Software et protection de données en Espagne

Le but de la plupart des programmes de gestion utilisés dans les entreprises (comptabilité, CRM, mailing etc) est le traitement des données à caractère personnel. Dans ce sens, le software et la protection de données sont indissociablement liés entre eux : cet article est une réflexion sur ce lien.

Cette connexion entre le software et la protection de données est mise en évidence par le Règlement portant application de la Loi Organique de Protection de Données (LOPD), qui établit que les produits de software destinés au traitement automatisé des données personnelles devront inclure dans sa description technique le niveau de sécurité, élémentaire, moyen ou élevé, qui peut être atteint ….

La loi transfère l’obligation de l’adéquation technique selon la LOPD au créateur du software. Pensons au professionnel de la santé qui a, parmi d’autres, l’obligation de maintenir un registre d’accès aux données sur la santé: s’il acquiert un software pour gérer sa base de données des clients, il aura besoin d’une application intégrée dans le produit.

Lors de la lecture de la disposition, on peut constater ces différentes possibilités :

  • Si le software utilisé dans notre entreprise n’est pas légal parce qu’on utilise des copies illégales, on perd la garantie offerte par le fabricant du produit acquis relative à l’adaptation au niveau de protection requise par notre entreprise à l’égard du respect des obligations imposées par la LOPD
  • Si on ignore le type de software installé, nous ne pouvons pas savoir s’il s’adapte audit niveau de protection

Les risques d’utilisation du software illégal

Nous avons beaucoup lu sur les risques pour non adaptation à la réglementation sur la protection de données et sur l’importance et le montant des sanctions prévues par la LOPD. Mais est-ce que vous avez déjà pensé au fait que tous les efforts réalisés afin de vous adapter à la LOPD pourraient être anéantis en cas d’utilisation d’un software illégal ?

On dit souvent que la LOPD n’est pas une loi de résultat mais une loi de moyens ; c’est-à-dire, elle impose la nécessité de démontrer l’utilisation de tous les moyens disponibles pour éviter un mauvais usage des données personnelles dont on est responsable. Et bien, imaginons que dans l’un des cas de divulgation des données sur la santé parus dans les moyens de communication, on constate que les programmes utilisés dans le traitement des données ou ceux destinés à restreindre l’accès à ces données sont une copie illégale. La crédibilité de l’entreprise dans la défense de sa façon d’agir serait mise en doute.

L’article 45.4 LOPD établit que le montant des sanctions sera échelonné selon le degré d’intentionnalité et toute autre circonstance pertinente pour déterminer le degré de culpabilité de l’entreprise ayant causé l’infraction.  Si on constate une diminution importante de la culpabilité, l’organe sanctionnateur devra établir le montant de la sanction en appliquant l’échelle inférieure.

Néanmoins, si pendant l’inspection on constate que l’entreprise a utilisé un software illégal pour le traitement des données personnelles du demandeur, il sera très difficile pour l’entreprise inspectée de démontrer qu’elle a agi avec diligence. L’utilisation du software illégal suppose une inexécution des obligations de sécurité que le responsable du fichier doit accomplir.

Nécessité d’auditer le software

Même si l’entreprise est respectueuse avec la propriété intellectuelle et n’utilise que du software légal, il est possible que les usagers de ces systèmes informatiques installent des copies non autorisées. Dans ce cas, l’entreprise sera responsable des agissements de ses préposés et devra répondre desdites infractions.

Par conséquent, la meilleure façon d’éviter que cela arrive est la réalisation d’inventaires périodiques de software et la vérification des programmes installés avec leurs licences pertinentes.

Nous revenons vers l’étroite relation entre le software et la protection de données, puisque l’implantation d’un système de protection de données exige tout d’abord la nécessité de dresser un inventaire du software et de le détailler dans le document de sécurité.

L’article 88 du Règlement sur la LOPD établit que le document de sécurité devra contenir une description de son domaine d’application avec une spécification détaillée des ressources protégées (ces ressources comprennent tout composant d’un système d’information et, par conséquent, des programmes).

Pour cela, l’adéquation à la LOPD peut servir aussi pour auditer le type de software implanté dans le système et pour vérifier son degré de légalité en vérifiant si tout programme installé bénéficie de la licence pertinente.

Conclusion

En vertu de la réglementation sur la protection légale du software en Espagne, l’usage, la reproduction, l’exportation et le stockage des programmes d’ordinateur sans l’autorisation pertinente du titulaire génère des responsabilités dans le domaine civil et pénal qui peuvent retomber sur les entreprises en tant que personnes morales comme sur leurs administrateurs ou représentants en tant que personnes physiques.

Le Code Pénal espagnol établit jusqu’à quatre ans de peines privatives de liberté, ou jusqu’à cinq ans d’inhabilité à l’exercice de la profession et des amendes s’élevant jusqu’à 288.000 euros.

En plus, la réglementation pénale établit que l’étendue de la responsabilité civile des délits contre la propriété intellectuelle est assujettie aux dispositions de la Loi sur la Propriété Intellectuelle relatives à la cessation d’activité illicite et à des dommages et intérêts. Dans l’hypothèse d’un arrêt de condamnation, le Tribunal pourra ordonner la publication dans un journal officiel aux dépens du transgresseur.

Ce cadre juridique est complété par les diverses actions en justice mises à disposition des fabricants des programmes d’ordinateur ayant pour objet de poursuivre les infractions commises contre leurs droits.

Le Code de Procédure Civile espagnol établit dans son article 732 la possibilité de mettre en marche des mesures de vérification des possibles infractions sans l’audience préalable du défendeur. Ceci est complété par les mesures conservatoires et de protection de la Loi sur la Propriété Intellectuelle.

En dernier lieu, dans le domaine pénal, la poursuite des délits contre la propriété intellectuelle rend possible des perquisitions dans le domicile du défendeur sans l’audience préalable de ce dernier. En plus, ces perquisitions pourront être mises en marche sans qu’une dénonciation des titulaires des droits soit introduite, ce qui rend la poursuite de ces délits beaucoup plus rapide et efficace.

Pour plus d’informations,

Cet article ne relève pas du conseil juridique

Articles complémentaires