L’analyse des enjeux et des risques juridiques éléments de méthode Pierre Trudel Chaire L.R. Wilson sur le droit des technologies de l’information et du commerce électronique Centre de recherche en droit public Université de Montréal DRT 3808 2009

Le déploiement d’outils et de services en ligne suppose d’identifier les exigences prévues par les lois … et autres principes les impacts sur les droits en cause, la façon de les envisager, de les concevoir, de les appliquer les précautions associées aux outils que l’on décide d’utiliser Il est inhérent à l’État de droit que les processus de services public respectent les principes propres à garantir la crédibilité, l’équité et la régularité des décisions et surtout des processus qui y conduisent. Selon les environnements techniques, les processus connaissent des conditions différentes de fonctionnement. Examiner le cadre juridique de la mise en ligne de services gouvernementaux, c’est rendre compte des principes essentiels du bon déroulement des délibérations et d’évaluer comment ceux-ci se transposent dans le cyberespace. En somme, il s’agit de voir comment peuvent être réinterprétés les principes et les règles mises au point au cours des décennies antérieures de manière à en saisir l’essence et comment cela se transpose dans le milieu virtuel.

Risque et conformité L’analyse de risques juridiques peut parfois se confondre avec l’analyse de conformité La conformité - aux lois- est une exigence incontournable Elle est nécessaire… mais pas toujours suffisante d’où l’analyse des risques juridiques

Risque juridique et risque de sécurité Enjeux face aux droits fondamentaux Conformité aux lois Responsabilités Anticipation des situations ou la responsabilité peut être mise en cause Risque de sécurité Vulnérabilités de l’environnement Risques découlant des limites aux techniques utilisées Facteur humain

Le traitement du risque juridique Traditionnel Approche réactive Si des pertes surviennent, on cherche la faute et le responsable Proactif Identification, évaluation et maîtrise des situations porteuses de risques It is generally the case that legal services are treated reactively, and not invoked until a problem has occurred. If attributable loss or damage is caused, legal remedies may be available. The claimant is reacting to an event which has already happened. Thus with a complex IT system development, where during the course of development some of the original requirements have changed, and where delivery is late or budgets have escalated, the parties may be in dispute and legal proceedings may ensue. By contrast, the IT legal risk management approach is strategic and continuous. It concerns the identification, evaluation and control of the significant risks which may lead to liability, legal processes and associated effort, losses, costs and expenses within an IT context. The losses may not necessarily be directly financial ﾐ for example, loss of reputation may be extremely damaging. Rachel BURNETT' "Legal risk management for the IT industry", (2005) 21 Computer Law & Security Report, 61-67.

Risque et précaution La prise en compte des risques suppose la mise en place de précautions proportionnées Le défaut de mettre en place de telles précautions, emporte une responsabilité Légale « Politique » Les menaces contre le « capital de confiance »

Les risques juridiques En fonction de leurs conséquences (sanctions pénales, civiles) En fonction de leurs causes: méconnaissance du droit, mauvaise interprétation Par rapport au domaine du droit concerné Le droit administratif suppose des risques inconnus dans le champ du droit commercial

Quelle place pour le principe de précaution dans les services en ligne? Processus d’évaluation de divulgation de prise en charge des risques Pour gérer adéquatement les risques, il faut souvent anticiper les conflits et identifier de façon contextuée, comment seront relayées les exigences issues du droit ou des normativités qui risquent de trouver application. C’est pourquoi une entité qui propose des services sur Internet doit nécessairement procéder à un audit juridique afin de: Cest la démarche douvrages comme celui de Timothy D. CASEY, ISP Liability Survival Guide- Strategies for managing Copyright, Spam, Cache, and Privacy Regulations, New York, John Wiley, 2000.  Situer les responsabilités. Il s’agit d’identifier qui fait quoi et qui répond de ce qui se passe lors d’une activité se déroulant sur Internet dans laquelle on est engagé;  Identifier les risques. Pour cela, il faut partir des activités se déroulant sur Internet sous les auspices de l’institution, de l’entreprise, de l’organisme ou de l’association;  Évaluer les risques. Une telle évaluation tient compte aussi bien des caractéristiques de l’activité que du fonctionnement ou de la configuration des outils Internet utilisés;  Enfin, identifier et mettre en place les mesures et politiques qui permettent une prise en charge appropriée des risques. En somme, mettre en place les clauses contractuelles, les configurations nécessaires de même que les règles de conduite afin de minimiser les risques. Pierre TRUDEL et France ABRAN, Guide pour un usage responsable dInternet à lintention des responsables des lieux daccès publics à Internet et des utilisateurs, réalisé pour le Ministère de léducation et la Direction de lAutoroute de lInformation du Conseil du trésor, Montréal, avril 2003, en ligne à < > et < >.

Risques juridiques et « intelligence juridique » Une approche intelligente et stratégique de la ressource juridique* au service de la prise de décision *ressource juridique: informations juridique, para-juridiques, compétences humaines nécessaires à son traitement, outils matériels et immatériels dédiés à sa mise en œuvre opérationnelle MERKATIS, L’intelligence juridique, Paris Économica, 2004, p.2. L’intelligence juridique s’inscrit dans un environnement dépassant de loin le simple cadre du droit: la jurisphère. La jurisphère est cette zone d’interaction et d’interpénétration locale, rgionale et internationale entre les dimensions politique, économique, socio-culturelle et informationnelle, ayant pour centre de gravité la dimension dui droit sous toutes ses formes, (L’intelligence juridique, p. 3)

Le risque juridique s’envisage.. Dans l’ensemble de la « jurisphère » Via la maîtrise des capacités d’approche, d’analyse, d’utilisation et de transcription médiatique des problématiques qui cimentent la « jurisphère » Intégrer -ou associer-aux différents processus de décision les analyses découlant d’une vision stratégique du droit Globale, la jurisphère intègre une succession de couches locales, nationales et supranationales ayant pour centre de gravité commun le droit au sein duquel circule un important magma d’informations juridiques au sens strict ou para-juridiques.

Quatre formes de juristratégies d’organisation organiser les ressources, outils de positionnement visualisation des risques et opportunités d’accompagnement soutenir la prise de décision d’évaluation fournir une évaluation de la performance des ressources d’intelligence juridique Juristratégies d’organisation: s’attachent à organiser la ressource juridique et para-juridique. S’incarne dans les outils d’organisation du besoin en ressources juridiques, organisation de la sensibilisation de la structure, organisation des processus de gestion de l’information, collecte des infos, analyse définition des plans d’action stratégiques ou tactiques. Les juristratégies de positionnement: permttent une visualisation des risques et des opportunités présents (réels ou potentiels) au sein de la jurisphère du décideur. Le juri positionnement induit donc une sensibilisation préalable des décideurs aux enjeux poréts par la dimension du droit et interagissant avec les autres dimensions, économiques,politiques, culturelles ou informationnelles. Juristratégies d’accompagnement: s’attachent à soutenir la prise de décision stratégique dans la définition, la mise en oeuv re le suivi et l’évaluation des actions stratégiques Juristratégie d’évaluation: fournit une évaluation de la performance économique, organisationnelle et informationnelle des ressources et dispositifs d’intelligence juridique s

L’intelligence juridique… Peut s’envisager comme une sorte de couteau suisse pour décideurs qui, conscients de l’impact juridique sur leur domaine d’activité Permet de bénéficier des outils de gestion stratégique pour identifier et anticiper les enjeux organiser les moyens à mettre en œuvre, pour naviguer au sein des évolutions …

Risques juridiques et cycle de fonctionnement du service Les risques et enjeux peuvent être analysés selon le cycle du service création, promotion, information, interactions, transactions, conflits et gestion des désaccords

Enjeux des services et outils en cause Éléments de contexte Type de publics Type de services Imaginaires et représentations associées aux services et outils concernés Identifier les enjeux généraux Et spécifiques aux services concernés Des exigences à respecter- compte tenu des lois applicables Pour fonder une approche et proposer une marche à suivre destinée à ceux qui souhaitent mettre en place des fonctionnalités, il faut considérer les enjeux globaux dans lesquels celles-ci tendent à s’inscrire. Il faut aussi mettre au jour les principes encadrant les actions et qui assurent le caractère démocratique de l’exercice. Il importe d’identifier comment ces principes s’actualisent dans le contexte virtuel. Quelles exigences en découlent et quels ajustement doivent être envisagés.

Les risques Évaluer les risques juridiques: -les enjeux -les possibles dangers Distinguer risques techniques et risques juridiques Les risques techniques peuvent devenir des risques juridiques Les risques juridiques peuvent emporter des choix techniques

Identifier les enjeux et risques C’est qualifier l’activité ou l’objet Anticiper les difficultés Envisager à rebours les règles de droit qui s’y appliquent Pour identifier la règle de droit qui a vocation à s’appliquer Les exigences qui en découlent

Un exemple: site à contenu généré par l’usager SNES FSU et autres c. Note2be.com, TGI ordonnance de référé, 3-03-08, <http://www.legalis.net/jurisprudence-decision.php3?id_article=2234# > Quelles informations les usagers fournissent-ils? Sur qui? Sur quoi? Quelles règles s’appliquent à ces informations? Le TGI de Paris a ordonné au site note2be.com de suspendre l’utilisation et le traitement des données nominatives des professeurs notés par les élèves ainsi que leur affichage sur le site, y compris sur le forum de discussion. En vertu de l’article 7 de la loi Informatique et libertés, le traitement des données nominatives est conditionnel au consentement de la personne concernée, sauf si le responsable du site poursuit un intérêt légitime qui n’est pas contraire aux droits et intérêts de la personne visée. Le tribunal s’est attaché à déterminer s’il y avait en l’espèce un intérêt légitime au traitement de données personnelles par ce site. Le tribunal a examiné le site et s’est interrogé sur la méthode d’évaluation des professeurs établie en fonction d’une seule note chiffrée et de six qualificatifs. Selon le tribunal, cette approche partielle peut conduire à une appréciation biaisée, favorable ou défavorable, et peut donc provoquer un trouble. Le tribunal estime aussi que le site n’a pas pris des précautions suffisantes pour empêcher les risques de dérive polémique, notamment en organisant la modération de son forum de discussion. Le site n’avait pas non plus prévu la mise en place de procédures efficaces pour que les enseignants concernés puissent faire valoir leurs droits. Enfin, l’aspect commercial du site a pesé dans l’appréciation du tribunal. Selon lui, les personnes y figurant ont le droit de ne pas voir leurs noms associés aux messages publicitaires qui sont insérés sur les pages. De son côté, la Commission nationale de l’informatique et des libertés (CNIL) a également conclu à l’illégitimité du site au regard de la protection des données personnelles. Dans son communiqué résumant sa décision du 6 mars 2008, l’organisme constate que « le système de notation des enseignants de la société note2be.com poursuit une activité commerciale reposant sur l’audience d’un site internet qui ne lui confère pas la légitimité nécessaire, au sens de la loi, pour procéder ou faire procéder à une notation individuelle des enseignants susceptible de créer une confusion, dans l’esprit du public, avec un régime de notation officiel ». SNES FSU et autres / Note2be.com, Tribunal de grande instance de Paris, Ordonnance de référé, 03 mars 2008, Legalis.net, <http://www.legalis.net/jurisprudence-decision.php3?id_article=2234#> Christophe GUILLEMIN, « Note2be.com jugé « illégitime » par la Cnil », ZDNNet.fr, 7 mars 2008, < http://www.zdnet.fr/actualites/internet/0,39020774,39379361,00.htm?xtor=RSS-1> CNIL, La CNIL se prononce : le site note2be.com est illégitime au regard de la loi informatique et libertés, communiqué du 6 mars 2008, <http://www.cnil.fr/index.php?id=2405&news[uid]=528&cHash=7c1cd2d002>

Étapes Identifier le service, l’activité Caractéristiques, publics, sensibilités Identifier les risques a priori Inhérents à l’activité ou au service lui-même Identifier les risque accru ou amplifié Du fait de la mise en ligne Identifier et évaluer les mesures prises ou à prendre

Le cycle de l’information… Enjeux et risques à chaque étape du cycle de l’information Le cyberespace est certes un environnement d’information. Mais la cyberdémocratie a vocation à faire plus que simplement échanger des informations : elle participe aux processus de décision. Par conséquent, les processus doivent être encadrés de manière à procurer les garanties d’accessibilité, d’égalité et d’équité inhérentes aux valeurs démocratiques.

Les principes inhérents au déroulement des processus étudiés Selon le processus ou l’activité étudiée: Quels principes doivent absolument être respectés? Quels enjeux doivent être considérés? Exigences des lois Exigences de prudence et de diligence responsabilité Il s’agit ici d’identifier les principes qui devraient présider à la mise en place de processus de cyberconsultation. Ces principes doivent se retrouver —ou sont déjà prévus— dans le cadre juridique, constitutionnel ou quasi-constitutionnel. On les trouve énoncés dans les bonnes pratiques et autres documents du même type produits dans les instances internationales. Mais ils sont surtout mentionnés dans les principes fondamentaux de nos systèmes juridiques. Parfois, ces principes sont depuis longtemps appliqués par les tribunaux. Il faut alors resituer ces principes dans les contextes spécifiques des milieux cyberdémocratiques.

Une méthodologie Identifier les enjeux spécifiques de chaque processus Activité en ligne service Assurer que les principes fondamentaux sont respectés Assurer que les exigences découlant des différents outils en ligne sont pris en compte et maîtrisés Il est nécessaire de mettre au point une méthodologie à l’intention des entités concernées par la mise en place de processus cyberdémocratiques fondés sur l’usage d’Internet. L’outil méthodologique doit procurer les éclairages nécessaires afin d’assurer que ces activités se déroulent dans le respect des lois et des principes éthiques reconnus. Une telle méthode doit permettre de cerner et de gérer les risques. Elle indique comment identifier les caractéristiques des processus de consultation et de délibération de même que les activités pouvant nécessiter des mesures et précautions spécifiques. En somme, il faut être en mesure de : Situer les responsabilités. Il s’agit d’identifier qui fait quoi et qui répond de ce qui se passe lors d’une cyberconsultation/délibération se déroulant sur Internet. Identifier les risques. Pour cela, il faut partir des activités se déroulant sur Internet sous les auspices de l’organisme. Évaluer les risques. Une telle évaluation tient compte aussi bien des caractéristiques de l’activité que du fonctionnement ou de la configuration des outils Internet utilisés. Enfin, il faut identifier et mettre en place les mesures et politiques qui permettent une prise en charge appropriée des risques et enjeux spécifiques au processus délibératif à mettre en place.

Pour mettre en ligne un service Identifier les conditions spécifiques à respecter selon les lois applicables à l’entité, au type de processus Identifier les qualités que doit présenter le processus degré d’identification des usagers conditions d’identification exigences de certitude transmission de documents Une fois dégagés les principes généraux applicables à la tenue de toute consultation, il importe de situer dans quel contexte se situe la consultation que l’on désire mettre sur pied. En effet, il faut déterminer d’abord si la consultation est régie par une loi ou non et s’il existe des obligations ou des contraintes particulières qui doivent être respectées si on désire la virtualiser en tout ou en partie. Il est évident qu’une consultation volontaire, qui n’est pas entourée d’exigences légales, laisse une grande latitude quant à son déroulement en mode virtuel.

Enjeux et risques mesures à prendre pour les gérer Formulaires en ligne Transmission de renseignements Signature Identification Espaces de consultation de données Informer des risques Informer des conditions de déroulemnent des activités Conseils d’utilisation Règles de civilité et de modération Pour chaque activité, il faut identifier les risques spécifiques et identifier des mesures ciblées pour les gérer.

Les politiques à mettre en place Politique de fonctionnement du service Des transactions Politique de confidentialité Politique d’identification Les politiques à mettre en place doivent refléter les enjeux et risques particuliers au processus consultatif ou cyberdémocratique en cause.

Conclusion Expliquer les enjeux et risques Prévenir les participants des précautions qu’eux seuls peuvent prendre Prévoir des politiques conviviales et réalistes Partir du fondement des règles régissant les processus à virtualiser Identifier les exigences spécifiques Déterminer COMMENT s’appliquent les principes des lois concernées Les actions collectives et individuelles se déroulent dans des lieux différents enrichis et mis en relations continues et dynamiques par des interconnections diverses dans des réseaux. C’est sans doute pour cette raison que le concept de réseau prend autant d’importance afin d’identifier les assises des règles régissant les comportements qui prennent place dans le cyberespace. En ce sens, la notion de réseau et l’allégorie du cyberespace constituent les assises de plusieurs rationalités émergentes qui sous-tendent les approches préconisées afin de fonder l’encadrement juridique de la cyberdémocratie.

Pierre TRUDEL, professeur Titulaire de la Chaire L.R. Wilson sur le droit des technologies de l'information et du commerce électronique Centre de recherche en droit public, Faculté de droit Université de Montréal C.P. 6128, succursale Centre-ville Montréal (Québec) Canada H3C 3J7 Tél : (514) 343-6263 Fax : (514) 343-7508 Courriel : pierre.trudel@umontreal.ca URL: http://www.chairelrwilson.net La Chaire L. R. Wilson sur le droit des technologies de l’information et du commerce électronique a été inaugurée le 5 février 2003. Mise en place grâce à des dons versés dans le cadre de la campagne de souscription des années 2000, elle consolide les travaux accomplis depuis plus de trente ans par une équipe de professeurs et de chercheurs du CRDP et de la Faculté de droit de l’Université de Montréal. Cette Chaire est dirigée par Pierre TRUDEL, professeur au Centre de recherche en droit public de la Faculté de droit de l’Université de Montréal. Elle se voue à l’étude des mutations du droit et des autres normativités encadrant les échanges dans le cyberespace. Elle vise à mieux comprendre le fonctionnement du droit et des autres normes de conduite dans l’univers diversifié des technologies de l’information. La Chaire contribuera à la mise au point des stratégies conséquentes pour assurer que le droit soit un facteur d’innovation. Elle est au service des communautés qui ont à cœur le développement d’un cadre juridique ouvert et juste.