Comment protéger et se protéger de l’algorithme ?

En tant que principe mathématique, l’algorithme relève du domaine des idées qui sont de libre parcours et non protégeables par le droit d’auteur. Leur valeur dépend souvent de leur confidentialité et à ce titre ils méritent d’être protégés, mais comment protéger au mieux son algorithme ?

Par ailleurs l’utilisateur peut être amené à subir un traitement de donnée algorithmique qui va déterminer une décision individuelle ou encore impacter le contenu auquel il aura accès. Il est nécessaire de savoir si l’utilisateur peut demander à accéder à l’algorithme ?

Comment protéger et se protéger de l’algorithme ?

Protéger son algorithme

Le droit d’auteur

En tant que tel, nous l’avons vu, l’algorithme n’est pas protégeable par le droit d’auteur.

Néanmoins en intégrant l’algorithme au code source d’un logiciel ou d’un programme qui est lui protégeable par le droit d’auteur, à une condition d’originalité, l’algorithme bénéficie de la même protection.

Cette condition d’originalité est remplie quand l’algorithme va au-delà de la simple exécution.[1]

Attention cependant, cette protection n’est pas parfaite et connaît des failles. Notamment la mise en œuvre de la capacité du programme à effectuer une tâche précise (les fonctionnalités) ne bénéficie pas de cette protection lorsqu’elle ne correspond qu’à une idée.

Enfin si un tiers parvient à extraire légalement l’algorithme d’un logiciel, même si ce dernier est protégé par le droit d’auteur, il sera libre de l’utiliser.

Le brevet

La brevetabilité indirecte de l’algorithme est admise, lorsqu’il est intégré dans une invention brevetable.

La condition c’est que l’algorithme apporte une contribution technique « par un moyen nouveau et non évident ».

Ainsi, contrairement au droit d’auteur, l’algorithme inclus sera protégé au même titre que l’invention qui le renferme.

Il existe néanmoins un gros inconvénient : l’inventeur va devoir divulguer son algorithme puisqu’il sera détaillé dans les revendications du brevet qui seront ensuite rendues publiques. D’autre part, cette description dans les revendications d’un brevet, fige, en quelque sorte, l’algorithme alors même que celui-ci aura besoin d’évoluer par la suite.

La directive « secret des affaires » (5 juillet 2016)

Pour bénéficier de cette protection l’algorithme doit être secret, avoir une valeur commerciale du fait qu’il soit secret, et avoir fait l’objet de mesures de protection raisonnables.

Ces dispositions peuvent se combiner en cas d’appropriation illicite à l’action en concurrence déloyale ou parasitisme économique. Ces dispositions peuvent par ailleurs être combinées aux mécanismes de la responsabilité contractuelle en cas de non-respect d’un accord de confidentialité ou d’une clause de confidentialité, ou encore d’une interdiction d’exploitation.

La condition c’est que ces contrats identifient l’information couverte par le secret d’affaires, l’algorithme décrit de manière précise, mais également toutes les personnes tenues au secret.

Finalement la non divulgation et la signature d’accords de confidentialité bien rédigés, sont encore largement utilisés comme moyen de protéger les algorithmes. Le dépôt d’une enveloppe Soleau à l’INPI est recommandé. Ce dépôt permet de prouver l’antériorité de la détention de l’algorithme, utile en cas de litige.

En tant qu’utilisateur, se protéger de l’algorithme

Le manque de recours de l’utilisateur face aux sociétés qui exploitent des algorithmes

Du point de vue de l’entreprise, l’opacité est considérée comme une condition de l’efficacité et de la fiabilité de l’algorithme ce qui explique le manque de recours de l’utilisateur contre ces sociétés.

La seule façon efficace de se protéger contre le traitement automatisé des données personnelles par un algorithme c’est de contrôler les données personnelles transmises via les applications, logiciels, programmes, sites internet utilisés. Il est possible notamment de réclamer le fichier contenant un récapitulatif des données personnelles transmises à ces sites via un formulaire souvent mis à disposition via un lien dans les paramètres de confidentialités en ce qui concerne les applications de réseaux sociaux par exemple, c’est le droit d’accès. A défaut de formulaire il est possible après avoir identifié le responsable du fichier (dans les mentions légales) de lui écrire pour demander à ce qu’il fasse parvenir une copie en langage clair de l'ensemble des données qu'il possède sur vous. Il est nécessaire de joindre une pièce d’identité et de conserver une preuve de l’envoie du courrier, avec une capture d’écran ou si possible un accusé de réception de la demande.

Demander l’accès à un algorithme utilisé dans le cadre d’une décision individuelle de l’Administration

Il est possible en revanche depuis peu de demander l’accès à un algorithme utilisé dans le cadre d’une décision individuelle de l’Administration.

L’article 22 du RGPD applicable en mai 2018 réglementera de manière stricte les traitements susceptibles de fonder des décisions individuelles automatisées. Sont ainsi prévus « le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé » et dans certains cas le « droit de la personne concernée d’obtenir une intervention humaine de la part du responsable du traitement, d’exprimer son point de vue et de contester la décision ».

Dans le décret 14 mars 2017 appliquant la Loi pour une République numérique, est prévu un encadrement des droits des personnes faisant l'objet de décisions individuelles prises sur le fondement d'un traitement algorithmique.

Sauf exceptions telles notamment : les documents administratifs dont la consultation ou la communication porterait atteinte : au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif ; au secret de la défense nationale.

Une décision individuelle prise sur le fondement d'un traitement algorithmique comporte une mention explicite en informant l'intéressé.

Cette mention indique la finalité poursuivie par le traitement algorithmique. Elle rappelle le droit, garanti d'obtenir la communication des règles définissant ce traitement et des principales caractéristiques de sa mise en œuvre, ainsi que les modalités d'exercice de ce droit à communication et de saisine, le cas échéant, de la commission d'accès aux documents administratifs.

L'administration communique à la personne faisant l'objet d'une décision individuelle prise sur le fondement d'un traitement algorithmique, à la demande de celle-ci, sous une forme intelligible et sous réserve de ne pas porter atteinte à des secrets protégés par la loi, les informations suivantes :

  1. Le degré et le mode de contribution du traitement algorithmique à la prise de décision ;
  2. Les données traitées et leurs sources ;
  3. Les paramètres de traitement et, le cas échéant, leur pondération, appliqués à la situation de l'intéressé ;
  4. Les opérations effectuées par le traitement.

[1] Arrêt du 14 novembre 2013 : « le rapport d’expertise qui se bornait à étudier les langages de programmation mis en oeuvre, et évoquait les algorithmes et les fonctionnalités du programme, non protégés par le droit d’auteur, constate que les intéressés n’avaient fourni aucun élément de nature à justifier de l’originalité des composantes du logiciel, telles que les lignes de programmation, les codes ou l’organigramme, ou du matériel de conception préparatoire ».