de nombreuses dispositions. Son application est cependant fondée sur la volonté des parties qui peuvent décider de l’appliquer ou de conclure des conventions de preuve, et qui peuvent décider de l’utilisation ou non des services de confiance qualifiés.

L’ordonnance n° 2016-131 du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations confirme la validité des contrats relatifs à la preuve :

Article 1356 du code civil : Les contrats sur la preuve sont valables lorsqu'ils portent sur des droits dont les parties ont la libre disposition. Néanmoins, ils ne peuvent contredire les présomptions irréfragables établies par la loi, ni modifier la foi attachée à l'aveu ou au serment. Ils ne peuvent davantage établir au profit de l'une des parties une présomption irréfragable.

Le règlement (UE) 910/2014 prévoit trois niveaux de signature électronique :

  • la signature électronique simple définie comme « des données sous forme électronique, qui sont jointes ou associées logiquement à d’autres données sous forme électronique et que le signataire utilise pour signer » ; elle doit a minima permettre de disposer de l’identité du signataire, manifester sa volonté et assurer l’intégrité du document
  • la signature électronique avancée (article 3.11 du règlement)  qui doit répondre aux exigences suivantes : être liée au signataire de manière univoque (par l’émission d’un certificat entendu comme « une attestation électronique qui associe les données de validation d’une signature électronique à une personne physique et confirme au moins le nom ou le pseudonyme de cette personne») ; permettre d’identifier le signataire (grâce à la production d’un document d’identité usuel); avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif ; être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable.
  • la signature électronique qualifiée (article 3.12 du règlement) alliant des dispositifs de création de signature qualifiés et des certificats électroniques qualifiés

L’article 1 du décret n° 2017-1416 du 28 septembre 2017 relatif à la signature électronique renvoie au règlement (UE) 910/2014 :

Il prévoit que la fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l'article 26 du règlement(UE) n° 910/2014 du 23 juillet 2014 dit EIDAS sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et créée à l'aide d'un dispositif de création de signature électronique qualifié répondant aux exigences de l'article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l'article 28 de ce règlement.

L’article 28 du règlement (UE) 910/2014 renvoie à son annexe I  qui précise le contenu des certificats qualifiés de signature électronique (données relatives au prestataire de service de confiance qualifié qui délivre le certificat, le nom du signataire ou son pseudonyme, la période de validité du certificat etc).

En matière pénale, la loi n° 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d'allègement des procédures a créé l’article 801-1 du code de procédure pénale prévoyant la signature numérique ou électronique de l’ensemble des actes :

Article 801-1 du code de procédure pénale : Tous les actes mentionnés au présent code, qu'il s'agisse d'actes d'enquête ou d'instruction ou de décisions juridictionnelles, peuvent être revêtus d'une signature numérique ou électronique, selon des modalités qui sont précisées par décret en Conseil d'Etat.

En outre, le Référentiel général de sécurité, pris en application du décret n°2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives, est applicable aux systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et dans leurs relations avec les usagers. Le référentiel est disponible sur le site de l’agence nationale de la sécurité des systèmes d’information.

Sous réserve d’utiliser un procédé fiable, la signature électronique qualifiée a dès lors une valeur juridique identique à celle d’une signature manuscrite.

Elle permettra en outre de garantir l’intégrité du document signé, qui ne pourra plus être modifié après signature.

►L’utilisation de la signature électronique

La signature électronique peut être utilisée sur tout document numérique, notamment :

  • la conclusion d’un contrat en ligne (contrat d’assurance, crédits à la consommation etc)
  • le paiement en ligne (la saisie d’un code sms pour valider le paiement constitue une signature électronique, le code activant un certificat à usage unique)
  • l’accès à des sites sécurisés etc.

Les principaux bénéfices qui en sont attendus sont la sécurité, souplesse, la rapidité et la réduction des coûts.

En effet, la signature électronique est toujours :

  • authentique (l'identité du signataire est certaine)
  • infalsifiable (la signature ne peut être ni imitée ni utilisée par un tiers)
  • non réutilisable (la signature fait partie du document signé et ne peut être déplacée sur un autre document)
  • inaltérable (il est impossible de modifier le contenu du document signé)
  • irrévocable (la personne qui a signé le document ne peut contester l’avoir fait).