Messages les plus consultés

lundi 8 septembre 2014

Un référentiel de sécurité pour la qualification des prestataires de services en Cloud


L’un des avantages mis en avant pour la promotion des services en Cloud computing (ou informatique en nuage) est le fait que la mutualisation des ressources (au moins pour les clouds publics et hybrides) permet de réduire les coûts d’infrastructure. Cependant, le revers de la mutualisation est l’absence de flexibilité contractuelle, les contrats Cloud étant le plus souvent des contrats d’adhésion, non négociables par les clients.

Par ailleurs, la plupart des clients-utilisateurs ne procéderont jamais à un audit technique des services, ce qui peut aboutir à des situations très difficiles à surmonter en cas de défaillance technique (et/ou financière) d’un prestataire qui n’aurait pas sauvegardé les données clients par exemple.

Partant de ces constats, et du besoin d’assurer une plus grande confiance dans ces services, deux initiatives ont récemment été lancées autour de la sécurité du Cloud.

Ainsi, en juin 2014, dans le cadre du vaste projet « La Nouvelle France Industrielle », le gouvernement a validé le plan consacré au cloud computing. Parmi les 10 mesures proposées par Messieurs Klaba (OVH) et Breton (Atos), on retiendra ici la proposition de créer un label « Secure Cloud » pour les acteurs hébergeant leurs données sur le territoire européen. (1)

Dans la continuité de ce plan, l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), vient de publier un projet de référentiel général de sécurité auquel les prestataires Cloud devront se conformer s’ils souhaitent obtenir une « qualification ». (2) Ce futur référentiel, ayant vocation à converger avec le label « Secure Cloud » mentionné ci-dessus, servira en premier lieu pour les besoins de l’Etat. Il pourra néanmoins être réexploité par les entreprises utilisatrices.


1. La qualification des prestataires Cloud


Le document de l’Anssi, intitulé « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage », concerne les prestataires fournisseurs de services Cloud - en mode SaaS, PaaS ou IaaS, et ce quelque soit le profil de leurs clients (administrations, collectivités territoriales, OIV, entreprises, etc.).

Ce projet de référentiel général de sécurité (RGS) définit les exigences de sécurité ainsi que les recommandations (ou bonnes pratiques) que les prestataires Cloud devront respecter pour obtenir la qualification. Ces exigences seront vérifiées dans le cadre d’un audit des lieux liés à la prestation visée par la qualification.

Ce document vise à donner aux clients, utilisateurs de services Cloud, des garanties quant à la compétence du prestataire, à la qualité de ses services et à la sécurité du traitement des données qui lui sont confiées. Le référentiel a ainsi pour objectif de favoriser l’émergence et la promotion d’offres de services sécurisées qualifiées et ainsi, garantir un niveau de confiance envers les prestataires qualifiés - même si le RGS est avant tout destiné aux administrations.


2. Le contenu du projet de référentiel

Les exigences et recommandations contenues dans le référentiel de l’Anssi portent notamment sur l’organisation interne du prestataire Cloud et ses relations avec ses clients et les tiers. On retiendra notamment :

- Le périmètre de qualification : le prestataire doit établir le périmètre qu’il souhaite qualifier, la liste des exigences y afférentes, le niveau de sécurité visé pour la qualification (élémentaire ou standard) et une analyse de risques couvrant le périmètre de la qualification ;

- Une politique générale de sécurité : le prestataire doit définir une politique de sécurité détaillant les différentes mesures mises en oeuvre, a minima, dans les domaines suivants : organisation de la sécurité ; sécurité des ressources humaines ; gestion des biens ; sécurité physique et environnementale ; contrôle d’accès et gestion des identités ; cryptologie ; sécurité des opérations ; acquisition, développement et maintenance ; relation avec les sous-traitants ; gestion des incidents et de la continuité des activités et enfin la conformité ;

- Les relations contractuelles avec les clients et les tiers : un contrat doit détailler les tâches et les responsabilités incombant tant au prestataire qu’au client.

Par ailleurs, le prestataire doit identifier l’ensemble des tiers (sous-traitants hébergeurs, éditeurs des logiciels, etc.) et des prestations externalisées participant à la fourniture du service Cloud. Ces tiers doivent fournir des garanties en matière de sécurité, au moins équivalentes à celles mises en oeuvre dans sa propre politique de sécurité. Ces exigences de sécurité doivent impérativement être contractualisées avec le prestataire (par exemple, dans un cahier des charges ou à travers des clauses de sécurité dans contrats conclus avec ces tiers). En outre, le prestataire doit pouvoir régulièrement auditer et contrôler les mesures de sécurité mises en place par les tiers.

- La gestion interne : le prestataire Cloud doit mettre en place une procédure de vérification des candidats à l’embauche, faire signer à tout nouveau salarié un engagement de confidentialité et les sensibiliser notamment à la sécurité informatique.

En outre, le prestataire doit réaliser un inventaire des équipements informatiques ainsi que des licences utilisées dans le cadre de la prestation Cloud.

Enfin, il doit notamment établir une politique de contrôle d’accès et de gestion des identités, généraliser le chiffrement des données stockées et de flux, mettre en oeuvre des mesures de détection, de prévention et de restauration pour se protéger des codes malveillants et ainsi élaborer des politiques et procédures de gestion des incidents de sécurité.

- Les exigences contractuelles et législatives : le contrat de service entre le prestataire Cloud et le client doit être soumis au droit français et la juridiction compétente doit être localisée en France. Le prestataire doit par ailleurs, non seulement s’engager à respecter les exigences légales, règlementaires et contractuelles en vigueur, mais également et effectuer une veille active de l’évolution de ces exigences.

- Une fourniture de services localisée en France : on retiendra enfin que le projet de référentiel exige que la fourniture des services soit localisée sur le territoire français. Il est précisé, en effet, que le stockage et le traitement des données doivent être opérés en France, et que les produits participant à la prestation (logiciels) et visibles par le client soient accessibles en français. Enfin, le support de premier niveau doit être fourni en français et localisé en France.


3. L’appel public à contributions et candidatures lancé par l’Anssi

L’Anssi a lancé un appel public à participation sur ce projet début août et invite les prestataires Cloud à lui adresser des commentaires et remarques sur ce projet de référentiel avant le 3 novembre 2014.

Après l’analyse des contributions reçues, l’Anssi lancera une phase dite « expérimentale », visant à tester la mise en oeuvre pratique du référentiel. A ce titre, l’Agence invite les sociétés prestataires de services Cloud souhaitant participer à cette phase expérimentale à la contacter.

Enfin, l’Anssi propose aux entreprises du Cloud souhaitant obtenir la qualification, de déposer leur candidature.

Pour en savoir plus : http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html


                                                       * * * * * * * * * * *

(1) Article « Redressement productif : le gouvernement valide les plans cybersécurité, cloud et souveraineté télécom », publié par zdnet.fr, le 5 juin 2014 (http://www.zdnet.fr/actualites/redressement-productif-le-gouvernement-valide-les-plans-cybersecurite-cloud-et-souverainete-telecom-39802045.htm)

(2) « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d’exigences », Anssi, version du 30.07.2014.



Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2014

lundi 16 juin 2014

Le CSA bientôt régulateur des plateformes internet de contenus vidéo et musicaux ?

Dans son rapport annuel 2013, publié en avril dernier, le Conseil supérieur de l’audiovisuel a inscrit plusieurs propositions de modifications législatives et règlementaires. (1) Parmi ces propositions, il convient de souligner celles visant à prendre en compte l’évolution du secteur audiovisuel et à associer les acteurs de l’internet à la régulation audiovisuelle.

Selon le CSA, de nombreux opérateurs de services de communication électronique sont aujourd’hui de véritables médias de communication audiovisuelle. Il en va ainsi des plateformes d’échanges communautaires diffusant des contenus vidéo (tels YouTube, Dailymotion ou Netflix) et sonores (Spotify ou Deezer) ou des boutiques en ligne d’applications mobiles (iTunes ou AppStore par exemple). Or, il existe à l’heure actuelle un décalage certain entre les médias traditionnels (télévision et radio), soumis à la loi relative à la liberté de la communication de 1986, et ces nouveaux services accessibles en ligne.

Le CSA précise ainsi dans son rapport qu’il souhaite étendre le champ de ses compétences aux services en ligne diffusant des contenus audio et vidéo et propose, en conséquence, de modifier et compléter la loi de 1986 relative à la liberté de la communication. (2)

La notion de « services audiovisuels numériques » - Le Conseil propose d’intégrer à la définition légale des services audiovisuels, la notion de services audiovisuels numériques, à savoir « les services de communication au public par voie électronique mettant à disposition du public ou d’une catégorie de public des contenus audiovisuels ou sonores ».

Le contrôle du respect des règles et des principes moraux - Le CSA souhaite veiller au respect, par les services audiovisuels numériques, des principes moraux qu’il fait déjà appliquer aux services audiovisuels traditionnels (télévision et radio). Il s’agit de la protection de l’enfance et de l’adolescence, de la dignité de la personne humaine et de l’interdiction de l’incitation à la haine ou à la violence pour des raisons de race, de sexe, de moeurs, de religion ou de nationalité.

Pour ce faire, le Conseil envisage d’élaborer des règles auxquelles seront assujettis les éditeurs des services audiovisuels numériques ; règles dont le non-respect serait sanctionné par le CSA. En effet, ce dernier souhaite avoir la possibilité de prononcer à l’encontre des éditeurs fautifs, la suspension temporaire du service en cause ou une sanction pécuniaire, par exemple.

La prise d’engagements en échange de contreparties
- Le Conseil propose de faire signer aux éditeurs de services audiovisuels numériques des conventions définissant des engagements, sur la base du volontariat. En contrepartie de ces engagements, les éditeurs de ces plateformes en ligne pourraient bénéficier d’un certain nombre d’avantages et d’un label. L’institution de ce nouveau régime de conventionnement volontaire serait inscrit dans la loi de 1986.

      - Les engagements : le CSA proposerait aux éditeurs des services audiovisuels numériques de faire leur choix parmi des engagements qu’il aura définis. Ces engagements pourraient concerner (i) « des obligations complémentaires aux règles fixées par le Conseil en matière de protection de l’enfance et de l’adolescence, de respect de la dignité de la personne humaine et de l’interdiction de l’incitation à la haine ou à la violence » ou (ii) « la déontologie des contenus, le pluralisme des courants sociaux culturels, la qualité et la variété des contenus, l’image de la femme, la diversité, l’exposition de la création européenne et d’expression originale française, la contribution au financement de la création, les tarifs sociaux, la gratuité ».

      - Les avantages commerciaux : dans son rapport, le CSA propose en contrepartie de la prise  d’engagements « l’accès du service aux offres des distributeurs dans des conditions raisonnables, équitables et non discriminatoires (ex: Orange, Free, etc.); la reprise obligatoire dans les outils de référencement de tout distributeur de services audiovisuels numériques ; la signalétique spécifique dans l’hypothèse où un mécanisme de signalisation serait mis en œuvre en accord avec les moteurs de recherche ; l’accès facilité aux œuvres audiovisuelles et cinématographiques ; la priorité d’accès aux soutiens publics alloués par les organismes sectoriels ou transverses dans des conditions définies par chacun des gestionnaires d’aides ».

    - Un label « site de confiance » : le Conseil envisage de délivrer un label aux éditeurs de sites ayant pris des engagements complémentaires en matière de protection de l’enfance. Ce label permettrait aux internautes d’identifier plus facilement ces éditeurs. En outre, le Conseil émet le souhait que les outils de contrôle parental, proposés aux abonnés par les FAI, soient en mesure de reconnaître ces labels pour filtrer les sites qui n'en possèdent pas.

Une procédure de règlement des différends - La loi de 1986 donne au Conseil une mission de règlement des différends qui s’applique aux litiges relatifs à la distribution de services de radio, de télévision ou de médias audiovisuels à la demande (SMAD). Le CSA souhaite soumettre les services audiovisuels numériques à cette procédure. Le Conseil pourrait ainsi être saisi par un éditeur, un distributeur de services, ou par un prestataire auquel ces personnes recourent, de « tout différend relatif à la reprise ou au référencement d’un service audiovisuel numérique (…), lorsque ce différend porte sur les conditions de la mise à disposition du public ou du référencement du service ou sur les relations contractuelles entre un éditeur et un distributeur de services audiovisuels numériques ».


   Ces propositions suscitent plusieurs remarques.

Les sites web, qu’il s’agisse de sites de commerce électronique, de services, d’information, de contenus participatifs, diffusant ou non des contenus audio et vidéo, sont actuellement soumis à la règlementation applicable au domaine du numérique (notamment la loi pour la confiance dans l’économie numérique, la règlementation applicable à l’édition, etc.). Ces sites n’opèrent donc pas dans une “zone de non-droit”.

Cependant, face à la convergence des médias (télévision/télévision connectée, radio/web radio etc.), on peut effectivement s’étonner du fait qu’une video ou un contenu audio restent soumis à des règlementations différentes suivant leur mode de diffusion : voie hertzienne ou réseau internet. Hormis des considérations d’ordre politique ou structurelle, il semble logique de traiter ces contenus, non plus par le biais du média diffuseur (TV-radio ou internet), mais par la catégorie même dont ces contenus relèvent (audio-video ou écrit).

   Le CSA souhaite profiter des travaux portant sur le projet de loi « Création » pour faire adopter ces différentes mesures. Pour mémoire, cette future loi doit transférer au CSA les missions et pouvoirs dévolus à la Hadopi. Initialement, ce projet de loi devait être présenté en Conseil des ministres avant l’été 2014. Toutefois, l’examen du projet de la loi vient d’être renvoyé à 2015. (3)

                                                                 * * * * * * * * * * *

(1) Rapport annuel 2013 du CSA, accessible à : http://www.csa.fr/Espace-Presse/Communiques-de-presse/Le-Conseil-superieur-de-l-audiovisuel-publie-son-rapport-annuel-2013

(2) Loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.

(3) « L’examen de la loi création d’Aurélie Filippetti renvoyé à 2015 », publié sur lemonde.fr, le 4 juin 2014.



Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014

vendredi 13 juin 2014

E-commerce : les nouvelles obligations légales nécessitant une mise en conformité des sites web



La loi relative à la consommation (dite loi “Hamon”), adoptée le 17 mars 2014, transpose notamment la Directive européenne de 2011 relative aux droits des consommateurs. Cette nouvelle loi comprend des dispositions de natures très diverses, portant sur les actions de groupe, l’information et le renforcement des droits contractuels des consommateurs, le crédit à la consommation et l'assurance, les indications géographiques et la protection du nom des collectivités territoriales, la vente en ligne de lunettes et lentilles de vue, le renforcement des moyens de contrôle de la DGCCRF, et des dispositions diverses telles les règles applicables aux VTC. (1)

Parmi ces nombreuses dispositions, nous nous intéressons à celles modifiant les règles applicables aux contrats de vente en ligne B-to-C et aux dispositions renforçant les pouvoirs de la CNIL en matière de respect à la loi Informatique et Libertés.

Ces nouvelles dispositions impliquent, pour la plupart d’entre elles, que les exploitants de sites de e-commerce (vente de biens et de prestations de services) mettent à jour leurs conditions générales de vente ou d’utilisation (CGV/CGU), ainsi que certaines catégories d’informations mentionnées sur leurs sites internet, et adaptent, le cas échéant, leur logistique et organisation interne (conditions de livraison et de retour de marchandise).

Cette mise en conformité doit intervenir rapidement, puisque la plupart des nouvelles dispositions entrent en vigueur le 13 juin 2014. Elles s’appliquent donc à tous les contrats conclus à compter du 14 juin.


1. Une obligation d’information renforcée vis-à-vis des consommateurs

La nouvelle réglementation vient renforcer l’obligation d’information et de transparence de la part des vendeurs professionnels. Cette information, qui doit être claire et compréhensible pour le consommateur, doit être fournie dès la période pré-contractuelle.

    1.1 L’information pré-contractuelle
Avant la conclusion du contrat, la réglementation exige que l’internaute soit informé sur plusieurs points. Ces informations sont les mêmes pour les vendeurs de biens et les prestataires de services, à savoir notamment : l’identité du e-commerçant, les caractéristiques essentielles des biens ou des services proposés, le prix ou son mode de calcul, les conditions de livraison, l’existence de garanties et leurs conditions, l’existence ou non d’un droit de rétractation et ses modalités d’exercice, l’existence de codes de bonne conduite, etc.

L’absence de certaines de ces mentions peut être lourde de conséquences pour le vendeur (tel le rallongement du délai de rétractation à 12 mois).

    1.2 L’information pendant la passation de la commande en ligne
Le professionnel doit accompagner et informer l’internaute tout au long du processus de passation de commande.

A ce titre, et même si cela peut paraître évident, le professionnel doit indiquer de manière très claire que la commande entraîne une obligation de paiement et que la sélection d’options supplémentaires - par le biais d’une case à cocher, par exemple - occasionne des frais additionnels.

    1.3 L’information après la conclusion du contrat

Enfin, l’obligation d’information se poursuit après la conclusion du contrat. Le professionnel doit adresser à l’internaute une confirmation de sa commande et joindre à cette confirmation une copie des CGV ou CGU ainsi qu’un formulaire de rétractation. Ces documents doivent être communiqués sur un support durable, par exemple en pièces jointes à un email de confirmation de commande, sous format .pdf. (2)

En cas de litige, la charge de la preuve du respect de cette obligation d’information incombe au professionnel.


2. Les nouvelles conditions d’exécution des contrats B-to-C

La nouvelle réglementation modifie certaines conditions d’exécution des contrats conclus en ligne telles que les conditions de livraison, et les conditions relatives au droit de rétractation.

    2.1 La livraison, le transfert des risques et les garanties
Les délais d’exécution du contrat : le professionnel doit livrer le bien ou fournir le service à la date ou dans le délai indiqué au consommateur. A défaut de délai stipulé, la livraison ou l’exécution de la prestation doit intervenir au plus tard 30 jours après la conclusion du contrat.

Les risques supportés par le professionnel : lorsque le vendeur se chargera de l’acheminement du bien vendu, le risque de perte ou de détérioration de ce bien ne sera transféré au consommateur qu’au moment où ce dernier en prendra physiquement possession. Le transfert des risques ne s’opère donc plus, comme précédemment, au moment de la conclusion du contrat de vente.

Toutefois, si le consommateur confie le transport à un prestataire autre que le transporteur proposé par le professionnel, le consommateur supporte alors le risque de perte du bien dès le transport.

Les garanties dues en cas de vente : le consommateur qui achète un bien bénéficie de trois types de garanties : la garantie légale de conformité, la garantie légale des vices cachés et la garantie commerciale, cette dernière garantie n’étant pas obligatoire. L’objet de ces garanties est d’obtenir,  dans certaines conditions, la réparation ou le remplacement du bien défectueux.

La nouvelle règlementation oblige le professionnel à informer le consommateur quant à ces garanties et notamment à préciser dans les CGV l’existence, les conditions de mise en oeuvre et le contenu des garanties légales et, le cas échéant, d’une garantie commerciale et d’un service après-vente. En outre, le Code de la consommation modifié dispose que la garantie commerciale doit faire l’objet d’un écrit, comportant certaines mentions obligatoires.

    2.2 La responsabilité de plein droit
Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Le vendeur peut s'exonérer de tout ou partie de sa responsabilité vis-à-vis de l’acheteur en rapportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable soit au consommateur, soit au fait, imprévisible et insurmontable, d'un tiers au contrat, soit à un cas de force majeure.

Ce régime de responsabilité n’est pas nouveau puisqu’il existe depuis l’entrée en vigueur de la loi pour la confiance dans l’économie numérique de 2004. Il est confirmé dans la loi de mars 2014.

    2.3 Le droit de rétractation
Le délai de rétractation : le professionnel a désormais l’obligation d’accorder au consommateur un délai 14 jours, et non plus 7 jours, pour faire jouer son droit de rétractation. Ce délai commence à courir, soit à compter de la conclusion du contrat - pour les prestations de services, soit à compter de la réception du bien par le consommateur ou un tiers désigné (hors transporteur) - pour la vente.

Ce droit doit pouvoir être exercé au moyen d’un formulaire de rétractation mis à disposition du consommateur par le commerçant, ou toute autre déclaration, dénuée d’ambiguïté, exprimant la volonté de se rétracter.

Le droit de rétractation ne s’applique pas à tous les achats sur internet. Certains contrats, par leur objet, n’ouvrent pas droit à la faculté de rétractation ; les cas d’exclusion du droit de rétractation étant plus nombreux qu’auparavant.

La restitution du bien : le consommateur doit restituer le bien au plus tard, dans les 14 jours suivant la communication de sa décision de se rétracter. La réglementation antérieure ne fixait pas de délai de restitution. 

Le délai de remboursement : en outre, le délai de remboursement par le professionnel au consommateur est réduit de 30 à 14 jours à compter de la date de rétractation, soit potentiellement avant même d'avoir reçu les biens en retour. Le vendeur risque donc d’être dans des situations où il aura remboursé le bien alors que celui-ci n’a pas été renvoyé, ou que le bien a été renvoyé mais dans un état ne permettant pas de le remettre en vente.


3. Le renforcement des contrôles de conformité à la loi Informatique et Libertés

Les sites de commerce électronique collectent des informations relatives à leurs clients (nom, prénom, adresse email, etc.) au moment de l’inscription sur le site ou de la passation de la commande. La loi Informatique et Libertés de 1978 encadre le traitement de ces données à caractère personnel. (3) Elle détaille en outre les missions et pouvoirs dévolus à la CNIL. La loi Hamon vient d’étendre ses pouvoirs de contrôle.

    3.1 Rappel des obligations issues de la loi Informatique et Libertés
Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles. La collecte et le traitement des données personnelles doivent respecter les principes de loyauté et de proportionnalité définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de ce traitement, telles que : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) respecter la finalité du traitement, (iii) conserver les données pendant une durée raisonnable, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

    3.2 Les pouvoirs de contrôle de conformité étendus de la CNIL

Depuis 2004, les agents de la CNIL sont habilités à effectuer des contrôles de conformité sur place, c’est-à-dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

La loi Hamon modifie la loi Informatique et Libertés en prévoyant désormais la possibilité pour la CNIL d’effectuer des contrôles de conformité à distance. Les agents de la CNIL seront habilités à : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations, et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

A la suite des investigations, un procès-verbal de contrôle sera dressé de façon unilatérale et notifié a posteriori à l’entreprise concernée, simplement pour observation. (4)


4. Les sanctions encourues en cas de manquement à la loi Hamon

Les manquements aux dispositions de la loi du 17 mars 2014 relatives notamment à l’obligation d’information des consommateurs, le droit de rétractation et la protection des données personnelles sont assortis de sanctions de nature pénale.

L’information des internautes : tout manquement à l’obligation d’information sera passible d’une amende administrative d’un montant maximal de 3.000€ pour une personne physique et 15.000€ pour une personne morale.

L’obligation de livraison : à défaut de livraison dans les délais, le consommateur peut demander la résolution du contrat de vente. Dans ce cas, le professionnel est tenu de rembourser le consommateur de la totalité des sommes versées, au plus tard dans les 14 jours suivant la date à laquelle le contrat a été dénoncé. La somme versée par le consommateur est de plein droit majorée de 10% si le remboursement intervient plus de 30 jours après ce délai, de 20% jusqu'à soixante jours et de 50% au-delà.

Le droit de rétractation : en cas d’absence d’information précontractuelle sur l’existence du droit de rétractation, le délai de rétractation de 14 jours passe à 12 mois.

Par ailleurs, le professionnel qui ne rembourse pas au consommateur "rétracté" la totalité des sommes versées dans le délai légal de 14 jours se voit - sauf exception - appliquer de plein droit des pénalités croissantes avec le retard de remboursement (taux d’intérêt légal et au-delà de 10 jours de retard, pénalités calculées en pourcentage du prix de vente du bien).

Enfin, les manquements aux conditions d’exercice du droit de rétractation, ainsi que ses effets, sont passibles d’une amende administrative s’élevant à 15.000€ pour une personne physique et 75.000€ pour une personne morale.

La protection des données personnelles
: la nouvelle règlementation n’a pas modifié les sanctions en cas de non-respect de la loi Informatique et Libertés.

Pour rappel, à l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


   Dans ce contexte, il est recommandé aux exploitants de sites de commerce électronique qui n’auraient pas encore fait cette mise à jour, de faire réaliser, dans les meilleurs délais, un audit de conformité juridique de leur site. Il convient également de porter une attention particulière au processus de passation de commande, à la procédure d’acceptation des CGV/CGU et à la communication effective des documents contractuels à l’acheteur. Enfin, il appartient aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                      * * * * * * * * * *

(1) Loi n°2014-344 du 17 mars 2014 relative à la consommation et Directive européenne n° 2011/83 du 25 octobre 2011 relative aux droits des consommateurs.

(2) Au sujet de la validité et de l’opposabilité des CGV, voir notre article http://dwavocat.blogspot.fr/2012/10/e-commerce-les-conditions-de-validite.html

(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Au sujet des nouveaux pouvoirs d’enquête de la CNIL, voir notre article http://dwavocat.blogspot.fr/2014/03/donnees-personnelles-vers-un.html




Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014

jeudi 15 mai 2014

Droits d’utilisation des logiciels : de la nécessaire gestion des licences au sein de l’entreprise

Les modes d’utilisation des logiciels se sont multipliés, que ce soient les logiciels installés (dans l’entreprise ou sur des machines identifiées), ou une utilisation via des serveurs virtuels, en Cloud, avec un PC classique, ou depuis des appareils mobiles (tablettes, voire smartphones).

Une étude récente sur les audits menés par les éditeurs de logiciels, conduite par la société de conseil IDC auprès de 1398 entreprises, indique que les éditeurs de logiciels n’hésitent plus à auditer les entreprises utilisatrices afin de contrôler la conformité de l’utilisation de leurs logiciels aux licences conclues. En cas de non-respect des conditions de licence, les éditeurs réclament le règlement des surplus de redevances, éventuellement augmentés de pénalités. Les sommes réclamées peuvent aller de quelques milliers à plusieurs millions d’euros. (1)

Même si la multiplication des modes d’utilisation rend le suivi des licences particulièrement difficile à gérer pour l’entreprise et la DSI, cette question est primordiale dans le cadre d’une bonne gouvernance juridique et financière de l’entreprise.


1. Contrat de licence, droits d’utilisation du logiciel et gestion des licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. L’auteur (l’éditeur du logiciel) dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de calcul des redevances. (2) Ainsi, bien qu’en droit français, il n’existe aucune disposition spécifique dans le code de la propriété intellectuelle concernant la licence d’utilisation de logiciel, l’utilisation d’un logiciel propriétaire est soumise à l’autorisation du titulaire des droits sur ce logiciel. (3)

Les droits accordés aux utilisateurs sont décrits dans le contrat de licence. Les tribunaux ont reconnu la validité des différentes formes de licences, du format papier classique aux contrats d’adhésion comme les licences dites “shrink-wrap” pour les logiciels emballés, ou les licences “click-thru” pour les logiciels téléchargeables.

Les droits accordés diffèrent suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés, un volume d’utilisation, etc. Les limitations peuvent également être géographiques : limitation par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

De même, le calcul des redevances d’utilisation diffère selon les éditeurs et les modes d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives en fonction des montées de version du logiciel, etc.

Comme mentionné plus haut, la multiplication des modes d’utilisation des logiciels dans l’entreprise rend le suivi et la gestion des licences - donc des droits accordés par l’éditeur - de plus en plus difficile à gérer pour les équipes IT. Même si les outils de gestion de licence (ou software license optimization tools) sont de plus en plus déployés, il ressort de l’étude IDC précitée que la majorité des entreprises utiliseraient plusieurs méthodes de suivi des licences, y compris le suivi manuel (via des tableurs). Cependant, de nombreuses entreprises n’ont toujours aucune méthode de suivi de conformité des logiciels utilisés par rapport à leurs contrats de licence.

Or, en sus de se mettre en situation de manquement à leurs obligations contractuelles, les entreprises fautives courent plusieurs risques.

Outre le risque financier (paiement des redevances supplémentaires, éventuellement augmentées de pénalités), l’éditeur peut décider de résilier la licence d’utilisation pour violation des obligations contractuelles, voire même poursuivre l’entreprise contrevenante pour contrefaçon de ses droits de propriété intellectuelle. 

La résiliation du contrat de licence peut être extrêmement pénalisante pour l’entreprise dont une partie de l’activité reposerait sur l’utilisation du logiciel en cause, l’obligeant à identifier un logiciel équivalent sur le marché et à transférer les données traitées vers le nouvel outil, souvent dans des délais très brefs.

Par ailleurs, les poursuites judiciaires qui seraient intentées par l’éditeur contre l’entreprise contrevenante nécessiteront la mobilisation de personnels internes et de consultants externes (avocats, experts, etc.), entraînant des coûts importants pour celle-ci.


2. Les clauses d’audit et le contrôle de conformité aux licences logiciel

La licence étant de nature contractuelle, le non-respect - volontaire ou non - des conditions d’utilisation du logiciel met l’entreprise utilisatrice en situation de manquement à ses obligations contractuelles.

Nombre d’éditeurs incluent dans leur contrat de licence une clause d’audit de conformité. Cette clause d’audit leur donne la possibilité de contrôler les conditions d’utilisation du logiciel et la conformité de cette utilisation aux clauses contractuelles. L’entreprise utilisatrice s’engage généralement à tenir un journal de suivi des licences devant correspondre aux droits accordés par la licence.

Lors d’un audit, en cas d’écarts constatés entre les droits accordés et l’utilisation réelle par l’entreprise auditée, un rapport d’audit est établi. L’entreprise est alors sommée de régler les redevances supplémentaires correspondant à l’utilisation effective du logiciel, parfois accompagnées de pénalités pour utilisation abusive et non autorisée du logiciel, et/ou facturation des frais d’audit à la société.

Même si ces clauses peuvent être rédigées en termes très généraux, elles peuvent également prévoir de limiter le nombre d’audits sur une période donnée (un audit au maximum par périodes de 12 mois par exemple) et prévoir qu’en cas de dépassement des droits inférieur à un pourcentage donné (5 ou 10% par exemple), la société ne sera pas tenue de régler les redevances supplémentaires.

Les clauses d’audit de conformité sont de plus en plus présentes dans les contrats de licence. Ces clauses font souvent l’objet de négociations sur les conditions d’audit, l’application de pénalités en cas de dépassement des droits d’utilisation et la durée pendant laquelle l’audit pourra être conduit après la résiliation ou l’expiration du contrat de licence.


Les éditeurs tendent à utiliser de plus en plus leur faculté d’audit pour contrôler la conformité de l’utilisation de leurs logiciels aux droits conférés par la licence. Malgré la complexité du suivi des licences dans l’entreprise, il est indispensable de mettre en place des méthodes rigoureuses de gestion des licences logicielles. Les entreprises utilisatrices doivent être vigilantes non seulement sur le suivi des licences, mais également sur les évolutions de leur activité, telles que l’ouverture de nouveaux établissements, la création de filiales, en France ou à l’étranger, le passage au Cloud, toutes ces évolutions ayant un impact sur les licences.

En parallèle, il est fortement recommandé de mettre en place une charte informatique dans l’entreprise, et ce quelle que soit sa taille. Cette charte, véritable outil pédagogique pour les salariés, mais aussi disciplinaire, devra notamment préciser les conditions d’utilisation des équipements, et des logiciels, mis à la disposition des collaborateurs de l’entreprise, la possibilité ou l’interdiction de télécharger des logiciels pour une utilisation dans le cadre de leur activité professionnelle, éventuellement les conditions d’utilisation de leurs propres outils informatiques dans un cadre professionnel (BYOD). Ce document devra être revu et mis à jour régulièrement afin de suivre les évolutions des technologies et des usages.


                                                          * * * * * * * * * * *

(1) Voir le rapport intitulé 2013-14 Key trends in software pricing and licensing survey: software license audits: costs & risks to enterprises, commandité par Flexera Software

(2) Article L.112-2 du Code de la propriété intellectuelle. Par ailleurs, la licence d'utilisation d'un logiciel n'est pas définie, dans le Code de la propriété intellectuelle, contrairement aux règles de cession des droits de propriété intellectuelle qui suivent les dispositions de l’article L.131-3 du Code de la propriété intellectuelle.


(3)
L’arrêt de la CJUE C-128/11 UsedSoft GmbH / Oracle International Corp du 3 juillet 2012 ne remet pas en question la notion de limitations aux droits d’utilisation du logiciel. Ainsi, un logiciel qui aurait été “revendu” par un premier utilisateur “légitime” i) ne pourra plus être utilisé par ce premier utilisateur et ii) ne pourra être utilisé par l’acquéreur que dans les limites autorisées par l’éditeur (limites en nombre de postes, limites géographiques, etc.).

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Mai 2014

mardi 15 avril 2014

Quelles obligations pour les OIV en matière de cybersécurité : exigences européennes et françaises comparées



Dans le cadre de l’élaboration d’une stratégie européenne de lutte contre la cybercriminalité, la Commission européenne a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte vient d’être modifié et adopté en première lecture par le Parlement européen. (1)

Cette proposition de directive repose sur un triple objectif : i) fixer des obligations aux Etats membres en matière de prévention et de gestion de risques et incidents touchant les réseaux et systèmes informatiques, ii) faciliter la coopération entre les Etats membres pour garantir l’harmonisation des règles de cybersécurité au sein de l’UE, et iii) établir des exigences en matière de sécurité pour “les acteurs du marché”.

Ce texte précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. Ces obligations sont en partie similaires à celles imposées aux opérateurs d’importance vitale (OIV) par la loi de programmation militaire française 2014-2019 du 18 décembre 2013. (2) Nous proposons ci-dessous une synthèse des principales dispositions européennes en regard des nouvelles règles fixées par la loi de programmation militaire.


1. Les acteurs concernés par les nouvelles dispositions

Toutes les entreprises ne sont pas concernées, ni par la future directive, ni par la loi de programmation militaire (LPM 2014-2019).

La proposition de directive prévoit que seuls les “acteurs du marché” qualifiés d’opérateurs d’infrastructure essentielle, et dont l’effectif excède 10 personnes et le chiffre d’affaires annuel est supérieur à 2 millions d’euros, sont concernés par ces nouvelles obligations. Sont donc exclues les micro et petites entreprises, sauf exception. (3)

Ce texte rejoint les dispositions de la LPM 2014-2019, puisque les nouvelles obligations françaises en matière de cybersécurité concernent uniquement les opérateurs d’importance vitale. La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique.

Pour rappel, la réglementation relative aux OIV figure aux articles L.1332-1 et s. du Code de la défense. Il s’agit d’opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement : (i) d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ; (ii) ou de mettre gravement en cause la santé ou la vie de la population.


2. Les obligations de “cyber” sécurité

On relève trois grandes catégories d’obligations, portant sur la détection et la gestion des risques, la notification des incidents, et les mesures de sécurité et audits.

    2.1 Détection et gestion des risques

La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et réduire au minimum leur impact sur les services qu’ils fournissent.

Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la LPM 2014-2019. La loi française prévoit que dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. La procédure de qualification des outils de détection (sondes, etc.) et des prestataires proposant ce type de système doit être définie par décret.

    2.2 Notification des incidents
Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.

Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident.

Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.

La LPM 2014-2019 met également, à la charge des OIV, une obligation de déclarer sans délai au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. La loi ne définit pas la notion d’incident, qui doit être précisée par décret, ainsi que les modalités de la notification. En outre, la loi française ne prévoit pas expressément la possibilité pour l’Anssi ou les services de l’Etat d’informer le public en cas d’incident.

    2.3 Mesures de sécurité et audit
La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.

La LPM 2014-2019 prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur SI à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou les agents de l’Anssi.


3. Les sanctions en cas de non-respect des obligations

Le projet de texte européen précise que les Etats membres fixent eux-mêmes les sanctions applicables en cas de manquement aux obligations précitées. Il est intéressant de souligner que le texte amendé par le Parlement européen dispose que lorsque les acteurs du marché ne respectent pas les obligations, mais qu’ils n’ont pas agi de manière intentionnelle ou à la suite d’une négligence grave, aucune sanction ne doit être prononcée.

La LPM 2014-2019 sanctionne les manquements à la loi d’une amende de 150.000€, s’élevant à 750.000€ pour les personnes morales. La loi française ne distingue pas selon que le manquement est ou non intentionnel. La simple négligence est donc en principe condamnable.


     La proposition de directive adoptée en première lecture par le Parlement doit maintenant être examinée par le Conseil. Si ce dernier accepte le texte tel quel, celui-ci sera définitivement adopté. A contrario, si le Conseil modifie le projet de texte, il sera renvoyé au Parlement en deuxième lecture. Dans un récent communiqué, Neelie Kroes, Vice-présidente de la Commission européenne, a précisé que les institutions européennes avaient émis le souhait que le projet final soit voté d’ici fin 2014.

Une fois la directive cybersécurité adoptée, les Etats membres devront la transposer dans leur législation interne dans un délai d’un an et demi. La France a pris les devants avec l’adoption de la loi de programmation militaire en décembre 2013 et la modification de son Code de la défense. Si les dispositions de la LPM 2014-2019 sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.


                                                            * * * * * * * * * *

(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013. Voir à ce sujet notre article : http://dwavocat.blogspot.fr/2013/03/cybersecurite-le-developpement-dune.html ; et Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.

(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

(3) Voir article 14 §8 de la Résolution législative du 13 mars 2014 qui prévoit que les obligations précitées ne s’appliquent pas “aux micro-entreprises telles qu'elles sont définies dans la recommandation de la Commission 2003/361/CE du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises, à moins que la micro-entreprise n'agisse comme succursale d'un acteur du marché”.



Bénédicte DELEPORTE
Betty SFEZ
Deleporte Wentz Avocat

www.dwavocat.com

Avril 2014

vendredi 14 mars 2014

E-réputation : quand le droit s’adapte au numérique

 Le magazine Face au Risque a publié son 500ème numéro en février. A cette occasion, une rubrique a été consacrée à "La loi, aujourd’hui et demain". Nous y avons participé en publiant l'article ci-après dans lequel nous avons retracé l’évolution de la réglementation en matière de réputation en ligne.


    Internet est un espace de liberté d’expression, sans pour autant être exonéré des règles de droit. Si le réseau offre la possibilité pour tous de partager du contenu et donner son avis sur des produits et services, il permet aussi aux internautes de contribuer à faire et défaire la réputation d’une entreprise, ce qui peut être lourd de conséquence en termes économiques.

Face à des pratiques malveillantes, la loi a évolué pour prendre en compte les spécificités du web. C’est ainsi qu’en 2004 et 2011, le législateur a mis à disposition des entreprises de nouveaux outils juridiques.

Riposter. Initialement prévu pour la presse écrite, le législateur a crée un droit de réponse spécifique à la presse en ligne qui permet à toute personne, nommée ou désignée dans un service de communication au public en ligne, de faire connaître son point de vue.

Obtenir la suppression des contenus illicites. Cette récente procédure permet aux entreprises victimes de demander aux hébergeurs, sous certaines conditions, le retrait de propos ou contenus litigieux.

Identifier l’auteur des faits. Les hébergeurs doivent conserver pendant un an les données d’identification des créateurs des contenus qu’ils stockent. La loi permet désormais aux entreprises victimes de leur demander les coordonnées des auteurs des propos litigieux, sous réserve de l’accord du juge, afin d’entamer des poursuites judiciaires.

Faire condamner l’usurpateur d’identité. Initialement prévu pour les seules atteintes à l’état civil, le législateur a comblé cette lacune en créant un nouveau délit d’usurpation d’identité en ligne, passible d’un an d’emprisonnement et 15.000€ d’amende.

Cet arsenal répressif pourrait bientôt être renforcé par l’instauration d’un droit à l’oubli numérique, permettant à toute personne d’obtenir l’effacement de données la concernant. Ce droit est prévu dans la proposition de Règlement européen, devant être adopté courant 2014 et entrer en vigueur début 2016.


Betty SFEZ - Avocat
Deleporte Wentz Avocat

www.dwavocat.com

* Article publié dans Face au Risque n°500, février 2014, www.faceaurisque.com

lundi 10 mars 2014

Données personnelles : vers un renforcement des contrôles de conformité à la loi Informatique et Libertés

La loi relative à la consommation (“loi Hamon”), votée le 13 février 2014, doit entrer en vigueur après sa validation par le Conseil constitutionnel. Cette loi comporte des dispositions très diverses, portant notamment sur l’action de groupe, la protection des consommateurs (transposant la directive européenne relative aux droits des consommateurs du 25 octobre 2011), la vente de lunettes en ligne, etc. (1)

Parmi ces dispositions figurent des mesures visant à renforcer les pouvoirs de contrôle des autorités en matière conformité des traitements de données personnelles à la réglementation. Le texte prévoit ainsi la possibilité, d’une part, pour la Commission Nationale de l’Informatique et des Libertés (CNIL) d’effectuer, à distance, des contrôles de conformité à la loi Informatique et Libertés, et d’autre part, pour les agents de la DGCCRF de constater des manquements à la réglementation sur la protection des données personnelles.

En quoi ces contrôles consistent-ils ? Quelle est l’étendue des pouvoirs de contrôle respectifs de la CNIL et de la DGCCRF ? Quelles sont les risques de sanctions en cas de non-conformité ? Nous faisons un point ci-après sur ces nouvelles dispositions légales.


1. Les contrôles de conformité à la loi Informatique et Libertés effectués par la CNIL

Sous réserve de validation de ces dispositions par le Conseil constitutionnel, la CNIL pourra désormais réaliser des contrôles de conformité à la loi sur place, mais également à distance.

    - Le droit en vigueur : les contrôles sur place
Depuis la modification de la loi Informatique et Libertés en 2004, les agents de la CNIL sont habilités à effectuer des contrôles sur place, c’est à dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. (2)

Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Sauf urgence ou gravité particulière, le responsable des locaux contrôlés a la possibilité de s’opposer à la visite de contrôle. Dans ce cas, la visite ne peut se dérouler qu’après l’autorisation d’un juge des libertés et de la détention. La visite devra être effectuée en présence de l’occupant des lieux, éventuellement assisté d’un conseil.

Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

A l'issue du contrôle, un procès verbal des vérifications et visites menées est dressé contradictoirement et doit être signé par les agents de la CNIL et le responsable des lieux.

    - Les contrôles en ligne
La loi Hamon, relative à la consommation modifie la loi Informatique et Libertés (article 105) afin de permettre à la CNIL de constater, à distance, les infractions à la réglementation . Cette nouvelle possibilité de contrôle à distance a pour objet de pouvoir multiplier les contrôles de conformité de sites web, sans pour autant démultiplier les ressources de la CNIL et les coûts associés.

Ainsi, les agents de la CNIL pourront désormais : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations ; et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

S'agissant du procès-verbal de contrôle, la loi précise dorénavant qu’il “est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place”. Ceci implique, a contrario, que le procès-verbal est dressé de façon unilatérale lorsque les investigation de la CNIL sont réalisées à distance. Le nouveau texte de loi prévoit donc un procès-verbal notifié a posteriori simplement pour observation.

Dès lors, ce texte confère à la CNIL un pouvoir d'investigation très important puisque les contrôles en ligne seront menés sans que le droit d'opposition du responsable de traitement puisse s’exercer au moment du contrôle, sans que le responsable du site en soit informé et, sans qu'un procès verbal contradictoire soit établi. Comme précisé plus haut, la loi est actuellement en cours d’examen par le Conseil constitutionnel. Il est possible que cette disposition fasse l’objet de remarques par le Conseil sur sa mise en oeuvre.


2. Les nouveaux pouvoirs de contrôle par les agents de la DGCCRF

L’article 76 de la loi modifie le Code de la consommation (article L.141-1) et prévoit ainsi que les agents de l’autorité administrative chargée de la protection des consommateurs :
- sont habilités, lors de leurs contrôles relatifs à la protection économique des consommateurs, à constater les infractions et manquements à la loi Informatique et Libertés, et 
- peuvent communiquer ces constatations à la CNIL.

Les manquements constatés visent la licéité des traitements de données, les formalités préalables obligatoires, les obligations incombant aux responsables de traitement et les droits des personnes concernées par le traitement de leurs données.

Toutefois, cet article ne définit pas les suites à donner une fois qu’un constat de non-conformité aura été établi, ni ne prévoit la possibilité pour les agents de prononcer des sanctions. Le texte dispose simplement que les agents sont “habilités à constater” et qu’ils peuvent rendre compte des manquements à la CNIL.

En pratique, en cas de manquements à la loi, les agents de la DGCCRF communiqueront  en principe les résultats de leurs constatations à la CNIL, afin que celle-ci puisse prendre les mesures appropriées (contrôler, voire sanctionner les entreprises ne respectant pas la loi). Ce texte consacre donc une coopération entre les deux autorités.

La coopération entre la CNIL et la DGCCRF a déjà été abordée à deux reprises : en janvier 2011, la CNIL et la DGCCRF avaient signé un protocole de coopération, permettant l’échange d’informations entre les deux autorités afin de renforcer la protection des données personnelles des consommateurs sur les sites marchands ; en juin 2011, un projet de loi renforçant les droits des consommateurs prévoyait également la possibilité pour les agents de la DGCCRF de relever les manquements à la loi Informatique et Libertés et de les signaler à la CNIL. (3) Ce projet de loi de 2011 n’a pas abouti.


3. Les risques encourus par le responsable de traitement en cas de non-conformité à la loi Informatique et Libertés

A l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


    Ces deux nouvelles mesures de contrôle de conformité à la loi Informatique et Libertés devraient entraîner un accroissement du nombre de contrôles par la CNIL et, par voie de conséquence, des procédures de sanction pour non-conformité à la loi. Il appartient donc aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                            * * * * * * * * * * *

(1) Loi du 13 février 2014 relative à la consommation, actuellement examinée par le Conseil constitutionnel ; Directive 2011/83/UE du Parlement européen et du Conseil du du 25 octobre 2011 relative aux droits des consommateurs.

(2) Voir notamment article 44 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(3) Communiqué CNIL du 6 janvier 2011 : “La CNIL et l'ARJEL s'associent pour contrôler les opérateurs de jeux en ligne” et notre article sur le sujet http://dwavocat.blogspot.fr/2011/07/le-renforcement-des-controles-de-la.html ; Projet de loi renforçant les droits, la protection et l'information des consommateurs n°3508, déposé le 1er juin 2011.

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2014



mardi 4 mars 2014

Le droit d'auteur et les nouveaux défis du numérique

Le magazine Face au Risque a publié son 500ème numéro en février. A cette occasion, une rubrique a été consacrée à "La loi, aujourd’hui et demain". Nous y avons participé en publiant l'article ci-après dans lequel nous avons dressé une brève liste des défis rencontrés par le droit d’auteur à l’ère du numérique.


Les livres, la musique, les films et videos, le logiciel sont protégés par le droit dauteur. Alors que les principes du droit et les règles économiques applicables à ces oeuvres étaient bien établies, l’évolution des technologies, avec lavènement de l’ère numérique et la dématérialisation des oeuvres, ont bouleversé la donne.

E-books, musique en ligne, vidéo à la demande, sont apparus ces 10 dernières années. Les logiciels open source, même si le concept nest pas nouveau, se sont véritablement propagés  dans les entreprises et chez les particuliers relativement récemment. Evolution des technologies, mais également évolution des usages : comment le droit de la propriété intellectuelle sest-il adapté à ces changements ?

Le logiciel - la jurisprudence a reconnu au logiciel le bénéfice de la protection par le droit dauteur dès les années 80 avec larrêt de cassation Babolat c/ Pachot du 7 mars 1986. Cependant, le droit considère le logiciel dans son ensemble et ne distingue pas suivant les éléments constitutifs du logiciel (code source, code objet). Des jurisprudences des 10 dernières années, notamment de la Cour de justice de lUnion européenne ont permis de préciser les contours de cette protection. Certes, le logiciel est une oeuvre globalement protégée par le droit de la propriété intellectuelle, mais les fonctionnalités prises indépendamment et le langage de programmation en sont exclus. (arrêt CJUE du 2 mai 2012, SAS Institute inc. / World Programming Ltd). Quant aux logiciels libres (ou open source), leur modèle juridique, qui bouscule également les concepts traditionnels du droit dauteur, est désormais reconnu.

La musique et les films en ligne - la dématérialisation de la musique et des films pose encore un véritable défi juridico-économique. Force est de constater que la loi Hadopi du 12 juin 2009 na pas réussi à résoudre le problème du téléchargement illégal. Les règles de droit applicables à une oeuvre musicale ou cinématographique ne diffèrent pas suivant le support ou le mode de diffusion. Néanmoins, même si la technologie employée pour la diffusion dune oeuvre doit être neutre sur la règle de droit, la facilité de diffusion au plus grand nombre offerte par les réseaux oblige de repenser non seulement à une adaptation du droit, à la notion de contrefaçon et aux sanctions applicables, mais également, au modèle économique, qui na pas encore été réinventé.

Le livre numérique - les tablettes internet et autres liseuses permettent désormais de se déplacer avec sa bibliothèque électronique. Mais quelque soit le support ou le mode de distribution, le livre est et reste une oeuvre protégée par le droit dauteur.

Limpression en 3D - enfin, avec les nouvelles techniques dimpression en 3D qui arrivent sur le marché, la reproduction en masse dobjets de toutes natures se démocratise, avec les risques associés de contrefaçon. De nouveaux défis juridiques en perspective !


Bénédicte DELEPORTE - Avocat

Deleporte Wentz Avocat
www.dwavocat.com


Article publié dans Face au Risque, n°500, février 2014, www.faceaurisque.com