Messages les plus consultés

lundi 26 décembre 2011

La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu

L’entreprise, qui met à la disposition de ses salariés un ordinateur, les logiciels associés, une adresse email et éventuellement permet l’accès à internet, doit sensibiliser ses collaborateurs aux règles d’utilisation de ces outils et ressources de travail.

La charte informatique (ou charte internet), bien que non obligatoire, devient ainsi un document indispensable dans l’entreprise, pour une bonne gouvernance des règles d’utilisation des ressources technologiques. La charte informatique permet non seulement de définir les “règles du jeu” en terme d’utilisation des équipements et logiciels mis à la disposition des salariés, mais également de définir les règles de communication par voie électronique (emails, réseaux sociaux) dans et sur l’entreprise.(1)

Avant le déploiement d’une charte informatique, une réflexion de fond sur son périmètre d’application doit être menée afin de déterminer au mieux les droits et obligations des collaborateurs. La charte, rédigée dans les règles et dûment intégrée au règlement intérieur de l’entreprise, est reconnue comme étant opposable aux utilisateurs.


1. Le périmètre d’application de la charte informatique

    1.1 Les préalables à sa mise en place

Avant tout déploiement d’une charte informatique dans l’entreprise, une réflexion à 360° doit être menée sur les besoins des collaborateurs en termes de ressources informatiques au sens large (matériels, logiciels, usages, communication interne et externe, accès à internet, etc.). En effet, ces besoins ne sont pas les mêmes pour toutes les entreprises, ni au sein d’une entreprise, pour toutes les catégories de collaborateurs, selon leurs fonctions ou leur mobilité dans l’exercice de leur activité.

Il y a quelques années, la charte informatique se résumait à définir globalement les utilisations autorisées des matériels informatiques et logiciels mis à la disposition des collaborateurs, ainsi que quelques règles relatives à l’utilisation d’internet pendant les heures et sur le lieu de travail. Il est désormais nécessaire d’aller plus loin dans la réflexion afin de prendre en compte les équipements personnels des collaborateurs, la gestion des accès à distance, ou l’utilisation des outils collaboratifs.

Enfin, au terme de cette réflexion préalable, il conviendra de décider s’il est préférable de consigner ces règles d’utilisation dans un seul document (charte informatique), ou dans plusieurs documents suivant les domaines d’application (charte informatique, charte internet, voire charte de la communication).

    1.2 Les règles à prendre en compte pour la rédaction de la charte

Un certain nombre de principes généraux doivent être pris en considération dans la définition des règles générales applicables à la charte informatique : respect de la vie privée et liberté d’expression, deux libertés fondamentales qui ne disparaissent pas au moment où le salarié passe la porte de l’entreprise.

Le principe du respect de l’intimité de la vie privée
L’application de ce principe est régulièrement rappelée par les juges de la Cour de cassation, et son étendue précisée par leur jurisprudence au regard des évolutions de l’utilisation des technologies dans l’entreprise.

Ce principe vient d’être rappelé encore récemment par les juges dans une affaire d’accès par l’employeur aux emails d’un salarié. Un salarié avait été licencié, au motif notamment, qu’il détenait des messages à caractère pornographique dans sa messagerie professionnelle. Le salarié avait contesté le motif de son licenciement devant les tribunaux. La Cour d’appel de Rennes lui avait donné droit. Dans un arrêt du 5 juillet 2011, la Cour de cassation a confirmé l’arrêt d’appel en énonçant que “le salarié a droit, même au temps et lieu du travail, au respect de l’intimité de sa vie privée ; que si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée (…).”(2)

Le principe de la liberté d’expression
Le principe de la liberté d’expression s’applique même au sein de l’entreprise.(3) Ce principe connaît cependant des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.(4)

Il est donc recommandé de préciser dans la charte, les règles de communication institutionnelle de l’entreprise, mais également les règles applicables à l’utilisation des réseaux sociaux externes, tels Facebook ou Twitter, ou des blogs, ainsi que les règles d’utilisation du RSE, si un tel outil existe dans l’entreprise. Ainsi, la détermination de lignes de conduite permettant de distinguer entre communication de nature professionnelle et communication privée (ou non professionnelle) sera utile pour aider les collaborateurs à identifier les limites entre sphère professionnelle et non professionnelle.

A ce titre, il est intéressant de se référer aux guides des bonnes pratiques sur les réseaux sociaux mis en place dans le journalisme. L’une des questions posées était de déterminer notamment si les commentaires des journalistes sur les réseaux sociaux étaient postés à titre professionnel (et engageaient donc leur rédaction), ou à titre privé (et n’engageaient donc que l’auteur du message). Même si nous ne sommes pas tous des journalistes professionnels, toute personne qui publie un contenu en ligne est un “journaliste en herbe” et éditeur - et responsable - de son message.(5)

    1.3 Le contenu de la charte : équipements et logiciels autorisés, règles de communication

Globalement, toute charte informatique doit couvrir les points suivants : politiques de l’entreprise en matière d’équipements, en matière de logiciels à utiliser, et en matière de communication.

Les équipements
Quels équipements les collaborateurs sont-ils autorisés à utiliser dans le cadre de leur activité professionnelle ? Auparavant, la question était de déterminer dans quelle mesure les collaborateurs pouvaient utiliser les équipement fournis par l’entreprise (pc, téléphone portable) à des fins personnelles. Dorénavant, la question doit également porter sur l’utilisation des équipements personnels à des fins professionnelles.

Cette question est d’autant plus importante que dans certains domaines d’activité, la distinction vie professionnelle / vie privée tend à s’estomper quelque peu, de plus en plus de salariés utilisant leurs propres équipements (pc, smartphones, tablettes internet) pour travailler, pour se connecter à distance aux serveurs de l’entreprise, à l’intranet, à la messagerie dans le cadre de leur activité professionnelle.

La charte pourra donc préciser que seuls les équipements fournis par l’entreprise pourront être utilisés dans le cadre de l’activité professionnelle, à l’exclusion de tous autres, ou que certains équipements personnels pourront être utilisés. Dans cette seconde hypothèse, il conviendra de prendre en compte les aspects liés à la sécurité des accès, à la confidentialité des données de l’entreprise, aux problèmes liés à la maintenance de ces équipements, aux demandes des collaborateurs concernés relatives à l’indemnisation des abonnements, etc.

Les logiciels
Il conviendra de déterminer la liste des logiciels que les collaborateurs sont autorisés à utiliser dans le cadre de leurs activités professionnelles, ou d’interdire l’utilisation de tous logiciels non fournis par la DSI de l’entreprise. Ce point est très important, afin de limiter les téléchargements de logiciels non testés et approuvés par la DSI, ainsi que les logiciels potentiellement contrefaisants, et les logiciels de téléchargement peer-to-peer ou de streaming.(6)

Les règles de communication
Enfin, la charte technologique devra aborder la problématique de la communication et l’utilisation des différents outils de communication : email, sms, tchat, réseaux sociaux. Quant aux règles d’utilisation d’internet, il paraît difficile aujourd’hui de bloquer toute utilisation d’internet par les collaborateurs. Cependant, il reste possible de bloquer l’accès à certains sites ou catégories de sites web, ou d’émettre des règles sur les sites autorisés, les sites tolérés, et les sites interdits.

Les règles de contrôle et d’accès aux informations de connexion et aux emails pourront utilement être rappelées.


2. La valeur normative de la charte informatique au sein de l’entreprise

La finalité de la charte informatique est double : i) informer les salariés sur les règles d’utilisation des équipements et logiciels mis à leur disposition et les sensibiliser sur les règles de communication professionnelle, et ii) les informer sur les sanctions éventuelles en cas de non-respect de ces règles.

Plus qu’un simple document informatif, la charte informatique est désormais bel et bien reconnue comme opposable aux salariés.

    2.1 Un document opposable aux utilisateurs, mais à quelles conditions ?

La valeur normative, et donc le caractère opposable de la charte informatique, a été consacrée par la Cour de cassation dans un arrêt du 15 décembre 2010. En l’espèce, un collaborateur de la société Coca Cola avait été licencié pour faute grave suite à la découverte par l’employeur de documents à caractère pornographique, conservés sur le disque dur de l’ordinateur professionnel du collaborateur. La Cour a relevé que cette pratique avait constitué “un manquement délibéré et répété du salarié à l’interdiction posée par la charte informatique mise en place dans l’entreprise et intégrée au règlement intérieur, (…) que ces agissements, (…) étaient constitutifs d’une faute grave et justifiaient le licenciement immédiat de l’intéressé ; (…).”(7)

En revanche, il est très probable qu’en l’absence de charte informatique définissant les règles d’utilisation des ressources technologiques de l’entreprise, l’employeur n’aurait pu licencier le salarié pour ce motif. Ainsi, dans un arrêt de décembre 2009, la Cour de cassation a cassé une décision d’appel qui avait validé le licenciement d’un salarié pour des faits similaires (détention de fichiers à caractère pornographique sur l’ordinateur professionnel). En l’espèce, la société n’avait déployé que des notes de service.

Ainsi, la Cour a retenu que “(…) l’arrêt (d’appel) énonce que les fichiers contenant des photos à caractère pornographique qui portaient atteinte à la dignité humaine, enregistrés et conservés dans son ordinateur dans un fichier archive accessible par tout utilisateur, établissent le détournement par le salarié du matériel mis à sa disposition en violation des notes de service (…) ; Qu’en statuant ainsi, (…) la cour d’appel a violé le texte susvisé.”(8)

Ainsi, pour que la charte informatique soit pleinement opposable aux utilisateurs, et donc suivie d’effet (application de sanctions éventuelles en cas de non-respect des règles qui y sont définies),  la charte doit être annexée au règlement intérieur de la société et déposée auprès des services de l’Inspection du travail et du greffe du Conseil des prud’hommes du siège social de la société. De simples notes de service risquent d’être jugées insuffisantes, au-delà de la simple information, pour être pleinement opposables aux utilisateurs.

    2.2 Un document opposable, mais à quels utilisateurs ?

Si la charte informatique est intégrée au règlement intérieur, elle devra non seulement être appliquée par les salariés de l’entreprise, mais également par les intervenants tiers pendant la durée de leur mission dans l’entreprise.

Le règlement intérieur, obligatoire dans les entreprises de plus de vingt salariés, fixe les règles en matière d’hygiène et de sécurité dans l’entreprise, et en matière de discipline (article L.1321-1 et s. C. du trav.). Ce document s’applique, en premier lieu, aux salariés de l’entreprise.

Le règlement intérieur est également appelé à s’appliquer aux tiers pendant la durée de leur mission dans les locaux de l’entreprise. En effet, les personnels intérimaires, les consultants indépendants et autres sous-traitants doivent respecter le règlement intérieur de l’entreprise-cliente, pour autant que ces interventions soient réalisées dans les locaux de cette entreprise.

En cas de non-respect du règlement intérieur par ces personnes (par exemple, oeuvres téléchargées illégalement par l’intervenant et sauvegardées sur les serveurs de l’entreprise, communication sur les réseaux sociaux avec divulgation non-autorisée d’informations confidentielles), l’entreprise pourra demander le remplacement de l’intervenant concerné, voire la résiliation du contrat de prestation, aux torts de la société prestataire.

En tout état de cause, le règlement intérieur et la charte informatique devront être affichés et diffusés au sein de l’entreprise.


L’évolution des technologies et des comportements de communication doivent susciter, dans l’entreprise, une réflexion régulière sur l’évolution des besoins des utilisateurs (par exemple : évolution des équipements - smartphones, tablettes internet ; évolution des modes de communication et des outils de collaboration en ligne tels le déploiement d’un RSE, l’utilisation du e-learning ou du serious gaming (formation en ligne), et sur les besoins réels de l’entreprise pour rester compétitive et attractive, sans pour autant mettre en danger la sécurité et la confidentialité des données ; le défi des RSI et des RH étant de s’appuyer sur une charte informatique claire et exhaustive, qui ne sera pas obsolète dans quelques mois…


* * * * * * * * * *

(1) Nous avions écrit un précédent article sur ce thème en septembre 2008 intitulé : La charte technologique : pour la protection des réseaux et des données de l’entreprise (http://www.journaldunet.com/solutions/expert/31256/la-charte-technologique---pour-la-protection-des-reseaux-et-des-donnees-de-l-entreprise.shtml). L’objet du présent article est d’approfondir la réflexion sur le déploiement des chartes informatiques face à l’évolution des technologies et des modes de communication dans l’entreprise.
(2) C Cass. soc. 5 juillet 2011, Gan Assurances Iard c/ M. X.
(3) Article L.1121-1 du Code du travail : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Voir Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir, ayant confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.
(5) Voir notamment la Charte d’éthique professionnelle des journalistes du Syndicat national des journalistes, le Guide de participation des journalistes AFP aux réseaux sociaux et le Guide des bonnes pratiques aux réseaux sociaux de France Télévisions
(6) Il conviendra notamment de sensibiliser les collaborateurs aux téléchargements illégaux et aux dispositions des lois Création et Internet ou lois Hadopi (Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ; et loi n°2009-1311 du 28 oct. 2009 relative à la protection pénale de la propriété intellectuelle et artistique sur internet)
(7) C Cass. soc. 15 décembre 2010, Emmanuel G. c/ Coca-Cola, Assedic
(8) C Cass. soc. 8 décembre 2009, Sergio G. c/ Peugeot Citroën Automobiles



Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

article publié sur le Journal du Net le 27 décembre 2011

lundi 12 décembre 2011

Réseaux sociaux d’entreprise et gestion des risques juridiques

Les habitudes de communication évoluent aussi rapidement que les outils de communication. Le monde de l’entreprise ne peut rester imperméable à ces nouveaux outils et usages. Ainsi, la mode des réseaux sociaux se décline désormais comme outil de travail collaboratif au sein de l’entreprise.

Les réseaux sociaux d’entreprise (RSE) peuvent intégrer des fonctionnalités diverses, depuis le classique profil de l’utilisateur, en passant par l’annuaire des collaborateurs, l’accès à des contenus divers. Le RSE peut également intégrer des fonctionnalités de collaboration active telles la consultation, l’édition et la modification de documents.

Cependant, la procédure de déploiement d’un RSE, puis la gestion du réseau dans le temps, ne doivent pas négliger la prise en compte du volet juridique. Nous faisons le point ci-après sur les obligations légales ainsi que sur la gestion des risques juridiques du RSE avant le déploiement du  service, puis au cours de son exploitation dans l’entreprise. 


1. Le déploiement d’un RSE : les règles de fonctionnement et le traitement des données personnelles


Comme pour tout projet, il est important de définir l’objet du RSE et ses règles de fonctionnement,  sans oublier a prise en compte des obligations légales, et ce préalablement à la mise en ligne de l’outil.

    1.1 L’objet du RSE et les règles d’utilisation du service

Préalablement au lancement du service, il est important d’en délimiter le périmètre d’utilisation. L’objet du RSE sera en principe déjà défini dans le cahier des charges. Cet objet sera repris au moment de la rédaction des conditions d’utilisation du RSE.

Les conditions d’utilisation indiqueront notamment les règles d’utilisation de l’outil et ses limites. Il est important de s’assurer que chaque collaborateur de l’entreprise accepte effectivement les conditions d’utilisation de l’outil lors de sa première connexion au service, ainsi qu’à chaque modification ultérieure des conditions d’utilisation. En effet, en cas d’absence de procédure d’acceptation effective des conditions d’utilisation, celles-ci pourront être considérées comme non opposables au collaborateur en cas de litige entre celui-ci et l’entreprise par exemple.

Ces conditions d’utilisation peuvent par ailleurs être mentionnées dans la charte informatique de l’entreprise, avec un renvoi vers le service et la page web correspondante. La charte informatique permettra ici de décrire l’objet du RSE et ses conditions d’utilisation et ses conditions d’accès, notamment le fait que le RSE est limité à une utilisation professionnelle, et pour les activités de l’entreprise et qu’il n’est pas prévu pour les échanges privés.

    1.2 L’objet du RSE et le traitement des données à caractère personnel

Dans la mesure où la mise en oeuvre d’un réseau social, fut-il interne à l’entreprise, implique la collecte de données à caractère personnel des collaborateurs inscrits au service, l’entreprise devra s’assurer que le traitement envisagé est conforme aux dispositions de la loi Informatique et Libertés et entre dans le cadre des conditions prévues à la norme simplifiée n°46 “Gestion du personnel”.(1)

Cette déclaration de conformité “Gestion du personnel” a pour finalité non seulement la gestion administrative du personnel de l’entreprise (dossier professionnel du salarié, annuaire des salariés), la gestion de carrière (évaluations professionnelles, etc.), mais également la mise à disposition d’outils informatiques, tels la mise à disposition des salariés de matériels informatiques, l’accès à la messagerie électronique, ou à l’intranet.

L’entreprise aura en principe fait une déclaration en application de cette norme lors du lancement de son activité pour les premières embauches de personnel. Si les règles de fonctionnement et de gestion du RSE entrent dans le cadre des conditions définies à la norme simplifiée Gestion du personnel (finalité du traitement, données collectées, destinataires des données, lieu de stockage des données, durée de conservation), il ne sera pas nécessaire de procéder à une nouvelle déclaration. En revanche, si les conditions de fonctionnement du RSE impliquent une modification des conditions de traitement des données des collaborateurs, une nouvelle déclaration (une mise  à jour ou une modification de la première déclaration) devra être faite auprès des services de la CNIL.

    1.3 La consultation du Comité d’entreprise

Les entreprises ayant le projet de déployer un RSE compteront généralement plus de 50 salariés et disposeront donc d’un comité d’entreprise. Dès lors, en application des dispositions de l’article L.2323-13 du Code du travail, le comité d’entreprise doit être informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, les éléments d’information devant être communiqués un mois avant la réunion.(2) Suivant l’objet du RSE, notamment si le service est appelé à être utilisé à grande échelle dans l’entreprise comme outil de travail collaboratif, la consultation du CE pourra ainsi être nécessaire.


2. La gestion du RSE dans le temps : quelques précautions pour éviter les problèmes juridiques

Une fois que le réseau social de l’entreprise est déployé, il conviendra de s’assurer que l’exploitation du service est gérée en appliquant quelques règles permettant d’éviter les problèmes d’ordre juridique. On retiendra notamment les règles suivantes :

    2.1 Les utilisateurs et la gestion des droits d’accès

Certains réseaux sociaux d’entreprise sont strictement limités aux salariés de l’entreprise, alors que d’autres réseaux sont ouverts à des tiers.

Selon que l’entreprise opte pour le modèle fermé ou le modèle ouvert, il est très important de gérer les accès de manière stricte et structurée. Les droits d’utilisation et d’accès aux différentes catégories de contenus et services devront être paramétrés en fonction du statut des utilisateurs.

Dans un RSE “fermé”, limité aux collaborateurs de l’entreprise, il conviendra de définir ce que l’on entend par collaborateur autorisé à utiliser le RSE: le service est-il autorisé pour tous les salariés de l’entreprise, ou seulement pour certaines catégories de salariés (personnels impliqués dans la conduite de projet par exemple, ou personnels mobiles) ? Le service est-il autorisé pour les collaborateurs nouvellement arrivés dans l’entreprise, pour les personnels en CDD ?

Dans un RSE “ouvert” à des tiers à l’entreprise, il sera indispensable de définir les catégories de tiers autorisés à accéder et à utiliser le RSE (ou une seule partie de ses fonctionnalités) : les intérimaires, les consultants indépendants, les sous-traitants.

    2.2 Les données de l’entreprise et la confidentialité

L’une des principales différences entre un réseau social “classique” (de type Facebook) et un réseau social d’entreprise tient non seulement au statut des utilisateurs autorisés à utiliser le service, mais également à la confidentialité des informations échangées entre les utilisateurs.

Toutes les informations échangées sur le RSE ne sont évidemment pas confidentielles. Cependant, les échanges internes relatifs à des clients de l’entreprise, ou à des projets en cours (négociations, projets en cours de développement ou de déploiement par exemple), ou encore à des projets internes (recherche), à des informations financières, etc. sont généralement de nature confidentielle. D’où l’importance de gérer les accès et les autorisations d’utilisation pour éviter les fuites d’informations et risquer de mettre en jeu la responsabilité de l’entreprise pour violation de son obligation de confidentialité vis-à-vis de ses clients notamment.

Il est par ailleurs recommandé de distinguer entre l’objet du RSE et ses modes d’utilisation et les situations dans lesquelles les échanges 1/1 verbaux, par email ou autres doivent être maintenus. Même si le RSE intègre une fonctionnalité de tchat ou de messagerie, ce service n’a pas pour objet de remplacer les échanges “traditionnels”, au moins dans l’immédiat.

    2.3 La liberté d’expression et ses limites


Comme pour tout service collaboratif en ligne, les informations mises en ligne sur un RSE sont soumises aux règles de la responsabilité éditoriale. Dans la mesure où les informations mises en ligne et les échanges entre utilisateurs n’ont pas vocation à être modérés/validés par l’entreprise avant leur mise en ligne, chaque utilisateur est responsable du contenu des messages (messages, photos, documents) qu’il/elle met en ligne et des informations divulguées.

Le principe de la liberté d’expression s’applique, même au sein de l’entreprise, comme rappelé à l’article L.1121-1 du Code du travail.(3) Cependant, ce principe connaît des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.

A ce titre, deux jugements du Conseil des prud’hommes de Boulogne-Billancourt, rendus le 19 novembre 2010 ont confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Les juges ont retenu que les échanges n’étaient pas d’ordre privé car ils étaient visibles par les “amis des amis” sur Facebook et non par les seules personnes impliquées activement dans ces échanges. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.(4)

Même si en l’espèce il s’agissait d’échanges sur un réseau social public, on peut penser que des propos insultants échangés sur un réseau social d’entreprise et accessibles à un large groupe de collaborateurs pourraient entraîner l’application de sanctions à l’égard du/des auteur(s) : suspension des droits d’accès au service et, le cas échéant, compte tenu de la gravité de la situation, mise en oeuvre d’une procédure disciplinaire, en conformité avec les règles de droit du travail. Il est recommandé de prévoir, dans les conditions d’utilisation, les règles de suspension d’accès au service en cas de violation desdites conditions d’utilisation.

    2.4 La durée de conservation des profils

Dans le cadre de l’administration des autorisations d’accès au service, il conviendra de gérer attentivement la cessation des droits d’utilisation et la durée de conservation des profils.

Concernant la cessation des droits d’utilisation, les règles de désactivation des codes d’accès au RSE devront correspondre à l’objet du service. Si le RSE est limité à l’activité de conduite de projet par exemple, les profils des utilisateurs seront désactivés à l’issue du projet, mais également, lors du départ d’un des collaborateurs de la société en cours de projet, ou lors du départ d’un consultant ou d’un sous-traitant. Si le RSE a un objet plus large, d’outil de communication au sein de l’entreprise, les profils seront désactivés au départ du collaborateur de l’entreprise.

Enfin, les données relatives aux profils des utilisateurs devront en principe être effacées dès la clôture du compte.


* * * * * * * * * * *


(1) La norme simplifiée n°46 “Gestion du personnel” est accessible sur le site de la CNIL, rubrique vos responsabilités > déclarer un fichier.
(2) L’article L.2323-13 du Code du travail dispose que “Le comité d’entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail.
Les membres du comité reçoivent, un mois avant la réunion, des éléments d'information sur ces projets et leurs conséquences sur chacun des sujets mentionnés au premier alinéa.”
(3) L’art L.1121-1 du Code du travail dispose que : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

Article publié sur Le Journal du Net le 12 décembre 2011

samedi 3 décembre 2011

Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi

Tout organisme privé (entreprise, association) ou public, quels que soient son domaine d’activité et sa taille, est amené à collecter et à traiter des données à caractère personnel concernant ses employés, clients ou administrés pour des traitements très divers, allant de la prospection commerciale, aux fichiers d'état civil et des électeurs, les fichiers des ressources humaines (personnel, candidats et CV), et les systèmes de contrôle d'accès, de vidéosurveillance ou de géolocalisation. La collecte et le traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés.

La multiplicité des traitements, alliée à la complexité de certains types de traitements et aux risques d'atteintes au respect de la vie privée, ont conduit le législateur à créer le Correspondant Informatique et Libertés.(1) Ce professionnel, qui peut être interne ou externe à l’entreprise ou l’administration concernée est un partenaire précieux pour tout organisme procédant à des traitements de données personnelles nombreux et/ou complexes.

Nous rappelons ci-après les obligations légales incombant aux organismes mettant en oeuvre des traitements de données à caractère personnel, puis analysons le rôle et les avantages liés à la désignation d’un Correspondant Informatique et Libertés.

1 - Rappel des obligations légales incombant aux organismes procédant à des traitements de données personnelles


Les obligations prévues par la loi  -  La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. La loi vise tous types d'opérations portant sur des données qui permettent d'identifier directement ou indirectement une personne physique et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

De nombreuses obligations pèsent sur le responsable des traitements, notamment : (i) déclarer, au préalable, à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, de faire valoir leurs droits (droits d'accès, de contestation, de rectification et d’opposition). En principe, le responsable du traitement est le dirigeant de l'entreprise ou le chef de service de l'organisme public en charge des traitements de données.

Les pouvoirs de contrôle et de sanction de la CNIL - La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements. Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL (pouvant être accompagnés d’agents de la DGCCRF et/ou de l'ARJEL) peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi.

Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée.

Les sanctions pénales  -  La CNIL peut décider de dénoncer au Procureur de la République les infractions à la loi. Le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est pénalement sanctionné : 5 ans d’emprisonnement et 300.000€ d’amende.(2)

Afin d'éviter de telles sanctions et d'alléger les formalités à la charge du responsable de traitements, les entreprises privées, associations ou administrations publiques, peuvent désigner un Correspondant Informatique et Libertés.

2 - Rôle et obligations du Correspondant Informatique et Libertés


La loi de 2004, ayant transposé la Directive sur la protection des données de 1995, a modifié la loi Informatique et Libertés en introduisant la possibilité pour les entreprises et administrations de nommer un Correspondant Informatique et Libertés ou “CIL”.(3)

Le rôle du CIL  -  Les principales missions incombant au CIL sont les suivantes :
- Tenir un inventaire des traitements de données : le CIL est tenu de dresser et de tenir à jour la liste des traitements automatisés mis en œuvre dans l'organisme au sein duquel il a été désigné ; 
- Veiller à l'application de la loi Informatique et Libertés : le CIL est consulté préalablement à la mise en oeuvre des traitements, fait des recommandations et élabore des dossiers de formalités auprès de la CNIL ; il veille au respect des droits des personnes (droit d'accès, droit d'opposition, etc) ; il reçoit les réclamations des personnes concernées par les fichiers, informe le responsable du traitement en cas de manquements à la loi et préconise des solutions adéquates. A défaut de se mettre en conformité avec la loi, le CIL doit saisir la CNIL des difficultés rencontrées avec son entreprise ou son administration ;
- Rendre compte de son activité : le CIL doit rédiger un bilan annuel faisant état de son action au sein de l'organisme, le présenter devant le responsable des traitements et le tenir à la disposition de la CNIL.

Le CIL doit collaborer au quotidien avec l'organisme qui l'a désigné et avec la CNIL. Le CIL est indépendant et autonome. Il ne reçoit aucune instruction et décide seul, après concertation avec les services concernés de l'organisme, des recommandations à faire. II ne peut faire l'objet de sanctions par l'organisme du fait de l'exercice de sa mission, sauf manquement grave.

Les conditions de désignation du CIL  -  La désignation d'un CIL doit être notifiée à la CNIL. Le CIL peut être interne à l'organisme (salarié de l’entreprise ou agent de l’administration concernée). Le CIL peut également être un consultant externe à l'organisme.

Si plus de 50 personnes au sein d’un organisme sont en charge de la mise en œuvre d’un traitement ou ont accès directement à ce traitement (ex : plus de 50 salariés travaillent sur le fichier clients de la société) alors seul un CIL interne à l’organisme peut être désigné. On considère le CIL comme interne à l’organisme tout CIL salarié de l’organisme, salarié d’une des entités du groupe de sociétés auquel appartient l’organisme, salarié du GIE dont est membre l’entreprise, agent de l’administration concernée, ou toute personne mandatée à cet effet par l'organisme.

En deçà de 50 personnes, le CIL peut-être interne ou externe à l’organisme (ex : avocat, consultant en informatique).

Les qualifications et compétences spécifiques du CIL -  En pratique, le CIL est en relation avec les différents services de l'organisme (services informatique, marketing, finance, ressources humaines), le responsable du traitement et la CNIL. Ce professionnel doit disposer de compétences spécifiques portant sur la réglementation relative à la protection des données personnelles, mais aussi en matière de nouvelles technologies (informatique, internet, etc).

L'avocat CIL  -  Compte tenu des qualités requises pour exercer la mission de CIL, l'avocat est apparu très rapidement comme un professionnel apte à endosser cette fonction, à plusieurs titres. Tout d'abord, l'avocat est qualifié pour remplir les rôles de conseil, auditeur et médiateur. Ensuite, il maîtrise, selon sa spécialité, la réglementation relative à l'exécution de la mission du CIL (protection des données personnelles, droit informatique, droit pénal, etc.). Enfin, il est soumis au respect des règles de déontologie propres à la profession d’avocat, notamment la confidentialité et l'indépendance, ces deux éléments pouvant parfois être difficiles à mettre en oeuvre au quotidien par un CIL salarié de l’entreprise, notamment en cas de traitements complexes et/ou sensibles.(4) C'est pourquoi en 2009 le Conseil National des Barreaux a autorisé l'avocat à être désigné CIL par et pour le compte de ses clients.(5)

Les avantages pour les organismes  -  La désignation d'un CIL interne ou externe présente de nombreux avantages pour les organismes qui exploitent des traitements de données personnelles multiples. Le CIL permet :
    - d'alléger les formalités déclaratives préalables. La désignation d’un CIL a pour effet d’exonérer l’organisme concerné de l’accomplissement des formalités de déclarations des nouveaux traitement à la CNIL ; seuls les traitements soumis à autorisation de la CNIL (ex: biométrie) ou comportant des transferts de données hors Union européenne devront continuer à être déclarés. Ceci peut donc représenter un gain de temps considérable pour les organismes mettant en oeuvre de nombreux traitements de données et/ou des traitements complexes ;
    - d’améliorer la maîtrise des risques juridiques et techniques liés au traitement de données personnelles ;
    - d'être en contact direct et régulier avec la CNIL ;
    - et d'être conseillé en cas de contrôle de la CNIL.

En revanche, la désignation d’un CIL n’a pas pour effet d’exonérer le responsable du traitement de respecter les dispositions de la loi Informatique et Libertés.


Bien que la désignation d’un CIL soit facultative, les avantages que procure un tel partenaire pour l’entreprise ou l’administration, amenées à gérer des traitements nombreux et/ou complexes, ont conduit plus de 8 000 organismes français à désigner un CIL interne ou externe, depuis l’entrée en vigueur de la loi de 2004.


* * * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (notamment article 22) et décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi de 1978 précitée (notamment articles 42 et 55).
(2) Articles 226-16 à 226-24 du Code pénal.
(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(4) En application de la règle de confidentialité par exemple, l'avocat CIL ne peut dénoncer son client à la CNIL en cas de manquements à la loi relevés dans le cadre de sa mission de CIL et non corrigés par le responsable du traitement.
(5) Décision CNB du 28 mai 2009, J.O du 11 juin 2009, nouvel article 6.2.2 du Règlement Intérieur National.



Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

jeudi 24 novembre 2011

Cloud computing : la confiance des partenaires passe par un “bon” contrat

A l’ère du document numérique, les services en mode “cloud”, bien qu’en fort développement, se heurtent toujours à la méfiance des clients potentiels. Nombre de sociétés, qui seraient tentées, essentiellement pour des raisons de baisse des coûts et de flexibilité, de sauter le pas de l’externalisation en cloud, s’y refusent par manque d’assurance et/ou de transparence de la part des prestataires.

Plusieurs problèmes de fond demeurent, tels que failles de sécurité et perte de données, localisation des données impossible, problèmes d’accès aux documents, etc.

Le droit, même s’il ne résout pas les problèmes techniques, peut contribuer à établir un climat de confiance entre les partenaires, indispensable pour que les entreprises-clientes soient rassurées.

Client et prestataire, des professionnels responsables

Plusieurs éléments tendent vers l’établissement de cette confiance entre client et prestataire.

Le client, qui reste responsable juridiquement du traitement de ses données, qu’elles soient à caractère personnel, confidentielles, ou autre doit, dans un premier temps, définir ses besoins : périmètre des activités à externaliser vers le cloud, confidentialité ou non des données, nécessité d’un cloud privé, public ou hybride, durée de l’externalisation, etc. Dans un deuxième temps, le client devra comparer les propositions des prestataires, celles-ci étant souvent standardisées. S’il s’agit d’une première externalisation, il sera plus prudent de se limiter à une activité non essentielle de l’entreprise, sur des données non confidentielles, au moins pour tester le service sélectionné pendant une première période.

Le prestataire doit pour sa part miser sur l’information et la transparence afin de rassurer le client : informer sur le niveau de service, la disponibilité des documents, l’existence d’un plan de continuité de l’activité, la sécurité, la localisation des serveurs, les procédures de réversibilité et/ou l’interopérabilité de la plateforme cloud, etc.

Le contrat de prestation cloud comme document différenciateur
Le contrat doit être intégré à cette démarche. En effet, un contrat de service cloud aux termes clairs, avec des engagements réels mais réalistes, est essentiel. Enfin, si les propositions standard ne correspondent pas aux besoins du client, celui-ci ne devra pas hésiter à se tourner vers des propositions de service personnalisées et négociables.

Bénédicte DELEPORTE - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011



mercredi 16 novembre 2011

La collecte de données personnelles sur les réseaux sociaux soumise à la loi Informatique et Libertés

Les informations personnelles mises en ligne par les utilisateurs des réseaux sociaux ont une réelle valeur économique, pour les annonceurs et les prestataires de services notamment. Toutefois, l’utilisation de ces données par des tiers n’est pas libre, alors même que ces informations sont visibles par tous. En effet, la collecte et le traitement de ces données doivent respecter les principes définis par la loi Informatique et Libertés. C’est ce qu’a rappelé la CNIL dans une délibération rendue le 21 septembre 2011, sanctionnant la société PagesJaunes pour avoir mis en oeuvre un traitement de données non conforme à la loi.(1)


1. Le traitement mis en oeuvre par la société PagesJaunes pour enrichir ses annuaires

Début 2010, la société PagesJaunes, éditrice des services d'annuaires Pages Jaunes et Pages Blanches sur internet, a déclaré à la CNIL un nouveau service en ligne mettant en oeuvre une fonctionnalité de "web crawl", visant à enrichir le contenu de ses annuaires et bases de données. Ainsi, courant 2010, la société PagesJaunes a, par le biais d'un logiciel de collecte automatique de données sur internet, récupéré les données d’utilisateurs inscrits sur plusieurs réseaux sociaux (photo, établissements scolaires, profession, employeur, etc.) pour compléter les informations disponibles sur le site des pages blanches (identité, coordonnées téléphoniques, adresse postale). La société a ainsi indexé sur son site près de 34 millions de profils communautaires, issus de 6 réseaux sociaux : Facebook, Twitter, Viadeo, LinkedIn, Trombi et Copains d'avant.

Saisie de plaintes de particuliers ne parvenant pas à faire valoir leur droit d'opposition à la réutilisation des données les concernant, la CNIL a ordonné une mission de contrôle sur place, dans les locaux de la société. Lors de ce contrôle, la CNIL a notamment pu constater les éléments suivants :

- Les informations personnelles "aspirées" puis mises en ligne par la société PagesJaunes étaient collectées sans que les utilisateurs des réseaux sociaux aient donné leur consentement ni même en aient été informés. En outre, la collecte pouvait concerner des données relatives à des mineurs et à des personnes inscrites sur la liste rouge téléphonique.

- Pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France, PagesJaunes procédait à un filtrage des pages issues des réseaux sociaux. Pour ce faire, la société extrayait de son annuaire les nom et prénoms de ses abonnés pour les conserver dans un fichier intermédiaire puis les croiser avec la base de données contenant les profils des réseaux sociaux.

- Les personnes ne souhaitant pas apparaître sur le site des Pages Blanches avaient la possibilité de s'y opposer, a posteriori, en remplissant un formulaire en ligne. Or, l'intéressé devait remplir autant de formulaires que de profils détenus sur les réseaux sociaux et toute demande d'opposition imprécise n’était pas traitée.

- Les suppressions demandées par les personnes exerçant leur droit d'opposition n’étaient pas définitives puisque leurs profils pouvaient de nouveau être indexés automatiquement par le logiciel des PagesJaunes, en cas de changement d’URL d’un profil par exemple.

- Enfin, les informations figurant sur le site des Pages Blanches, résultant de l'indexation de profils communautaires, n’étaient pas à jour, car non régulièrement actualisées par la société PagesJaunes.

La CNIL a donc considéré que les procédés de collecte et de traitement des données personnelles, mis en oeuvre par la société PagesJaunes, n’étaient pas conformes à la loi Informatique et Libertés. En outre, bien que la société ait suspendu le traitement litigieux de "web crawl" avant la délibération de la CNIL, la Commission a prononcé à son encontre un avertissement rendu public.

Quels sont les manquements à la loi Informatique et Libertés reprochés à la société PagesJaunes ?


2. Une collecte et un traitement de données à caractère personnel jugés non conformes à la loi Informatique et Liberté

    2.1 Une collecte déloyale et illicite des données à caractère personnel

L'absence de consentement préalable des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit mettre en oeuvre une collecte loyale, par l’obtention notamment du consentement de la personne dont les données sont collectées.(2)

En l'espèce, le procédé mis en oeuvre par la société PagesJaunes consistait à collecter de façon massive, répétitive et indifférenciée, les données personnelles des utilisateurs inscrits sur les réseaux sociaux, sans leur consentement préalable.

La société PagesJaunes soutenait que les internautes publiant volontairement des informations les concernant sur les réseaux sociaux, et ne restreignant pas l'accès à leur profil, consentaient implicitement à la réutilisation de ces informations par des tiers. Cet argument a été rejeté par la CNIL, qui relève notamment que la collecte litigieuse concernait des données de mineurs "rarement conscients de la portée de diffusion de telles informations", et de personnes inscrites sur la liste rouge téléphonique.

La CNIL a jugé que ce type de collecte était déloyal. La Commission confirme ainsi que le fait que ces informations personnelles soient librement accessibles sur internet n'autorise pas les tiers à les collecter sans l'accord préalable des personnes concernées.

L'absence d'information des personnes concernées
La loi prévoit que le responsable d'un traitement de données doit informer les personnes concernées par cette collecte et communiquer son identité, la finalité poursuivie par le traitement en cause, les destinataires des données, les droits dont bénéficient ces personnes à l’égard du traitement de données, le cas échéant, si les données seront exportées, etc.

En l'espèce, la société PagesJaunes ne fournissait pas ces informations. Pour justifier ce manquement, la société invoquait l'une des exceptions légales à l'obligation d'information, à savoir le fait que les personnes, dont les données étaient collectées puis publiées sur le site des Pages Blanches, avaient déjà été informées de la réutilisation de leurs données par le biais des conditions d'utilisation et de la politique de confidentialité des réseaux sociaux. Ces documents stipulent que les données à caractère personnel des utilisateurs peuvent être indexées par des moteurs de recherche.

La CNIL considère que les sites des PagesJaune ne sont pas des moteurs de recherche. L’activité d'édition d'annuaires consiste en l’exploitation de bases de données, et non dans "la mise en œuvre d’une application permettant de retrouver des ressources extérieures à celles enregistrées dans ses bases."

La collecte de données à caractère personnel sur les profils communautaires, à l'insu des personnes concernées, est donc déloyale et illicite.

    2.2 Un traitement illicite de données personnelles


Le non-respect de la finalité déclarée du traitement
Un fichier de données personnelles ne peut être exploité à d'autres fins que celles initialement déclarées. La loi dispose ainsi qu'un traitement ne peut porter que sur des données collectées pour des finalités déterminées, explicites et légitimes. Les données ne peuvent être traitées ultérieurement de manière incompatible avec ces finalités. 

En l'espèce, l’extraction des données des abonnés de l’annuaire Pages Blanches, à des fins de filtrage des profils des réseaux sociaux pour s'assurer que les données collectées ne correspondaient qu'à des personnes résidant en France n’avait pas de lien avec la finalité initialement déclarée pour le service des Pages Blanches.

La CNIL considère que ce procédé constitue un détournement de finalité et donc, un traitement illicite de données personnelles.

Le non-respect des droits des personnes concernées
La loi prévoit que les personnes concernées par un traitement de données à caractère personnel bénéficient des droits d'accès, de contestation, de rectification des données et d'opposition au traitement.

La CNIL a considéré que les procédures mises en oeuvre par la société PagesJaunes, afin que les personnes concernées puissent faire valoir leurs droits d'opposition et de rectification, étaient trop complexes et inefficaces : (i) la procédure de demande d'opposition était soumise à l’envoi d’un formulaire par profil. En outre, cette procédure ne garantissait pas que les données seraient définitivement supprimées (réindexation suite à une nouvelle collecte sur un profil modifié par exemple) ; (ii) Il appartenait aux intéressés de procéder directement aux modifications souhaitées sur leurs profils communautaires, du fait de leur indexation sur le site des Pages Blanches. Ces rectifications étaient souvent inopérantes, compte tenu de l'absence de mise à jour régulière des données issues des profils des réseaux sociaux.

Sur la base de ces divers manquements à la loi Informatique et Libertés, la CNIL a décidé d’émettre un avertissement public à l’encontre de la société PagesJaunes, sans pour autant aller jusqu’à demander l’application d’une sanction pécuniaire, la société ayant suspendu le traitement litigieux pendant la procédure.


Ce n'est pas la première fois que la CNIL se prononçait sur une affaire de collecte illicite par aspiration de données disponibles sur internet. En 2006, la Cour de cassation, confirmant la position de la CNIL, avait condamné le dirigeant d'une société à 3000€ d’amende, à la suite d’une collecte de données illicite, dont l’objectif était de constituer des fichiers de prospects. Cette société avait collecté des données personnelles au moyen d'un logiciel aspirant des informations sur internet, sans que les personnes concernées aient donné leur consentement, ni même en aient été informées. A ce titre, il convient de rappeler que toute personne réutilisant des données à caractère personnel en violation des dispositions de la loi Informatique et Libertés encourt des sanctions pénales pouvant aller jusqu’à 5 ans d'emprisonnement et 300.000€ d'amende.(4)
* * * * * * * * * * *

(1) Délibération de la formation restreinte de la CNIL n°2011-203 du 21 septembre 2011 portant avertissement à l'encontre de la société PagesJaunes et Loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.
(2) Voir articles 6 (1°) et 32 de la loi Informatique et Libertés relatifs à la collecte loyale et à l'information des personnes concernées. Par ailleurs, le responsable de traitement est défini à l'article 3 de la loi comme étant la personne, l’autorité publique, le service ou l’organisme qui détermine les finalités et les moyens du traitement. Enfin, l'article 7 dispose qu’”un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée (...)".
(3) Voir articles 6 (2°) et 38 à 40 de la loi Informatique et Libertés. De même, l'article 6 (4°) dispose que les données personnelles doivent être exactes et, si nécessaire, mises à jour ; il incombe au responsable du traitement de prendre les mesures appropriées pour que les données inexactes au regard des finalités pour lesquelles elles sont collectées ou traitées, soient rectifiées.
(4) Cass. crim., 14 mars 2006, n°05-83.423 et articles 226-16 et s. du Code pénal.


Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

jeudi 10 novembre 2011

Cloud computing, données personnelles et sécurité : la CNIL consulte les professionnels

Pendant un mois, du 17 octobre au 17 novembre, prestataires et clients de services Cloud sont invités à faire part de leurs commentaires sur les solutions juridiques et techniques proposées par la CNIL pour améliorer l’encadrement juridique du Cloud computing.

Cinq séries de questions sont soumises aux parties, autour des thématiques suivantes : 1) qu'est-ce qui caractérise un service de Cloud computing ? 2) Le statut et les responsabilités du sous-traitant des données, applicables au prestataire Cloud, doivent-ils évoluer ? 3) Quels critères utiliser pour déterminer la loi applicable aux services Cloud ? 4) Quels outils juridiques permettraient de mieux encadrer les transferts de données vers des pays ne disposant pas d'un niveau de protection adéquat ? 5) Quelles mesures de sécurité devraient être adoptées (mesures techniques et gestion des accès aux données) pour garantir la confidentialité des données ?

Après analyse des contributions, la CNIL publiera des lignes directrices accessibles via son site web. Ces lignes directrices devraient fournir des éléments utiles pour faire évoluer les offres contractuelles et donc, améliorer la confiance des utilisateurs au moment de sélectionner une offre Cloud adaptée.

La consultation CNIL sur le Cloud computing est accessible sur le site de la CNIL (www.cnil.fr)


Bénédicte DELEPORTE
Avocat

* Article publié dans Le Nouvel Economiste, édition du 10 novembre 2011

vendredi 4 novembre 2011

Open Data : un plus large accès aux données publiques permettra t-il un véritable essor de leur réutilisation ?

Les administrations produisent une multitude de documents sur la base de données collectées dans des domaines divers, tels que l’économie, la géographie, la culture, la santé. A ce jour, cette richesse documentaire est encore relativement peu réutilisée par les entreprises privées, malgré le dispositif législatif et réglementaire existant.

Dans la lignée du plan France numérique 2012, le Gouvernement a créé la mission Etalab en février 2011, chargée du développement d'un portail de mise à disposition des données publiques. Ce portail internet, dénommé data.gouv.fr, doit être lancé avant la fin 2011.

La publication en octobre d’une nouvelle licence libre d’exploitation de données publiques par la mission Etalab donne l'occasion de rappeler les règles d’accès aux données publiques puis les conditions d'exploitation de ces données.


1. Faciliter l’accès aux données publiques

L’accès aux documents administratifs (données publiques) est encadré depuis la loi du 17 juillet 1978 visant à instaurer une relation de transparence entre les administrations et les citoyens (la loi CADA).(1)

Cette loi a été modifiée et complétée à plusieurs reprises. L’ordonnance du 6 juin 2005 relative à la liberté d’accès aux documents administratifs et à la réutilisation des informations publiques transpose en droit français la directive européenne de 2003 sur la réutilisation des informations du secteur public. Plus récemment, un décret et une circulaire du 26 mai 2011 sont venus compléter la réglementation sur la réutilisation des informations publiques. En sus du droit d'accès, les textes  de 2005 et de 2011 ont défini les conditions de réutilisation des informations publiques des administrations.(2)

Toutes les données publiques ne sont cependant pas accessibles. Quant aux données publiques effectivement accessibles, quelles sont les conditions de cette accessibilité ?

    1.1 Quelles sont les données publiques accessibles ?
La loi CADA de 1978 consacre, dans ses articles 1 à 9, un droit général d’accès aux données publiques par les personnes physiques et morales, sous réserve de certaines exceptions.

Les données accessibles
Sont considérés comme “données publiques” tous documents, quels que soient leur date, leur lieu de conservation, leur forme et leur support (papier, numérique, image, son, vidéo), produits ou collectés par l'Etat, les collectivités territoriales dans le cadre de leur mission de service public, ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission.

Ces documents comprennent notamment les dossiers, rapports, études, procès-verbaux, statistiques, directives, instructions, circulaires, avis, décisions. Ces données concernent des domaines très divers : économique, géographique, social, culturel, etc. Il peut s'agir par exemple d’informations relatives aux biens (cadastre, hypothèques, titre de propriété, permis de construire), d'images d’archives, de données topographiques, fiscales ou démographiques.

Sont donc potentiellement accessibles toutes les données détenues par l’administration, dans le cadre de sa mission de service public.

Les limites à l'accessibilité aux données
Toutes les données publiques ne sont cependant pas accessibles, pour des raisons diverses, ou sont accessibles sous certaines conditions :

    - Ne sont pas accessibles (i) les documents dont la consultation porterait atteinte au secret de la défense nationale, à la sûreté de l'Etat, à la sécurité publique, à tous les secrets protégés par la loi, etc. et (ii) les informations sur lesquelles des tiers détiendraient des droits de propriété intellectuelle.

    - Ne sont accessibles que par l’intéressé, les documents dont la consultation porterait atteinte à la protection de sa vie privée, au secret médical et au secret en matière commerciale et industrielle.

    - Ne sont accessibles que sous conditions, les documents administratifs qui comportent des données personnelles. Ces documents ne peuvent être rendus publics qu’après avoir fait l’objet d’un traitement afin d’occulter ces mentions ou de rendre impossible l’identification des personnes physiques nommées, l’objet étant de protéger leur vie privée.

    1.2 Les conditions d'accès aux données publiques
L'accès aux données publiques peut s'exercer de diverses manières : au choix du demandeur et sous réserve des possibilités techniques de l'administration, par consultation gratuite sur place, par la délivrance d'une copie, aux frais du demandeur ou par courrier électronique, sans frais si le document est disponible sous forme électronique, ou encore, par consultation en ligne.

Ainsi, l’accès aux données publiques est facilité par la création de portails internet, à l'initiative de communes, de collectivités locales, du gouvernement, mais également de sociétés commerciales. Plusieurs sites web de mise à disposition de données publiques existent déjà.

Par exemple, les villes de Rennes et de Paris ont créé des portails internet donnant accès aux données publiées par leurs différents services. Ces données recouvrent plusieurs thèmes, tels que citoyens, urbanisme (liste des parcs et jardins publics), équipements (liste des équipements sportifs), transports, finance (données budgétaires), services (données sur les bornes vélo en libre-service), environnement, sport et culture.(3)

Dans le cadre du déploiement de sa politique d'ouverture des données publiques, le gouvernement a créé en février 2011 la mission Etalab, chargée de la mise en oeuvre d’un portail interministériel destiné à rassembler et à mettre à disposition du public l'ensemble des informations publiques détenues par les administrations de l'Etat. Le portail internet data.gouv.fr doit être lancé avant la fin de l'année 2011 ; il proposera un moteur de recherche permettant d'accéder aux différentes informations produites par l'administration.(4)

Des initiatives privées existent également, tel le portail data-publica.com, exploité par la société Data Publica. Le site propose un annuaire référençant les données publiques françaises dans des domaines tels que l’économie et la finance, l’énergie, la santé, la démocratie, la démographie, l’agriculture, permettant leur réutilisation sous différentes licences, dont une licence commerciale.


2. Améliorer l’exploitation des données publiques par les entreprises privées

    2.1 Le principe de libre réutilisation des données publiques
La loi CADA définissait la notion de données publiques et les conditions d’accès à ces données, mais ne prévoyait pas expressément les conditions de leur réutilisation. L’ordonnance de 2005 complète ce dispositif en posant les conditions de la réutilisation des données.

La notion de libre réutilisation
La Directive européenne de 2003 (transposée en droit français par l’ordonnance du 6 juin 2005), a posé le principe de libre réutilisation des données publiques. Les informations figurant dans des documents produits ou reçus par les administrations peuvent être utilisées par toute personne qui le souhaite, à d'autres fins que celles de la mission de service public pour les besoins de laquelle les documents ont été produits ou reçus.(5) En outre, lorsque la réutilisation de documents publics est autorisée, ces documents doivent pouvoir être réutilisés à des fins commerciales ou non commerciales.(6)

Réutilisation à titre gratuit ou payant
La réutilisation des données publiques peut donner lieu au versement d’une redevance à l’administration, dont le calcul est encadré par la loi. Toutefois, la redevance reste du domaine de l’exception, les dernières dispositions législatives ayant modifié le cadre légal afin de généraliser autant que possible le principe de gratuité de réutilisation des données publiques.

Précédemment, les différentes administrations de l'Etat pouvaient décider souverainement des données dont l'exploitation par des tiers était soumise au paiement de redevances. Dorénavant, cette décision devra être justifiée par des circonstances particulières (ex: la production de ces données nécessite des investissements particuliers). Ces informations doivent être au préalable inscrites sur une liste fixée par décret après avis du COEPIA (Conseil d’orientation de l’édition publique et de l’information administrative). Cette liste est rendue publique sur un site internet créé sous l'autorité du Premier ministre. En l'absence d'inscription sur cette liste, les données sont réputées gratuites.(7)

Les entreprises privées peuvent par ailleurs développer des produits ou services à valeur ajoutée à partir des données publiques, et soumettre leur utilisation au paiement d’une redevance.

    2.2 Les conditions de réutilisation des données publiques

Les conditions généralement applicables à la réutilisation de données publiques
Il existe trois conditions d’ordre général applicables à la réutilisation de toute donnée publique :
    - La préservation de l'intégrité des données : sauf accord de l'administration, les données publiques ne doivent pas être altérées. Leur sens ne doit pas être dénaturé et leurs sources et la date de dernière mise à jour doivent être mentionnées ;

    - La protection des données personnelles : les informations publiques comportant des données à caractère personnel peuvent uniquement faire l'objet d'une réutilisation si la personne concernée y a consenti, ou si l'autorité détentrice de la donnée est en mesure de les rendre anonymes ou, à défaut, si une disposition législative ou réglementaire le permet. La réutilisation de ces données est soumise au respect des dispositions de la loi Informatique et Libertés ;

    - Un droit de réutilisation non-exclusif : les données publiques sont accessibles et disponibles à tous. Elles ne peuvent faire l'objet d'un droit d'exclusivité lors de leur réutilisation par un tiers, sauf si l’exclusivité est nécessaire à l'exercice d'une mission de service public.

Les licences de réutilisation des données publiques
Les portails diffusant des données publiques soumettent leur réutilisation à des conditions de licence Open Data, libres ou commerciales.

Ainsi, dans le cadre de la politique du Gouvernement en faveur de l’ouverture des données publiques, Etalab vient de publier une nouvelle Licence Ouverte ou "Open Licence". Cette licence libre a pour objet de simplifier l'exploitation des données publiques, accessibles gratuitement via le futur portail data.gouv.fr. La Licence Ouverte est valable dans le monde entier et pour une durée illimitée. L'utilisation des données est soumise à la condition de mentionner la source et la date de leur dernière mise à jour (“paternité” de la donnée). Cette licence est compatible avec les principales licences libres Open Data développées à l’étranger telles que l'Open Government Licence (OGL), la licence Creative Commons Attribution 2.0 (CC-BY 2.0) et la licence Open Data Commons Attribution (ODC-BY).

Pour son portail Open Data, la ville de Paris a choisi de soumettre les conditions d’exploitation de ses données à la licence ODbL (Open Database Licence), qui impose notamment à l'utilisateur de citer la source et de laisser la base ouverte, qu’elle ait été enrichie ou non. Quant à la ville de Rennes, elle soumet la réutilisation des données publiques accessibles sur son portail data.Rennes-metropole à une licence libre spécifique.


La politique d’ouverture de l’accès et des conditions de réutilisation des données publiques n’est pas exclusive à la France. Elle s’inscrit en effet dans une démarche commune à plusieurs pays occidentaux, dont les Etats-Unis, le Royaume-Uni, l’Allemagne, l’Australie.

Les objectifs de cette politique Open Data sont divers, depuis la mise en oeuvre d’une plus grande transparence de l’information du citoyen, jusqu’au développement d’applications mobiles de proximité.

Cette politique doit notamment permettre aux entreprises privées et développeurs de créer de nouveaux produits et services dans des domaines comme la mobilité, les services de proximité (équipements, transports, urbanisme), l’information statistique (santé, impôts, scolaire).

Le cadre juridique de l’accès et de la réutilisation des données publiques est désormais en place, via un corpus réglementaire et des licences d’utilisation définissant les droits et obligations des utilisateurs de ces données. Les conditions techniques, avec d’une part la mise à disposition des données dans des formats intelligibles et structurés, d’autre part le déploiement de sites web permettant un accès en ligne doivent permettre un véritable essor de l’exploitation de cette richesse informationnelle. Une question demeure cependant : existe t-il une réelle opportunité économique pour les entreprises privées dans la réutilisation et l’exploitation des données publiques ? Peut-être pas pour des applications de base. Cependant, plus le traitement de données brutes, hétérogènes apportera de la valeur (par exemple via leur organisation en bases de données exploitables, leur analyse et la production d’études et autres documents réexploitables), plus les débouchés économiques, donc commerciaux seront justifiés.

* * * * * * * * * * * * * * * * *

(1) Loi n°78-753 du 17 juillet 1978 (dite “loi CADA”) portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. Certains documents ou informations font l’objet de régimes particuliers prévus, par exemple, dans le Code du patrimoine et le Code général des collectivités territoriales.
(2) Les différents textes applicables, en sus de la loi CADA de 1978 comprennent la Directive 2003/98/CE du Parlement européen et du Conseil du 17 novembre 2003 concernant la réutilisation des informations du secteur public ; L’Ordonnance n°2005-650 du 6 juin 2005 relative à la liberté d'accès aux documents administratifs et à la réutilisation des informations publiques ; Le Décret n°2011-577 du 26 mai 2011 relatif à la réutilisation des informations publiques détenues par l'Etat et ses établissements publics administratifs ; La Circulaire du 26 mai 2011 relative à la création du portail unique des informations publiques de l'Etat data.gouv.fr par la mission Etalab et l'application des dispositions régissant le droit de réutilisation des informations publiques - NOR: PRMX1114652C.
(3) Les portails Open Data de Rennes et de Paris sont accessibles à http://www.data.rennes-metropole.fr/ et http://opendata.paris.fr/
(4) Voir le Décret n°2011-194 du 21 février 2011 portant création d'une mission Etalab chargée de la création d'un portail unique interministériel des données publiques
(5) Le droit d’accéder aux données n’entraîne pas automatiquement le droit de les réutiliser. L’article 10 de la loi CADA dispose que ne sont pas considérées comme des informations publiques réutilisables: “les informations contenues dans des documents : a) dont la communication ne constitue pas un droit en application du chapitre 1er ou d’autres dispositions législatives, sauf si ces informations font l’objet d’une diffusion publique; b) ou produits ou reçus par les administrations mentionnées à l’article 1er dans l’exercice d’une mission de service public à caractère industriel ou commercial; c) ou sur lesquels des tiers détiennent des droits de propriété intellectuelle.” Dans ces trois cas, l’administration peut s’opposer à une demande de réutilisation de ses données publiques, sauf autorisation expresse.
(6) Voir articles 2 et 3 de la Directive 2003/98/CE du 17 novembre 2003.
(7) Voir la liste des textes applicables au point (2) ci-dessus. A préciser que ne sont concernées par ce nouveau régime que les redevances instituées postérieurement au 1er juillet 2011. Les redevances instituées avant cette date ne sont pas remises en cause, sous réserve que l'autorité compétente pour délivrer les licences de réutilisation demande leur inscription sur la liste au plus tard le 1er juillet 2012. A défaut, les redevances deviennent caduques et les titulaires de licences pourront réutiliser les informations gratuitement.




Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2011

jeudi 27 octobre 2011

Logiciels, originalité et droit de décompilation : le rappel par les juges des conditions de protection

Le logiciel est protégé par le droit d’auteur. Cependant, cette protection n’est pas acquise automatiquement, le caractère original du logiciel étant un préalable nécessaire à la protection. Une fois la protection acquise, les exceptions aux droits de l’auteur, dont le droit de décompiler le code objet du logiciel protégé pour assurer l’intéropérabilité entre ce logiciel et un logiciel tiers, sont strictement encadrées.

C’est ce que les juges ont rappelé dans deux décisions rendues en septembre 2011, opposant la société Nintendo à des revendeurs de “linkers”.


1. Rappel des conditions de protection des logiciels par le droit d’auteur

    1.1 L'originalité : un préalable nécessaire à la protection du logiciel
Un logiciel, en tant qu’oeuvre de l’esprit, est protégé par le droit de la propriété intellectuelle, à condition d’être “original”.(1)

La loi ne définit pas précisément le critère d'originalité. Selon la jurisprudence, l'originalité d’une oeuvre consiste en “l’empreinte de l’auteur”, à savoir ce qui distingue cette oeuvre des autres. Ainsi, l'auteur du logiciel doit avoir "fait preuve d'un effort personnalisé allant au-delà de la simple mise en oeuvre d'une logique automatique et contraignante et (que) la matérialisation de cet effort résid(e) dans une structure individualisée".(2)

Le caractère original de l’oeuvre doit pouvoir être démontré par son titulaire en cas d'action en contrefaçon. Ce critère est soumis à l’appréciation des juges qui doivent, avant de faire droit à une telle demande, confirmer le caractère original du logiciel litigieux.(3)

En l’absence d’originalité, le logiciel ne pourra alors bénéficier de la protection par le droit de la propriété intellectuelle.

    1.2 Les droits de l'auteur du logiciel et l’exception d’interopérabilité
Le logiciel original est protégé dès lors qu'il existe une certaine mise en forme, que cette mise en forme soit du code source ou du code objet, code source et code objet étant eux-mêmes protégés par le droit d'auteur.

L'auteur du logiciel détient sur celui-ci les droits de propriété intellectuelle qui y sont afférents : droits patrimoniaux (notamment le droit d’exploiter le logiciel et d’en tirer des revenus) et le droit moral (droit à la citation et au respect de l’intégrité l’oeuvre).(4)

Le logiciel ne pourra donc être utilisé par des tiers (distributeur, société de service ou utilisateur final) qu’avec l’accord de l'auteur, soit en vertu d’une licence d’utilisation, soit à la suite de la cession de tout ou partie des droits de l'auteur. Toute utilisation non autorisée du logiciel (reproduction ou distribution sans l’autorisation de l'auteur) pourra être qualifiée de contrefaçon, en vertu des articles L.335-2 et suivants du Code de la propriété intellectuelle (CPI).

Toutefois, l’article L.122-6-1 du CPI prévoit des exceptions à l'accord préalable de l'auteur du logiciel, lorsque les actes de reproduction, traduction et adaptation du logiciel sont nécessaires pour permettre l'utilisation du logiciel, conformément à sa destination, par la personne ayant le droit de l'utiliser, pour faire une copie de sauvegarde ou pour procéder à la décompilation du logiciel.

La loi dispose cependant que l’exception d’interopérabilité permettant à l’utilisateur de décompiler le code objet sans nécessairement avoir obtenu l'autorisation préalable du titulaire des droits sur le logiciel est soumise aux conditions suivantes : que la décompilation soit accomplie par un utilisateur légitime du logiciel, que les informations nécessaires à l'interopérabilité n'aient pas déjà été rendues facilement et rapidement accessibles à l'utilisateur, et que la décompilation soit limitée aux parties du logiciel nécessaires à cette interopérabilité.

Enfin, les informations ainsi obtenues par l'utilisateur sont confidentielles et ne peuvent être utilisées qu’à des fins strictement limitées : (i) réalisation de l'interopérabilité avec un logiciel développé de façon indépendante ; (ii) interdiction de communiquer les données à des tiers, sauf si cela est nécessaire à l'interopérabilité ; et (iii) interdiction d’utilisation des données pour la mise au point, la production ou la commercialisation d'un logiciel substantiellement similaire ou pour tout autre acte portant atteinte au droit d'auteur.

Ces règles viennent d'être rappelées par deux décisions récentes des tribunaux parisiens concernant le même fabricant de jeux vidéo.


2. L’examen des conditions de protection du logiciel dans le contexte de la décompilation

    2.1 L'originalité, condition nécessaire rappelée par le TGI de Paris
Dans une affaire opposant la société Nintendo Co. Ltd, fabricant de jeux et de consoles vidéo, à l’éditeur d’un site de vente en ligne d'accessoires pour jeux vidéo (le revendeur), le tribunal de grande instance de Paris a rendu une ordonnance en référé, le 5 septembre 2011, jugeant qu’il existait une contestation sérieuse sur l’originalité du logiciel contenu dans les produits du fabricant.(5)

Le fabricant, pour éviter le piratage de ses jeux vidéo, avait installé sur ses produits, des mesures techniques de protection empêchant les jeux piratés d'être lus sur ses consoles. Or, les produits distribués sur le site du revendeur ("linkers"), contournaient ces mesures et permettaient aux jeux piratés d'être lus sur les consoles du fabricant. Les linkers se présentent sous la forme de cartouches, identiques aux cartouches de jeux du fabricant, sur lesquelles des jeux vidéo contrefaits, disponibles sur internet, peuvent être chargés.

En l'espèce, le fabricant ne reprochait pas au revendeur l'atteinte aux mesures techniques de protection. Il avait assigné celui-ci en contrefaçon, au motif que le logiciel contenu dans les linkers en vente sur son site reproduisait le logiciel contenu dans les cartouches de jeux du fabricant. Le fabricant demandait en outre la cessation de la commercialisation des linkers.

Cependant, le fabricant, qui avait refusé de produire les codes sources de son logiciel pour des raisons de confidentialité, n’a pas su démontrer le caractère original de son oeuvre. En conséquence, faute de pouvoir vérifier le caractère original du logiciel du fabricant, le juge l’a débouté de sa demande en contrefaçon.

    2.2 Décompilation du logiciel : l’exception d’interopérabilité très encadrée
Fin 2007, la société Nintendo avait assigné plusieurs revendeurs de linkers, considérant que ces produits (i) portaient atteinte aux mesures techniques de protection installées sur ses cartes de jeux et consoles, et (ii) comportaient des logiciels qui reproduisaient ses propres logiciels, sans son accord. La société Nintendo, qui avait été déboutée en première instance, a obtenu gain de cause en appel.

Dans un arrêt du 26 septembre 2011, la Cour d’appel de Paris a condamné les revendeurs pour avoir importé et commercialisé des linkers. La Cour a jugé que les linkers constituaient un dispositif conçu pour porter atteinte aux mesures techniques de protection équipant les consoles et les jeux du fabricant, au sens de l’article L.331-5 du CPI, dont l’objet principal était de permettre l’exécution de jeux contrefaisants sur les consoles Nintendo.(6)

Concernant la contrefaçon de logiciel, la Cour a retenu que les revendeurs, qui avaient commercialisé des produits reproduisant les logiciels contenus dans les cartes de jeux et la console vidéo du fabricant, avaient commis un délit de contrefaçon de logiciel, au mépris des droits du fabricant.

En effet, la Cour a constaté que les développeurs des linkers avaient nécessairement décompilé les logiciels contenus dans les cartes de jeux et la console du fabricant puisqu'ils avaient besoin des codes sources des produits du fabricant afin d’en comprendre le fonctionnement et de permettre à leurs propres cartes d’interagir avec la console du fabricant, ce dernier n’ayant pas communiqué ses codes sources.

Or, en l'espèce, les développeurs et revendeurs n’avaient pas obtenu l’autorisation du fabricant, aux fins de décompilation. Ils ne pouvaient en outre se prévaloir de l’exception légale d’interopérabilité (art. L.122-6-1 IV du CPI) puisqu’ils n'étaient pas utilisateurs légitimes du logiciel du fabricant et n'avaient pas demandé au fabricant l’accès aux informations nécessaires à la décompilation. Leur but n’était pas de développer un logiciel indépendant et intéropérable avec celui du fabricant, mais au contraire, de commercialiser des dispositifs contournant les mesures techniques de protection des cartes de jeux et consoles vidéo du fabricant et, ce faisant, de porter atteinte à ses droits de propriété intellectuelle.

On retiendra les montants que les défendeurs ont été condamnés à payer à Nintendo dans cette affaire : outre des peines d’emprisonnement avec sursis allant de 4 mois à 2 ans, 460.500 euros d’amende et 4.795.470 euros de dommages et intérêts cumulés.


En conclusion, l’intérêt de ces décisions, rendues à quelques jours d’intervalle, est de rappeler les conditions de protection du logiciel, puis les contours des droits du titulaire sur son logiciel. D’une part, le caractère original d’une oeuvre de l’esprit, comme le logiciel, n’est pas présumée. Si le tribunal ne peut constater le caractère original de l’oeuvre, il ne pourra donner droit aux demandes du titulaire en cas de contrefaçon alléguée. D’autre part, sous réserve de l’originalité de l’oeuvre, les droits accordés à l’auteur sont très “forts” et les exceptions à ces droits, tels qu’énoncés à l’article L122-6-1 du CPI, n’ont pour objet que de permettre aux utilisateurs légitimes d’utiliser l’oeuvre “sereinement”, sans pour autant justifier une atteinte disproportionnée aux droits de l’auteur ou un détournement des objectifs des dispositions légales.

* * * * * * * * * *


(1) Article L.112-2 (13°) du Code de la propriété intellectuelle (CPI)
(2) Cass. Ass.plén., 7 mars 1986, Babolat c/ Pachot , n°83-10477.
(3) Cass. crim., 27 mai 2008, n°07-87253.
(4) Articles L.111-1, L.121-1, L.121-7 et L.122-6 du CPI
(5) TGI de Paris, ordonnance de référé, 5 septembre 2011, Nintendo Co. Ltd, Nintendo France c/ M.M.
(6) Cour d'appel de Paris, Pole 5, ch. 12, 26 septembre 2011, Nintendo c/ Absolute Games, Divineo et autres. Cet arrêt, particulièrement développé, porte sur plusieurs questions de droit, dont le délit d’atteinte aux mesures de protection techniques (Art. L.331-5), la contrefaçon du droit d’auteur de logiciel, la contrefaçon de marque, etc. Nous n’avons abordé dans cet article que l’atteinte aux droits d’auteur du logiciel.






 

Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
 

www.dwavocat.com

Octobre 2011