Historiquement, on observe que la problématique initiale des risques, matérialisée par la méthode Marion, était fondée sur le triptyque accident-erreur-malveillance, servant de base à une approche casuistique du domaine. Chacun s’accorde à dire aujourd’hui que l’informatique s’inscrit dans un traitement d’informations multiples, et que les entités en présence sont constituées par des ordinateurs, des réseaux, des données, et... des hommes. La problématique de fond devient donc celle de l’information, et plus particulièrement celle de la disponibilité, de l’intégrité et de la confidentialité de l’information.

On constate alors la nécessaire intégration de la dimension juridique comme composante de la sécurité du traitement de l’information. Ajoutons à cela le particularisme de la matière, qui aboutit souvent à une incompréhension de langage et de schémas de pensées dans les rapports entre la technologie et le droit. L’observation que nous avons pu mener depuis une quinzaine d’années sur ce sujet nous a fait mettre en évidence deux thèmes.

Le premier thème est relatif à l’obligation incontournable de créer une nouvelle classification juridique de la notion d’information. Dans la classification traditionnelle des droits, on distingue les droits réels et les droits personnels. On est donc soit objet de droit, soit sujet de droit. Or l’information pourra s’analyser comme un objet de droit, une chose sur laquelle portent des droits réels, lorsque cette information est intégrée dans un support. C’est cette intégration dans ce support qui "chosifie" l’information. A l’inverse, lorsque cette information est relative à des éléments de la personnalité, cette "subjectivisation" de l’information entraînera à son égard un objectif de protection identique à celui de la personne humaine, ou aux attributs de la personnalité. Toutefois, cette approche perd son sens dans une évolution de déréglementation tout azimut et dans une impossibilité de maîtrise du support.

Ajoutons à cela que l’introduction d’une analyse de la valeur perturbe encore la classification. En effet, une information "individuelle" n’a pas de valeur significative, d’autant moins si elle est issue du domaine public. Mais une information "privilégiée" donnant pouvoir à son détenteur acquière une valeur particulière, et la problématique est encore plus aiguë lorsque l’on se penche sur le concept de base de données au sein de laquelle une collection d'information individuelle acquière également une valeur particulière du fait de son ordonnancement et de l’exploitation qui peut en être faite.

Le second thème est relatif au caractère "transversal" de l’appréhension du domaine. La classification traditionnelle de la matière juridique est par nature verticale : on distingue le droit privé du droit public, au sein du droit privé le droit civil, le droit commercial, le droit social, etc. Autant de constructions verticales, à l’exception du droit pénal peut-être, mais qui, comme l’a dit Portalis "est moins une espèce de droit que la sanction de tous les autres".

Or, par essence, l’information, et son traitement, traversent horizontalement toutes les classifications verticales. Il suffit d’observer que les textes essentiels en la matière sont tous transversaux : la loi informatique, fichiers et libertés ne distingue le domaine public du domaine privé que pour instituer un mode d’autorisation pour l’un et de déclaration pour l’autre. La législation relative à la création des logiciels ne distingue pas plus les auteurs salariés du domaine privé et les fonctionnaires du secteur public, ... et l’on pourrait continuer ainsi la démonstration.

Ainsi confrontés aux spécificités de l’évolution technologiques, le management des risques liés au traitement de l’information suppose une profonde réflexion et une réelle évolution. A l’image de ce qui a été accompli en matière d’aléa thérapeutique ou de pollution industrielle, les années qui viennent nous contraindront à appréhender d’une nouvelle manière l’économie des immatériels, d’une part, et l’écologie des immatériels, d’autre part.

L’économie des immatériels sera fondée sur l’émergence de la notion de patrimoine informationnel. L’approche des risques du patrimoine informationnel ne pourra à notre sens échapper à une perspective juridico-économique : le patrimoine informationnel devra être appréhendé d’une part en ce qu’il peut être en tant qu’actif patrimonial l’objet du risque, la cible du préjudice, et d’autre part en ce qu’il peut être le fait générateur du risque, la source du préjudice, élément de passif patrimonial. Une réflexion devra être menée sur les composantes du patrimoine informationnel, essentiellement sur les données (logiciel, base de données, informations) et les traitements (flux et échanges). Cette réflexion devra intégrer des aspects juridiques stricto sensu (qualifications et régimes juridiques), mais également des aspects économiques (analyse de la valeur) si l’on veut appréhender les deux éléments clés du risque que sont la définition des faits générateurs et la quantification des pertes induites.

L’écologie des immatériels sera, elle, fondée sur l’émergence des nouveaux rapports entre l’homme et l’environnement informationnel mondial, dans une perspective où se mêleront la morale et le droit. L’expression d’écologie renvoie à une approche internationale et à la mise en œuvre de politique d'incitation et de répression des comportements.

Nul doute que l’information, comme la langue d’Esope, demeurera la meilleure et la pire des choses.