L’allègement de la réglementation des loteries commerciales à l’égard des consommateurs

Jusqu’à récemment, l’organisation de loteries commerciales était très encadrée, malgré quelques évolutions jurisprudentielles et réglementaires intervenues ces dernières années. (1) En vertu de la loi du 21 mai 1836, les loteries étaient en effet réputées illicites dès lors qu’elles remplissaient quatre conditions cumulatives (à savoir : une offre au public, l’espérance d’un gain, déterminé par le hasard, en contrepartie d’un sacrifice pécuniaire de la part du participant). Si la loterie ne remplissait pas l’une de ces conditions, alors elle était considérée licite, mais restait soumise à des conditions de forme strictes.

La loi de simplification de la vie des entreprises du 20 décembre 2014 a profondément allégé ces contraintes, (2) mettant le droit français en conformité avec la directive européenne de 2005 relative aux pratiques commerciales déloyales. (3) Les loteries publicitaires peuvent désormais être organisées plus facilement. Cependant, leur encadrement juridique est plus incertain, les loteries pouvant être sanctionnées pour pratique commerciale déloyale ou trompeuse. 


1. La levée des contraintes applicables à l’organisation des loteries commerciales

    - L’allègement de la réglementation

La loterie commerciale est définie comme un jeu dont les gagnants sont désignés au sort.

Désormais, les loteries commerciales sont réputées licites.

Ce principe est énoncé à l’article L.121-36 du code de la consommation qui dispose, dans sa nouvelle rédaction, que “Les pratiques commerciales mises en œuvre par les professionnels à l'égard des consommateurs, sous la forme d'opérations promotionnelles tendant à l'attribution d'un gain ou d'un avantage de toute nature par la voie d'un tirage au sort, quelles qu'en soient les modalités, ou par l'intervention d'un élément aléatoire, sont licites dès lors qu'elles ne sont pas déloyales au sens de l’article L.120-1”.

Cet article définit les seules conditions applicables aux loteries commerciales. Ainsi, les anciennes exigences de forme disparaissent, notamment les mentions obligatoires, l’obligation de rembourser les frais de participation, la participation au jeu sans obligation d’achat, le dépôt du règlement du jeu chez un huissier, etc.

    - Le champ d’application de la nouvelle réglementation

La nouvelle réglementation s’applique aux loteries commerciales (ou publicitaires) à destination des consommateurs. Elle concerne les jeux de type loterie avec tirage au sort, ou comprenant un élément aléatoire.

La loi ne distingue pas suivant la manière dont le jeu est organisé : en magasin, par voie d’imprimés adressés par la poste, par internet ou par SMS.

Il convient de noter que les concours, qui n’étaient pas illicites sous le régime précédent, ne sont pas concernés par ces nouvelles règles. Pour rappel, le concours est défini comme le jeu qui récompense les personnes qui ont subi avec succès une épreuve mettant en oeuvre leurs connaissances, leur sagacité ou toute autre aptitude. Les gagnants sont sélectionnés en fonction de la qualité des réponses aux questions du jeu et non par tirage au sort. Cependant, un concours qui intégrerait un élément aléatoire (question relevant du hasard, ou tirage au sort pour départager les gagnants) relève de la loterie.


2. La contrepartie d’une plus grande liberté d’organisation : un encadrement juridique plus incertain

Toutes les loteries publicitaires ne seront cependant pas considérées comme étant de facto licites. Ainsi, les loteries considérées comme relevant de pratiques commerciales déloyales pourront être sanctionnées.

    - La définition des pratiques commerciales déloyales

Les pratiques déloyales consistent en des pratiques “contraires aux exigences de la diligence professionnelle”. Une pratique commerciale déloyale “altère, ou est susceptible d'altérer de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard d'un bien ou d'un service.” (article L.120-1 du code de la consommation).

En effet, en vertu du nouveau régime applicable aux loteries publicitaires, les loteries trompeuses, au sens de l’article L.121-1 du code de la consommation et les loteries considérées comme agressives, au sens de l’article L.122-11 relèvent des pratiques commerciales déloyales.

Parmi les pratiques trompeuses décrites à l’article L.121-1 du code de la consommation, on relèvera celles pouvant s’appliquer plus particulièrement aux loteries commerciales, notamment les pratiques qui reposeraient sur des allégations, indications ou présentations fausses ou de nature à induire en erreur et portant sur la portée des engagements de l’annonceur ; la nature, le procédé ou le motif de la vente ou de la prestation de services ; l’identité, les qualités, les aptitudes et les droits du professionnel ; enfin, lorsque la personne pour le compte de laquelle la pratique commerciale est mise en oeuvre n'est pas clairement identifiable.

En outre, les pratiques suivantes sont considérées comme trompeuses :
    - l’allégation qu'un produit ou qu'un service augmente les chances de gagner aux jeux de hasard,
    - le fait d'affirmer qu'un concours est organisé ou qu'un prix peut être gagné sans attribuer les prix décrits ou un équivalent raisonnable,
    - le fait de décrire un produit ou un service comme étant "gratuit", "à titre gracieux", "sans frais" ou autres termes similaires, si le consommateur doit payer quoi que ce soit d'autre que les coûts inévitables liés à la réponse et au fait de prendre possession ou livraison de l'article. (4)

Les contraintes d’espace ont été prises en compte par la loi pour apprécier si des informations substantielles ont été omises, ainsi que des mesures prises par le professionnel “pour mettre ces informations à la disposition du consommateur par d'autres moyens.” Par exemple, une loterie commerciale qui serait diffusée par le biais d’une application mobile ou par SMS pourrait renvoyer via un hyperlien, vers une page descriptive du jeu et vers le règlement du jeu.

Les pratiques commerciales agressives sont définies comme le fait de solliciter de façon répétée et insistante ou d’utiliser une contrainte physique ou morale, ayant pour effet d’altérer de manière significative la liberté de choix, ou de vicier le consentement d'un consommateur. (5)

    - Les sanctions applicables aux pratiques commerciales déloyales

Les sanctions pour pratiques commerciales trompeuses ou agressives sont très lourdes.

Les pratiques commerciales trompeuses ou agressives sont punies d'un emprisonnement de deux ans et d'une amende d’un montant maximum de 300.000€ (portée à 1.500.000€ pour les personnes morales).

Le montant de l'amende peut être porté, de manière proportionnée aux avantages tirés du manquement, à 10% du chiffre d'affaires moyen annuel, calculé sur les trois derniers chiffres d'affaires annuels connus à la date des faits, ou pour les pratiques commerciales trompeuses, à 50% des dépenses engagées pour la réalisation de la publicité ou de la pratique constituant le délit (ou à 250% des dépenses engagées pour les personnes morales). (6)

    - La nécessité de présenter le jeu de manière claire et loyale

En cas de contentieux portant sur le caractère licite ou trompeur d’une loterie publicitaire, la licéité sera appréciée au cas par cas par les tribunaux.

Afin d’éviter qu’une loterie publicitaire soit sanctionnée pour pratique commerciale trompeuse ou agressive, il est donc nécessaire de prendre quelques précautions.

En effet, bien que le nouveau régime juridique applicable aux loteries publicitaires soit nettement allégé par rapport au régime précédent, les annonceurs qui souhaitent organiser des loteries doivent s’assurer que le message est clair, non ambigüe, loyal et non trompeur.

L’organisateur du jeu et le cas échéant l’annonceur doivent être clairement identifiés. Le mécanisme du jeu, les gains, les règles d’attribution des lots, les frais de participation et le cas échéant, les conditions de participation (âge minimum, durée du jeu, etc.) et l’obligation d’achat d’un produit ou d’un service devront être décrits de manière claire et facilement compréhensible par le consommateur.

Enfin, même si cette obligation ne figure pas dans la loi, il est recommandé de rédiger un règlement du jeu qui reprendra les éléments décrits ci-dessus. Si le jeu est complexe ou s’il est diffusé à un grand nombre de consommateurs, le dépôt chez un huissier permettra de limiter les risques de contestation.


                                                             * * * * * * * * * * *

(1) La loi du 21 mai 1836 portant prohibition des loteries avait ainsi été modifiée en 2004 (loi n°2004-204), en 2007 (loi n°2007-297), et en 2014 (loi n°2014-344).

(2) Article 54 de la loi n°2014-1545 du 20 décembre 2014 relative à la simplification de la vie des entreprises, codifié à l’article L.121-36 du code de la consommation.

(3) Voir la directive 2005/29 du 11 mai 2005 relative aux pratiques commerciales déloyales. A noter que dans une décision de la Cour de justice de l’Union européenne du 14 janvier 2010 (CJUE, affaire C-304/08), les juges ont considéré que les loteries constituent une pratique commerciale, et qu’à ce titre, elles entrent dans le champ d’application de la directive de 2005. Dans la mesure où les loteries commerciales, notamment avec obligation d’achat, ne font pas partie de la liste des pratiques commerciales  déloyales interdites par la directive européenne, les Etats-membres ne peuvent les interdire.

(4) Article L.121-1-1 du code de la consommation

(5) Article L.122-11 du code de la consommation

(6) Articles L.121-6 et L.122-12 du code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2015

Open Data : pour la CADA, les codes sources des logiciels développés par l’Etat sont librement accessibles

Le 8 janvier 2015, la CADA (commission d’accès aux documents administratifs) a émis un avis favorable à la communication du code source d’un logiciel développé par l’Etat, à une personne qui en avait fait la demande. (1)

Un chercheur avait demandé à la Direction générale des finances publiques (DGFiP) d’avoir accès aux codes sources d’un logiciel de calcul de simulation de l’impôt sur le revenu des personnes physiques, pour les réutiliser dans le cadre de travaux de recherche universitaire. Le directeur général des finances publiques avait opposé un refus, invoquant la lourdeur du traitement pour rendre ces fichiers exploitables. Suite à ce refus, le demandeur a donc saisi la CADA pour que celle-ci émette un avis.

La CADA a estimé que le code source développé par l’Etat devait être traité comme un document administratif au sens de la loi du 17 juillet 1978, et qu’à ce titre le demandeur pouvait y avoir accès, dans les conditions définies par la loi. (2)

Cet avis doit néanmoins être nuancé, dans la mesure où plusieurs exceptions au principe d’accessibilité doivent être pris en compte.


1. L’avis de la CADA : Open data et Open source

    1.1 Rappel de la définition de document administratif et du principe de liberté d’accès à ces documents

La loi du 17 juillet 1978 pose le principe de la liberté d’accès aux documents administratifs.

L’article 1er de la loi de 1978 définit les documents administratifs comme des documents produits ou reçus, “dans le cadre de leur mission de service public, par l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission”, et ce “quels que soient leur date, leur lieu de conservation, leur forme et leur support”.

Le texte énonce ensuite les catégories de documents pouvant entrer dans cette définition, cette liste n’étant pas exhaustive : les dossiers, rapports, études, comptes-rendus, procès-verbaux, statistiques, directives, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions et décisions. On notera que ce texte, dans sa version modifiée par une ordonnance du 29 avril 2009, ne vise pas expressément les logiciels.

En vertu de l’article 4 de la loi de 1978, l’accès aux documents administratifs s’exerce, au choix du demandeur, et dans la limite des possibilités techniques de l’administration, soit par consultation gratuite sur place, soit par la délivrance d’une copie sur un support identique à celui utilisé par l’administration ou compatible avec celui-ci, et aux frais du demandeur, soit enfin par courrier électronique et sans frais.

    1.2 L’interprétation de la CADA concernant le code source

Dans son avis du 8 janvier dernier, la commission, appliquant les dispositions de la loi du 17 juillet 1978, en a conclu que le code source d’un logiciel développé par ou pour l’Etat entrait dans le cadre de la définition des documents administratifs, et qu’à ce titre, il était librement accessible par le demandeur.

Ainsi, selon la CADA, “les fichiers informatiques constituant le code source sollicité, produits par l’administration générale des finances publiques dans le cadre de sa mission de service public, revêtent le caractère de documents administratifs, au sens de l’article 1er de la loi du 17 juillet 1978.”

Le code source doit donc être accessible et être communiqué dans l’un des formats prévus à l’article 4 de la loi, au choix du demandeur et dans la limite des possibilités techniques de l’administration. En l’espèce, pour s’opposer à la communication du code source, le directeur général des finances publiques avait soutenu que l’application en cause “se composait de nombreux fichiers nécessitant un lourd traitement pour être rendus exploitables, de sorte que le document sollicité devait être regardé comme inexistant, en l’absence de traitement automatisé d’usage courant susceptible d’en produire une version compréhensible.”

Or, selon la commission, la loi du 17 juillet 1978 n’oblige pas l’administration à créer un nouveau document pour permettre la réutilisation des données qu’il comporte. Celle-ci n’est tenue qu’à communiquer le document “dans le format le plus propre à cette réutilisation lorsque l’administration le détient dans différents formats, ou peut obtenir par un traitement automatisé d’usage courant le format souhaité”. Si le document n’existe pas en l’état pour être communiqué, et ne peut être obtenu que par une opération excédant un simple traitement automatisé d’usage courant, l’administration n’est alors pas tenue d’élaborer un nouveau document.

Cependant, l’administration ne peut simplement se retrancher derrière des difficultés techniques ou une impossibilité matérielle pour refuser l’accès au document sollicité. En tout état de cause, la CADA estime que l’administration est tenue, a minima, de communiquer le document dans l’état où elle le détient.

Le code source pourra ensuite être réutilisé, sauf à des fins de mission de service public.

Dans son avis du 8 janvier 2015, la commission ne précise pas les conditions d’utilisation des codes sources communiqués. Ces conditions peuvent néanmoins se déduire des conditions de réutilisation figurant aux articles 10 et suivants de la loi de 1978, même si celles-ci ont été pensées pour des documents tels que les rapports, études statistiques, etc. Ainsi, les codes sources (informations publiques) ne peuvent être altérés et leur sens ne doit pas être dénaturé. L’utilisateur est tenu de mentionner les sources et la date de dernière mise à jour.

La CADA confirme ainsi, par son avis du 8 janvier 2015, que les codes sources de l’administration sont libres, et inscrit les logiciels développés par l’administration dans la logique de l’Open source et de l’Open data.

Il convient cependant de noter qu’il s’agit d’un avis, susceptible d’un recours devant les tribunaux administratifs en cas de désaccord de l’une des parties.


2. Les exceptions au principe d’accessibilité aux documents administratifs

Plusieurs exceptions existent cependant concernant l’accès aux documents administratifs, et donc aux codes sources des logiciels développés par ou pour l’administration.

La première exception notable, et légitime, concerne les documents couverts par des droits de propriété intellectuelle, et notamment les logiciels sous licence propriétaire. En effet, ce n’est pas parce qu’une administration va utiliser des logiciels sous licence, que les droits de propriété intellectuelle de leurs auteurs disparaissent et que les sources deviennent librement accessibles par toute personne qui en ferait la demande.

Outre l’exception relative aux droits de propriété intellectuelle, il existe plusieurs autres limites au principe de la liberté d’accès aux documents administratifs.

L’article 6 de la loi dispose que ne sont pas communicables, notamment, les documents administratifs dont la consultation ou la communication porterait atteinte au secret de la défense nationale, à la conduite de la politique extérieure de la France, à la sûreté de l’Etat, à la sécurité publique ou la sécurité des personnes, à la monnaie, à la recherche des infractions fiscales ou douanières (ce qui n’était pas le cas pour le logiciel de calcul de simulation de l’impôt sur le revenu, dont l’accès aux sources était sollicité).

Enfin, la communication des documents comportant des données à caractère personnel, des données médicales ou des secrets commerciaux ou industriels est en principe limitée aux personnes intéressées. 

Les conditions de réutilisation prévues dans la loi du 17 juillet 1978 sont plus particulièrement adaptées pour les documents “classiques” listés à l’article 1er de la loi (dossiers, rapports, études statistiques, etc.). Afin de clarifier les conditions d’utilisation des logiciels communiqués dans le cadre d’une demande d’accès en vertu de la loi de 1978, il est recommandé de prévoir les conditions de licence libre qui seront applicables à ce logiciel.

                                                          * * * * * * * * * * *

(1) Commission d’accès aux documents administratifs, avis n°20144578 du 8 janvier 2015, M. X c/ Direction générale des finances publiques (DGFiP)

(2) Loi n°78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2015

La conduite et les conclusions des audits de licences de logiciel contestées en justice

Les audits de licence menés par les éditeurs de logiciels ont pour objet de lutter contre la contrefaçon de logiciel, en s’assurant que les utilisateurs sont dûment autorisés à utiliser leurs logiciels, au risque de se voir réclamer des surplus de redevances ou d’être poursuivis en justice. Même lorsque l’utilisateur est titulaire d’une licence, celle-ci lui accorde généralement des droits limités. Dans ce cas, les audits de licence auront pour objet de s’assurer de la conformité entre l’utilisation effective des logiciels et les droits accordés par le contrat.

Les audits de licence donnent cependant lieu de plus en plus souvent à contestation de la part des sociétés utilisatrices. Celles-ci opposent plusieurs raisons à leurs contestations : complexité des licences, difficulté à comptabiliser les droits utilisés, ou encore mauvaise foi de certains éditeurs qui utiliseraient l’arme de l’audit de licence à des fins d’intimidation au moment du renouvellement du contrat.

Les enjeux financiers sont importants, tant pour les éditeurs que pour les utilisateurs ; les sommes réclamées à l’issue de ces audits pouvant atteindre des montants très élevés.

Deux affaires récentes, impliquant la société Oracle, viennent illustrer les tensions entre éditeurs et utilisateurs particulièrement au moment de renouveler - ou non - les licences en place. (1) Ces décisions nous donnent l’occasion d’étudier la question relative à l’objet et aux limites d’un audit de licence, et les fondements d’une action judiciaire en cas de constatation de non-conformité entre l’utilisation des logiciels et les droits concédés.


1. Objet et limites des audits de licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. (2) L’auteur ou l’éditeur du logiciel dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de droits accordés et de calcul des redevances.

Les droits d’utilisation accordés aux utilisateurs sont décrits dans le contrat de licence. L’étendue des droits accordés diffère suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés ou de CPU, un volume d’utilisation, etc. Les limitations peuvent également être géographiques, par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

Enfin, chaque éditeur définit son système de calcul des redevances d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives suivant les montées de version du logiciel, etc.

Pour s’assurer de la conformité de l’utilisation du logiciel aux droits accordés, les éditeurs prévoient des clauses d’audit de licences dans leurs contrats.

Cependant, conformément à l’article 1134 du code civil qui dispose que le contrat doit être exécuté de bonne foi, l’audit de logiciel ne doit pas être détourné de son objet, et être utilisé comme arme de dissuasion au moment du renouvellement des contrats (“vous (utilisateur), renouvelez les licences avec nous, sinon nous déclenchons un audit et réclamerons des indemnités”), ou comme un moyen d’accéder à des données de l’entreprise utilisatrice non nécessaires dans le cadre d’un audit.

Ces deux cas de figure ont été soulevés dans les deux affaires en référence.

- L’ordonnance de référé du 12 juin 2014
Dans l’affaire opposant les sociétés Oracle à Carrefour, cette dernière refusait d’exécuter les scripts de collecte de données que la société Oracle lui demandait de mettre en oeuvre dans le cadre d’un audit de licences.

Carrefour SA, puis la société Carrefour Organisation et Systèmes Groupe avaient conclu un accord-cadre pour l’utilisation des logiciels de gestion de base de données de la gamme Oracle Database. Le 27 janvier 2012, après l’expiration du contrat, Oracle France a notifié à la société Carrefour sa décision de réaliser un audit afin de vérifier la conformité de l’utilisation des logiciels aux droits acquis via les contrats de licence. Oracle demandait notamment d’exécuter des scripts lui permettant de comptabiliser les licences et de vérifier les documents fournis par Carrefour sur l’utilisation des logiciels.

Carrefour s’est opposée, non pas à l’audit, mais à la procédure utilisée par Oracle, qui voulait imposer ses outils d’audit. Carrefour considérait en effet que les scripts utilisés par Oracle permettaient d’avoir accès à des informations confidentielles de Carrefour, non nécessaires dans le cadre de l’audit, et faisaient peser un risque de sécurité sur ses systèmes informatiques.

Dans une ordonnance de référé, rendue le 12 juin 2014, le Tribunal de grande instance de Nanterre relève qu’Oracle ne peut contraindre Carrefour à exécuter ses scripts pour la collecte des informations dans le cadre de cet audit, cette procédure n’étant imposée ni dans le contrat, ni dans la loi.

Les juges estiment néanmoins que la société Oracle justifie “d’un motif légitime d’obtenir une mesure d’expertise en vue d’établir la preuve d’éventuels manquements par les sociétés défenderesses à leurs obligations contractuelles et d’atteintes aux droits d’auteur dont la société Oracle International Corporation est titulaire.”

Ainsi, Carrefour n’aura pas l’obligation d’exécuter les scripts de collecte d’informations d’Oracle, mais l’éditeur pourra néanmoins obtenir les informations nécessaires à l’issue du rapport d’expertise, pour contrôler la conformité de l’utilisation de ses logiciels aux licences accordées.

- Le jugement du TGI de Paris du 6 novembre 2014
Dans une seconde affaire opposant Oracle à l’AFPA (Association de la Formation Professionnelle des Adultes), l’AFPA prétendait qu’Oracle avait abusivement mis en oeuvre les audits contractuels, en les détournant de leur objectif pour faire pression sur l’AFPA au moment du renouvellement des contrats, d’une part avec pour effet de restreindre la concurrence, et d’autre part en abusant de son droit d’ester en justice en cas de non renouvellement des contrats.

Ainsi, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Les juges n’ont pas suivi l’AFPA sur le terrain de l’abus de position dominante, estimant notamment qu’en l’espèce, la position dominante d’Oracle sur le marché des SGBDR n’était pas établie.

Concernant l’abus d’ester en justice, après avoir rappelé que l’exercice d’une action en justice constitue par principe un droit, les juges poursuivent en précisant que l’abus de droit doit être démontré sur le fondement de l’article 1382 du code civil (faute, dommage ou préjudice, lien de causalité entre la faute et le préjudice).

Or, quand bien même Oracle utiliserait l’arme de l’audit de licence au moment de l’envoi des appels d’offres pour le renouvellement des contrats, en l’espèce l’AFPA ne démontre pas avoir subi un préjudice spécifique, “autre que celui résultant des frais exposés pour se défendre dans la présente instance”. En outre, l’AFPA avait formulé une demande d’indemnisation globale en réparation du préjudice subi du fait de l’abus de position dominante et de l’abus d’ester en justice. La demande a donc été jugée irrecevable en l’espèce.


2. Conclusions de l’audit et non-conformités constatées : contrefaçon ou manquement contractuel ?

L’affaire opposant les sociétés Oracle à l’AFPA soulève une seconde question relative à la contestation des conclusions de l’audit, aux conséquences juridiques intéressantes.

- Les faits
En résumé, Oracle commercialise une solution de PGI (ou ERP) dénommée Oracle E-Business Suite, comprenant plus de 70 logiciels applicatifs dédiés à la gestion de l’entreprise et regroupés par “familles” (famille Finances (Financial) pour les logiciels comptables et financiers, et famille Achat (Procurement) pour les logiciels de gestion des achats et des fournisseurs).

Le système de licence E-Business Suite ne fonctionne pas avec des clés permettant de gérer les licences (blocage, déblocage du logiciel, gestion de la durée d’utilisation…), mais est livré sur CD avec l’intégralité des logiciels qui le composent, le client ou son prestataire étant chargé d’installer les logiciels dont il a acquis les licences.

A l’issue d’un appel d’offres lancé en septembre 2001, l’AFPA avait contracté avec la société Sopra Group (distributeur Oracle) pour la fourniture de la solution Oracle E-Business Suite - Finance, pour un premier groupe de 475 utilisateurs.

En juillet 2008, Oracle France notifiait à l’AFPA son intention d’organiser un audit du niveau d’utilisation des produits Oracle. L’audit n’a été réalisé qu’en mai/juin 2009, au moment où l’AFPA passait un nouvel appel d’offres pour déployer la solution Achat. Or, selon les résultats de l’audit, l’AFPA utilisait 885 licences du logiciel “Purchasing”, faisant partie de la famille Achat (Procurement), alors qu’elle ne détenait pas les droits d’utilisation sur cette famille de logiciels.

Après l’échec de la régularisation amiable de la situation, Oracle a décidé d’assigner l’AFPA en contrefaçon pour utilisation non autorisée du logiciel Purchasing. A ce titre, Oracle réclamait à l’AFPA (et Sopra Group, appelée en garantie par l’AFPA), le versement de la somme de 3.920.550 euros HT à titre d’indemnité forfaitaire pour la reproduction non autorisée du logiciel Purchasing pour 885 utilisateurs nommés, augmentée de 9.487.731 euros HT à titre d’indemnité forfaitaire pour l’utilisation non autorisée des services de support technique et des mises à jour du logiciel Purchasing, soit un total de 13.408.281 euros.

Les défendeurs opposaient notamment le fait que les sociétés Oracle savaient que le logiciel Purchasing faisait partie de la solution proposée par Sopra à l’AFPA dans le cadre du marché, la solution ayant été validée dans le bon de commande établi par Oracle. Ainsi, Sopra avait facturé à l’AFPA l’installation, l’utilisation et la maintenance de ce logiciel. L’AFPA soutenait par ailleurs qu’elle utilisait le logiciel Purchasing de bonne foi depuis l’origine du marché et qu’elle n’avait commis aucun acte de contrefaçon.

- Le désaccord sur la qualification juridique des conclusions de l’audit
Dans cette affaire, les parties formaient leurs demandes sur des qualifications différentes aux conséquences juridiques distinctes.

Oracle soutenait que l’AFPA n’étant pas autorisée à utiliser le logiciel litigieux, celle-ci avait commis des actes de contrefaçon. Or, d’une part la contrefaçon est un délit continu, non soumis à prescription, d’autre part, le contrefacteur ne peut opposer la bonne foi.

L’AFPA se positionnait sur le terrain de l’exécution contractuelle. Selon elle, le logiciel Purchasing était inclus dans les logiciels objets du contrat. Dans le cas contraire, l’AFPA soutenait avoir exécuté le contrat de bonne foi puisque les logiciels avaient été installés par Sopra. Or, les actions contractuelles se prescrivent par 5 ans (art. 2224 du Code civil) et la réparation relève de la responsabilité contractuelle, dans le cadre des règles du code civil sur l’exécution des contrats.

- La qualification retenue par les juges
Afin de qualifier le litige en droit, les juges relèvent que le seul différend existant entre les parties est de savoir si le contrat incluait ou non le logiciel Purchasing. A aucun moment Oracle n’a soutenu que l’AFPA aurait utilisé un logiciel contrefait ou déployé un logiciel non fourni par Sopra, ou que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, les juges retiennent que le litige porte uniquement sur le périmètre du contrat, et sur son exécution, et non sur une question de contrefaçon. Ainsi, les règles de prescription et de réparation du préjudice prévues au Code civil s’appliquent.

Concernant l’exécution du contrat, Oracle avait effectivement livré quatre CD, dont un contenant la solution Oracle Applications/E Business Suite II i, incluant les familles Financial et Purchasing. Oracle soutenait cependant que le logiciel Purchasing n’était pas inclus dans le périmètre du contrat.

Les juges, sur la base des documents versés aux débats, estiment que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

En conséquence de cette qualification, la contrefaçon n’étant pas applicable à l’espèce, et le logiciel étant, selon toute vraisemblance, inclus dans le périmètre contractuel, les juges ont notamment déclaré prescrites les demandes d’Oracle à l’encontre de l’AFPA et Oracle irrecevable en ses demandes de paiement de la somme de 13.408.281 euros. Oracle a par ailleurs été condamnée aux dépens ainsi qu’à verser 100.000 euros à l’AFPA et à Sopra respectivement au titre de l’article 700 du code de procédure civile (frais de procédure). Le jugement est frappé d’appel.


    En conclusion, il convient de rappeler que les audits de licence, bien qu’étant une pratique légitime par les éditeurs, ne doivent pas être détournés de leur objet. La mauvaise foi ou l’abus de la part des éditeurs (fondements qui restent néanmoins à démontrer juridiquement), mais également, la complexité des licences peuvent remettre en cause l’organisation, voire même les conclusions d’un audit. Comme on le constate, les utilisateurs n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu.


                                                              * * * * * * * * * * *

(1) Tribunal de grande instance de Nanterre, ordonnance de référé du 12 juin 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Carrefour, Carrefour Organisation et Systèmes Groupe ; Tribunal de grande instance de Paris, 3é ch., 1ère sect., 6 novembre 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Association Nationale pour la Formation Professionnelle des Adultes (AFPA) et Sopra Group

(2) Article L.112-2 du Code de la propriété intellectuelle




Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2015

Cybersurveillance des salariés : les SMS échangés depuis un téléphone mobile professionnel sont présumés professionnels

La Cour de cassation vient de rendre une décision précisant les conditions dans lesquelles l’employeur peut consulter les SMS de ses salariés. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de cybersurveillance des salariés.


1. Rappel des règles applicables en matière de cybersurveillance des salariés

Il appartient à l’employeur, dans le cadre de son pouvoir directionnel et disciplinaire, de s’assurer de la bonne exécution du travail de ses salariés. Le droit pour l’employeur de contrôler l’activité de son personnel durant le temps de travail découle du lien de subordination existant entre l’employeur et le salarié. La surveillance et le contrôle de l’activité des salariés paraît donc légitime.

Avec le développement des technologies de l’information, les dispositifs techniques de surveillance sont venus compléter le contrôle humain des salariés, exercé par l’employeur. Les moyens utilisés sont variés : vidéosurveillance, biométrie et badges électroniques d’accès aux locaux, géolocalisation, dispositifs de contrôle de la messagerie électronique, systèmes de filtrage de sites internet, etc. Le contrôle peut avoir pour objectif d’assurer la sécurité des réseaux contre les attaques informatiques ou de limiter les risques d’abus liés à l’utilisation d’internet ou de la messagerie à des fins personnelles.

Toutefois, le contrôle de l’activité des salariés doit respecter quelques principes et conditions posés par la réglementation (Code du travail et loi informatique et libertés) et la jurisprudence.

Ainsi, l’employeur ne peut apporter de restrictions aux libertés individuelles et collectives si elles ne sont pas “justifiées par la nature de la tâche à accomplir ni proportionnées ou au but recherché” (art. L.1121-1 du code du travail). La jurisprudence a notamment affirmé que le salarié a droit au respect de sa vie privée sur son lieu de travail et pendant son temps de travail.

Par ailleurs, en cas de contrôle, l’employeur doit respecter les principes de transparence, de loyauté et de proportionnalité. Ces principes impliquent notamment pour l’employeur l’obligation d’informer les salariés sur la possibilité et l’étendue du contrôle, mais également d’informer ou de consulter les instances représentatives du personnel. A ce titre, il est vivement recommandé de mettre en place une charte informatique au sein de l’entreprise. (1)

Enfin, si le moyen de contrôle utilisé implique la collecte et le traitement de données à caractère personnel, il incombera à l’employeur d’effectuer des démarches déclaratives auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Plusieurs décisions ont été rendues dans ce domaine depuis le début des années 2000, venant préciser les droits et limites de l’employeur en matière de cybersurveillance de ses salariés. Ainsi, les fichiers et emails, envoyés et reçus par un salarié, à l’aide des équipements informatiques mis à disposition par l’employeur, sont présumés avoir un caractère professionnel et peuvent être consultés par ce dernier. Ce principe connaît cependant une exception si le salarié a clairement identifié les fichiers ou emails comme étant personnels.

La jurisprudence évolue et se précise avec l’apparition de “nouveaux” outils et pratiques. Ainsi, la Cour de cassation a jugé en 2013 que la clé USB personnelle d’un salarié connectée à l’ordinateur mis à la disposition de ce dernier par son employeur était présumée être utilisée à des fins professionnelles. L’employeur pouvait donc avoir accès aux fichiers non identifiés comme personnels contenus sur la clé, et ce même hors de la présence du salarié. (2)


2. Le cas des SMS : la décision GFI Securities Ltd c/ Newedge Group

Cette affaire opposait deux sociétés de courtage d’instruments financiers, la société Newedge Group (Newedge) et la société GFI Securities (GFI). La société Newedge reprochait à GFI d’avoir procédé au débauchage massif de ses salariés avec pour conséquence la désorganisation interne de Newedge.

La société Newedge a donc décidé de faire constater les agissements de la société GFI et obtenu, pour ce faire, une ordonnance sur requête autorisant un huissier à procéder au constat des informations issues des outils de communication mis à la disposition de ses salariés. Suite à ce constat, la société Newedge a utilisé les SMS “compromettants” extraits des smartphones de ses salariés pour poursuivre GFI en justice.

La société GFI a demandé la rétractation de cette ordonnance, estimant que l'utilisation de tels messages par l'employeur, effectuée à l'insu de l'auteur des propos invoqués, constituait un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Déboutée en appel, la société GFI s’est alors pourvue en cassation.

La société GFI invoquait notamment le fait que :

- le règlement intérieur et la charte informatique de la société Newedge ne prévoyaient pas que les SMS envoyés ou reçus par les salariés sur le téléphone mobile mis à leur disposition par l’entreprise étaient présumés avoir un caractère professionnel, de sorte que l'employeur pouvait y avoir accès hors de la présence du salarié, dès lors qu'ils n'étaient pas marqués comme “personnels”. Ces documents ne faisaient mention que des emails et des conversations téléphoniques ;

- il est impossible d'identifier comme “personnel” un SMS envoyé par un téléphone mobile, de tels messages ne comportant pas de champ “objet”.

Dans un arrêt du 10 février 2015, la Cour de cassation a confirmé la décision de la Cour d’appel et a débouté la société GFI de ses demandes. La Cour a jugé que : “les SMS envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels”. Or, en l’espèce, ces messages n’avaient pas été identifiés comme personnels par les salariés. Dès lors, selon la Cour, la recherche de ces messages et leur consultation “pour des motifs légitimes” par l’employeur, puis leur utilisation en justice constituent un procédé loyal. (3)


Il ressort donc de cette décision que l’employeur a la possibilité de consulter les SMS de ses salariés aux conditions suivantes : les SMS sont envoyés et reçus au moyen du téléphone portable mis à leur disposition par l’employeur ; les messages ne doivent pas être identifiés comme “personnel” ou “privé” ; et la consultation doit être justifiée par un “motif légitime” (soupçons de fraude, violation d’une clause de confidentialité, etc.).

Cette décision rejoint la jurisprudence visant à préciser les conditions dans lesquelles l’employeur peut contrôler l’utilisation par ses salariés des équipements informatiques de l’entreprise. Il appartient donc aux salariés d’être vigilants quant à l’utilisation de leurs smartphones professionnels fournis par l’employeur. En revanche, pour le moment, la question du contrôle reste posée pour les équipements informatiques du salarié (ordinateur, tablette, smartphone) utilisés dans l’entreprise à des fins professionnelles (BYOD). A ce titre, la charte informatique sera le document de référence pour définir les droits et les devoirs de chacun, salarié et employeur, en matière du bon usage des ressources informatiques.

                                                         * * * * * * * * * * *


(1) Voir notamment notre article intitulé “La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu"

(2) Cass., ch. soc., 12 février 2013, n°11-28.649.

(3) Cass, ch. comm., 10 février 2015, n°13-14779

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Propriété d’un logiciel : l’entreprise n’est pas systématiquement propriétaire de “son” logiciel

A qui appartient le logiciel développé au sein d’une entreprise ? C’est à cette question que la Cour de cassation a récemment répondu, dans un arrêt du 15 janvier 2015. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de droit d’auteur sur le logiciel.


1. Les règles relatives au droit d’auteur et ses titulaires en matière de logiciel

Le logiciel est une œuvre de l’esprit protégée par le droit d’auteur (article L.112-2 du Code de la propriété intellectuelle).

Cependant, cette protection n’est pas acquise automatiquement, le caractère original du logiciel étant un préalable nécessaire à la protection. L'originalité d’une oeuvre peut être définie comme étant ce qui distingue cette oeuvre des autres. Appliquée au logiciel, l’originalité ressort de l’effort personnalisé de son auteur, au-delà de la simple mise en oeuvre d'une logique automatique et contraignante. La matérialisation de cet effort réside dans une structure individualisée. (1)

Selon le principe posé par l’article L.113-1 du Code de la propriété intellectuelle (CPI), “La qualité d’auteur appartient, sauf preuve contraire, à celui ou à ceux sous le nom de qui l’oeuvre est divulguée.”

Le titulaire des droits d’auteur sur un logiciel peut être une personne physique, le développeur du programme ou une personne morale, l’entreprise au sein de laquelle le logiciel a été développé. Plus précisément, une entreprise peut être considérée comme titulaire des droits d’auteur sur un logiciel dans trois cas de figure :

    1 - le logiciel est qualifié d’œuvre collective : dans cette hypothèse, la contribution de chacune des personnes ayant participé au développement du logiciel se fond dans un ensemble ne permettant pas de distinguer le travail de chacun. Ce logiciel peut être la propriété de l’entreprise qui est à l’initiative du développement, l’édite et sous le nom de laquelle il est distribué. L’entreprise sera donc investie des droits d’auteur ;

    2 - le logiciel est développé par un salarié de l’entreprise : l’article L.113-9 du CPI dispose que “les droits patrimoniaux sur les logiciels et leur documentation créés par un ou plusieurs employés dans l’exercice de leurs fonctions ou d’après les instructions de leurs employeurs sont dévolus à l’employeur qui est seul habilité à les exercer”, sauf dispositions statutaires ou stipulations contraires (prévues dans le contrat de travail). Toutefois, cette disposition ne concerne pas tous les salariés et exclut les tiers à l’entreprise, même intervenant pour son compte, tels que les stagiaires, intérimaires, consultants détachés par un prestataire informatique, consultants indépendants, etc. ;

    3 - le logiciel est cédé dans le cadre d’un accord de cession de droits d’auteur : dans cette hypothèse le logiciel a été développé par une ou plusieurs personnes qui cèdent les droits patrimoniaux à l’entreprise. Pour être valable, la cession doit remplir les conditions de fond et de forme spécifiques, prévues par la loi (article L.131-3 al.1 du CPI).

Enfin, l’auteur du logiciel détient sur celui-ci les droits de propriété intellectuelle comprenant les droits patrimoniaux (notamment le droit d’exploiter et de distribuer le logiciel, et d’en tirer des revenus) et le droit moral (droit à la citation et au respect de l’intégrité l’oeuvre). Le logiciel ne pourra donc être exploité ou utilisé par des tiers qu’avec l’accord de l'auteur. Toute utilisation non autorisée du logiciel (reproduction ou distribution sans l’autorisation de l'auteur) pourra être qualifiée de contrefaçon, en vertu des articles L.335-2 et suivants du CPI.


2. La décision Sociétés Orqual c/ Tridim et autres de la Cour de cassation

Dans cette affaire, un professeur en médecine et un informaticien s’étaient associés pour créer une structure en commun, la société Tridim. Cette société avait pour objet social la conception, la création, la réalisation, ainsi que la distribution de logiciels d’analyse médicale. Leur collaboration a ainsi permis le développement de deux logiciels, dénommés Tridim-Delaire 2008 et Céphalométrie Architecturale 2010.

Les deux associés ont ensuite décidé de se séparer, le professeur en médecine devenant gérant majoritaire de la société Tridim et l’informaticien créant deux nouvelles sociétés (Orqual et Orthalis), pour commercialiser des logiciels.

Un désaccord portant sur la titularité des droits d’auteur sur les deux logiciels développés pendant leur collaboration dans la société Tridim a conduit le gérant des sociétés Orqual et Orthalis à bloquer les codes d’accès à ces logiciels à la société Tridim. En réponse, la société Tridim a assigné ces deux sociétés afin de faire reconnaître qu’elle était le seul titulaire des droits d’auteur.

Déboutée en première instance, la société Tridim a interjeté appel du jugement. La Cour d’appel de Rennes, dans un arrêt du 28 mai 2013, a fait droit à ses demandes, considérant que les logiciels devaient être qualifiés d’œuvre collective, en ce que “leur développement est le fruit du travail de ses associés”. En conséquence, la société Tridim serait titulaire des droits d’auteur sur ces deux logiciels.

Contestant cette décision, les sociétés Orqual et Orthalis se sont pourvues en cassation. (2)

Dans un arrêt du 15 janvier 2015, la Cour de cassation a cassé l’arrêt d’appel, sur le fondement de l’article L.113-1 du CPI, rejetant l’analyse selon laquelle le développement des logiciels étant le fruit du travail des deux associés, la société Tridim en détenait les droits d’auteur. En effet, selon les juges, “une personne morale ne peut avoir la qualité d’auteur” et ce notamment au motif qu’en l’espèce les contributions des auteurs au développement des logiciels étaient de natures différentes (d’une part, développement de code pour l’informaticien, d’autre part, apport d’éléments “métier” pour le professeur en médecine) et ne se fondaient pas dans un ensemble permettant de qualifier ces œuvres de “collectives”.

Par ailleurs, bien que ceci n’ait pas été précisé par la Cour, il convient de souligner que la société Tridim ne pouvait ni se réclamer titulaire des droits d’auteur au motif que les logiciels avaient été développés par des salariés, puisque ce sont les deux gérants qui avaient élaboré ces logiciels, ni se prévaloir d’aucun accord de cession de droits sur les logiciels.

Enfin, les logiciels litigieux auraient pu être qualifiés d’oeuvre de collaboration, définie à l’article L.113-3 du CPI comme la propriété commune des co-auteurs (personnes physiques). Or, les co-auteurs doivent exercer leurs droits d’un commun accord, ce qui n’était pas le cas en l’espèce.

En conséquence, le gérant de la société Tridim, qui avait pourtant contribué à l’élaboration des deux logiciels litigieux, se voit interdire leur exploitation, faute d’accord contractuel avec son co-auteur.


     Cette décision illustre la nécessité pour les entreprises de réfléchir, pour chaque projet informatique, à la titularité des droits d’auteur et dès que nécessaire, de gérer les droits de propriété intellectuelle sur les développements, par la voie contractuelle.

 
                                                   * * * * * * * * * * *

(1) Voir Cass. civ., 17 octobre 2012, Codix c. Alix, et notre article “Les critères de l’originalité comme condition de la protection du logiciel par le droit d’auteur, rappelés par la Cour de cassation"

(2) Cass., 1e ch. civ., 15 janvier 2015, Sociétés Orqual c/ Tridim et autres

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015

Délit d’usurpation d’identité numérique, un nouveau fondement juridique pour lutter contre la cybercriminalité

L’usurpation d’identité numérique n’est pas un phénomène nouveau. Ce type d’escroquerie sur internet, visant à se faire passer pour un autre (entreprise, administration) pour accéder à des données ou des comptes bancaires et détourner des fonds, ou porter atteinte à la réputation d’une entreprise ou d’une personne physique s’est développé parallèlement à l’essor de l’internet. En ces périodes troublées, le détournement de comptes bancaires pour en soutirer les fonds, ou de comptes personnels sur les réseaux sociaux à des fins de propagande par exemple, est plus que jamais un phénomène d’actualité.

Avant l’entrée en vigueur de la loi LOPPSI II, adoptée le 14 mars 2011, la victime d’une usurpation d’identité sur internet ne pouvait poursuivre l’auteur de l’infraction que sur des fondements généraux du droit pénal, tels l’escroquerie, la prise du nom d’un tiers aux fins de commission d’une infraction pénale (ex. diffamation, escroquerie), l’atteinte à un traitement automatisé de données, l’atteinte à la vie privée et l’atteinte au droit à l’image.

La LOPPSI II de 2011, qui comprend un chapitre dédié à la lutte contre la cybercriminalité, a créé une nouvelle infraction spécifique : l’usurpation d’identité numérique. (1)

La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web. (2)

Toutefois, la collecte des preuves, et surtout, l’identification de l’auteur du délit reste un obstacle difficile à surmonter pour la victime souhaitant engager des poursuites.

Nous analysons ci-dessous les aspects spécifiques de la notion d’usurpation d’identité numérique puis les moyens de défense dont disposent les victimes.


1. La notion d’usurpation d’identité numérique

    1.1 La définition légale

L’usurpation d’identité est constituée quand elle porte sur l’identité même de la victime (nom, prénom, surnom, pseudonyme, identifiants électroniques) ou sur toute autre donnée de nature à l’identifier. Cette dernière expression permet de s’affranchir de la notion de données à caractère personnel, au sens de la loi Informatique et Libertés, et de rechercher tous autres éléments permettant une identification. Il est donc possible d’y inclure les adresses IP, les URL, les mots de passe, ainsi que des logos, images, voire même un avatar, tous ces éléments permettant de pointer vers une personne physique. Les juges seront amenés à interpréter et affiner cette notion et son périmètre.

L’usurpation d’identité “numérique”, telle que prévue à l’article 226-4-1 al. 2 du code pénal, est commise sur un réseau de communication au public en ligne, ce qui comprend notamment les courriers électroniques, les sites web, les messages publiés en ligne et les profils en ligne sur les réseaux sociaux (Facebook, Twitter). (3)

Le préjudice effectif ou éventuel s’analyse en un trouble de la tranquillité de la personne dont l’identité est usurpée ou celle d’un tiers, ou en une atteinte à son honneur ou à sa réputation.

L’auteur de l’infraction, personne physique, encourt un an d’emprisonnement et 15.000€ d’amende. La condamnation peut atteindre 75.000€ lorsque l’auteur de l’infraction est une personne morale.

    1.2 Usurpation d’identité numérique : phishing, faux sites web et faux profils

L’usurpation d’identité numérique peut porter préjudice à deux catégories de victimes :

    - la personne dont l’identité a été usurpée : l’auteur de l’infraction nuit à son image, à sa réputation, à sa marque ou trouble sa tranquillité ;
    - le tiers trompé : l’auteur de l’infraction induit l’internaute en erreur et lui soutire des informations et/ou de l’argent.

L’usurpation d’identité numérique est généralement commise de deux manières : par la technique du phishing (ou hameçonnage), ou par la création d’un faux site web ou d’un faux profil sur un service de réseau social.

Le phishing ou hameçonnage
Le cyber-escroc usurpe l’identité d’un tiers, généralement une entreprise (banque, opérateur téléphonique) ou une administration, en communiquant via un faux courrier électronique et/ou via un site web contrefait. L’escroc reproduit alors les identifiants visuels et graphiques de la marque, en vue d’obtenir de la part d’internautes trompés, des informations personnelles (identifiants, mots de passe ou coordonnées bancaires). Ces informations sont ensuite utilisées pour accéder à leurs comptes et effectuer des opérations sous l’identité de l’internaute (virement, souscription d’un crédit, abonnement). (4)

Par exemple, dans un jugement rendu le 21 septembre 2005, le Tribunal de grande instance de Paris a condamné un internaute pour contrefaçon de marque et contrefaçon d’un site web. Ce dernier avait imité la page d’enregistrement du service Microsoft MSN Messenger, et sa marque figurative (le papillon MSN), pour obtenir des données personnelles des personnes au moment de leur enregistrement sur le service. (5)

La création d’un faux site web ou d’un faux profil sous l’identité d’une tierce personne
L’usurpation d’identité numérique est également réalisée via la création d’un faux site web, reprenant à l’identique les composants d’un site “légitime” (charte graphique, reproduction de tout ou partie du contenu, etc.). Cette technique est souvent liée à une “campagne” de phishing.

La création d’un faux site web ou d’un faux profil a pour objet ou pour effet de porter atteinte à l’honneur ou à la réputation du titulaire du site ou du profil, personne physique ou morale.

    1.3 Le jugement du 18 décembre 2014

Le Tribunal de grande instance de Paris a rendu un premier jugement le 18 décembre 2014 condamnant l’auteur d’une usurpation d’identité numérique sur le fondement de l’article 226-4-1 du Code pénal.

Dans cette affaire, un informaticien avait créé un faux "site officiel" de la députée-maire Rachida Dati. Le faux site reprenait la photo de Rachida Dati ainsi que la charte graphique du site officiel et permettait aux internautes de publier des commentaires sous la forme de communiqués de presse, soi-disant rédigés par Rachida Dati, mais au contenu trompeur. L’internaute se trouvait en réalité sur le site officiel, très similaire au faux site. L’auteur de cette usurpation avait utilisé une faille de sécurité du site de la députée-maire, permettant d'y injecter du code indirect (opération dite "XSS" ou cross-site scripting).

Le directeur du Cabinet de Madame Dati a déposé plainte contre X pour usurpation d’identité sur support numérique et atteinte aux systèmes de traitement automatisé de données. L’enquête, menée par la BEFTI (Brigade d’enquête sur les fraudes aux technologies de l’information), a permis d’identifier l’auteur des agissements.

Dans un jugement du 18 décembre 2014, le TGI de Paris a retenu les deux chefs d’accusation à l’encontre du prévenu. Le Tribunal considère en effet, que l’identité de Madame Rachida Dati avait été numériquement usurpée, dans la mesure où “ces mentions [“je vous offre un communiqué…" ou “merci pour ce geste citoyen “], aux côtés du nom de Madame Rachida Dati et sur un site reprenant la photographie officielle de la député-maire, sa mise en page et sa charte graphique, ne peut que conduire l’internaute à opérer une confusion avec le site officiel de celle-ci“.

Par ailleurs, le Tribunal a retenu que l’auteur du faux site avait mis en place un dispositif permettant la mise en ligne par les internautes de faux communiqués au contenu sexiste et dégradant. Or, en sa qualité de modérateur du site, il avait la possibilité de fermer son site ou de désapprouver les termes des commentaires mis en ligne par les internautes.

Le prévenu a également été considéré coupable d’introduction frauduleuse de données dans un système de traitement de données, du fait d'avoir exploité la faille de sécurité du site officiel pour y introduire des instructions dans le but d’en modifier son comportement. L’ensemble de ces éléments entraînant la confusion avec le site officiel de la femme politique, l’internaute a été reconnu coupable d’usurpation d’identité numérique. Condamné à une amende de 3.000€, l’auteur du faux site a fait appel de la décision.

Le fournisseur d’hébergement a quant à lui été reconnu complice de cette infraction.


2. Les moyens de défense à la disposition des victimes

    2.1 Pour la personne usurpée

Face à ce type d’agissement, il est possible de prendre des mesures proactives, ou en cas de constatation d’une infraction, de prendre des mesures en réaction.

Les institutions fournissent des recommandations, proactives - concernant la sécurité des comptes personnels, et réactives - concernant les mesures de retrait de contenu ou de dépôt de plainte.

L’Hadopi (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet) fournit une série de recommandations aux fins d’éviter l’usurpation d’identité numérique. Ces recommandations, qui relèvent souvent du bon sens, consistent notamment, à utiliser des mots de passe complexes et de ne pas les communiquer à des tiers, activer les protections anti-phishing existant dans certains navigateurs web, éviter de se connecter sur des sites sensibles (sites de banques ou de vente en ligne) dans les lieux publics ou chez des tiers, ne pas répondre à des emails provenant de prétendus organismes de confiance et demandant de communiquer mots de passe ou autres coordonnées personnelles confidentielles, ne jamais cliquer sur les liens ni ouvrir les documents contenus dans ces messages, etc. (6)

Si des informations d’identification ont été publiées sans autorisation et/ou détournées, le responsable du site sur lequel ces informations ou données sont publiées doit être contacté pour en demander leur suppression. A cet effet, la CNIL (Commission nationale de l’informatique et des libertés) propose sur son site des modèles de courriers pour formuler cette demande. (7) A défaut de réponse, il conviendra alors de porter plainte en ligne via le site de la CNIL. La Commission aide ainsi à la suppression des informations détournées et à la récupération de l’accès à sa messagerie électronique. (8)

    2.2 Les moyens de preuve à l’appui d’une action en usurpation d’identité numérique

La difficulté à identifier l’auteur de l’infraction
Il existe encore peu de décisions judiciaires condamnant ces pratiques. La victime se heurte en effet à deux difficultés majeures : l’identification des auteurs de l’escroquerie, rendue difficile notamment à cause des procédés d’anonymisation ; et la localisation de l’auteur. Lorsqu’il est possible de remonter jusqu’à l’auteur, celui-ci est souvent situé à l’étranger, rendant les poursuites difficiles et la procédure coûteuse.

Comme mentionné ci-dessus, la victime d’une usurpation d’identité numérique peut adresser une plainte à la CNIL. Elle peut également porter plainte soit auprès des forces de l’ordre (police ou gendarmerie), soit directement auprès du procureur de la République.

Afin que l’affaire ne soit pas classée sans suite, il est fortement recommandé de fournir des éléments de preuve remontant jusqu’à l’auteur de l’infraction. A cette fin, la victime peut contacter le fournisseur d’accès à internet ou le fournisseur d’hébergement afin d’obtenir la communication des données permettant d’identifier l’auteur de l’infraction.

Les moyens de preuve
Afin de faciliter l’identification des auteurs d’une infraction, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), impose aux prestataires techniques, fournisseurs d’accès à internet et hébergeurs, la conservation des données “de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles (ces personnes) sont prestataires” (article 6 II). (9)

Ainsi, à la demande de l’autorité judiciaire, FAI et hébergeurs doivent transmettre toute information en leur possession, nécessaire à la constitution du dossier, dans le respect des délais de prescription. Il est à noter cependant que, suivant les catégories de données concernées, différents délais de prescription s’appliquent. Ainsi, les données de connexion ne seront conservées que pendant un an.

Par ailleurs, il peut être utile de faire établir un constat d’huissier afin de conserver la preuve des écrans, pages web et autres éléments à l’appui des poursuites.

Une infraction “autonome”
Depuis la LOPPSI II, le délit d’usurpation d’identité numérique est une infraction autonome. Ainsi, le seul fait de commettre un acte de phishing, même sans accès effectif aux comptes dont les données ont été récupérées, est suffisant pour être qualifié d’acte d’usurpation d’identité numérique. Il n’est donc pas obligatoire de rapporter la preuve selon laquelle l’usurpation a été commise en vue de la réalisation d’une infraction (telle que le détournement de fonds ou l’apologie du terrorisme par exemple).

Le législateur exige cependant un dol spécial : l’accusation doit rapporter la preuve que l’usurpateur a agi en vue de troubler la tranquillité de la personne dont l’identité est usurpée ou de celle d’un tiers, ou afin de porter atteinte à son honneur ou à sa considération.

Toutefois, le législateur n’impose pas de prouver une répétition des agissements fautifs, alors que la rédaction initiale de l’article 226-4-1 al. 2 dans le projet de loi LOPPSI II avait prévu une condition de réitération.

Une infraction “instantanée”
L’usurpation d’identité numérique étant un délit, la victime dispose d’un délai de prescription de trois ans pour agir. Le délit d’usurpation d’identité numérique est une infraction instantanée : le point de départ du délai de prescription se situe au jour où l’identité a été usurpée.

Cependant, comme mentionné plus haut, il convient d’agir sans attendre. En effet, selon les catégories de données concernées, différents délais de prescription peuvent avoir pour conséquence que certaines d’entre elles ne seront plus disponibles au moment de la constitution du dossier.

                                                        * * * * * * * * * * *

(1) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, et

(2) TGI Paris, 13e ch. corr., 18 décembre 2014, MP c/ X.

(3) art. 226-4-1 du code pénal : “Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.”

(4) Les auteurs de l’escroquerie utilisent régulièrement la technique du ”social engineering”, ou ingénierie sociale, méthode de manipulation abusant de la crédulité de personnes, afin qu’elles divulguent des données confidentielles.

(5) TGI Paris, 31e ch. corr., 21 septembre 2005, Microsoft Corporation c/ Robin B

(6) Fiche Hadopi relative aux moyens de sécurisation : Identité numérique//Usurpation d’identité publiée en décembre 2011, accessible à : http://www.hadopi.fr/sites/default/files/page/pdf/UsurpationIdentite.pdf

(7) Accessibles sur le site de la CNIL à : http://www.cnil.fr/vos-droits/les-courriers-pour-agir/

(8) Voir http://www.cnil.fr/vos-droits/plainte-en-ligne/ et http://www.cnil.fr/vos-droits/la-cnil-a-vos-cotes/

(9) Loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2015

Un référentiel de sécurité pour la qualification des prestataires de services en Cloud

L’un des avantages mis en avant pour la promotion des services en Cloud computing (ou informatique en nuage) est le fait que la mutualisation des ressources (au moins pour les clouds publics et hybrides) permet de réduire les coûts d’infrastructure. Cependant, le revers de la mutualisation est l’absence de flexibilité contractuelle, les contrats Cloud étant le plus souvent des contrats d’adhésion, non négociables par les clients.

Par ailleurs, la plupart des clients-utilisateurs ne procéderont jamais à un audit technique des services, ce qui peut aboutir à des situations très difficiles à surmonter en cas de défaillance technique (et/ou financière) d’un prestataire qui n’aurait pas sauvegardé les données clients par exemple.

Partant de ces constats, et du besoin d’assurer une plus grande confiance dans ces services, deux initiatives ont récemment été lancées autour de la sécurité du Cloud.

Ainsi, en juin 2014, dans le cadre du vaste projet « La Nouvelle France Industrielle », le gouvernement a validé le plan consacré au cloud computing. Parmi les 10 mesures proposées par Messieurs Klaba (OVH) et Breton (Atos), on retiendra ici la proposition de créer un label « Secure Cloud » pour les acteurs hébergeant leurs données sur le territoire européen. (1)

Dans la continuité de ce plan, l’Agence Nationale de la Sécurité des Systèmes d’Information (Anssi), vient de publier un projet de référentiel général de sécurité auquel les prestataires Cloud devront se conformer s’ils souhaitent obtenir une « qualification ». (2) Ce futur référentiel, ayant vocation à converger avec le label « Secure Cloud » mentionné ci-dessus, servira en premier lieu pour les besoins de l’Etat. Il pourra néanmoins être réexploité par les entreprises utilisatrices.


1. La qualification des prestataires Cloud

Le document de l’Anssi, intitulé « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage », concerne les prestataires fournisseurs de services Cloud - en mode SaaS, PaaS ou IaaS, et ce quelque soit le profil de leurs clients (administrations, collectivités territoriales, OIV, entreprises, etc.).

Ce projet de référentiel général de sécurité (RGS) définit les exigences de sécurité ainsi que les recommandations (ou bonnes pratiques) que les prestataires Cloud devront respecter pour obtenir la qualification. Ces exigences seront vérifiées dans le cadre d’un audit des lieux liés à la prestation visée par la qualification.

Ce document vise à donner aux clients, utilisateurs de services Cloud, des garanties quant à la compétence du prestataire, à la qualité de ses services et à la sécurité du traitement des données qui lui sont confiées. Le référentiel a ainsi pour objectif de favoriser l’émergence et la promotion d’offres de services sécurisées qualifiées et ainsi, garantir un niveau de confiance envers les prestataires qualifiés - même si le RGS est avant tout destiné aux administrations.


2. Le contenu du projet de référentiel

Les exigences et recommandations contenues dans le référentiel de l’Anssi portent notamment sur l’organisation interne du prestataire Cloud et ses relations avec ses clients et les tiers. On retiendra notamment :

- Le périmètre de qualification : le prestataire doit établir le périmètre qu’il souhaite qualifier, la liste des exigences y afférentes, le niveau de sécurité visé pour la qualification (élémentaire ou standard) et une analyse de risques couvrant le périmètre de la qualification ;

- Une politique générale de sécurité : le prestataire doit définir une politique de sécurité détaillant les différentes mesures mises en oeuvre, a minima, dans les domaines suivants : organisation de la sécurité ; sécurité des ressources humaines ; gestion des biens ; sécurité physique et environnementale ; contrôle d’accès et gestion des identités ; cryptologie ; sécurité des opérations ; acquisition, développement et maintenance ; relation avec les sous-traitants ; gestion des incidents et de la continuité des activités et enfin la conformité ;

- Les relations contractuelles avec les clients et les tiers : un contrat doit détailler les tâches et les responsabilités incombant tant au prestataire qu’au client.

Par ailleurs, le prestataire doit identifier l’ensemble des tiers (sous-traitants hébergeurs, éditeurs des logiciels, etc.) et des prestations externalisées participant à la fourniture du service Cloud. Ces tiers doivent fournir des garanties en matière de sécurité, au moins équivalentes à celles mises en oeuvre dans sa propre politique de sécurité. Ces exigences de sécurité doivent impérativement être contractualisées avec le prestataire (par exemple, dans un cahier des charges ou à travers des clauses de sécurité dans contrats conclus avec ces tiers). En outre, le prestataire doit pouvoir régulièrement auditer et contrôler les mesures de sécurité mises en place par les tiers.

- La gestion interne : le prestataire Cloud doit mettre en place une procédure de vérification des candidats à l’embauche, faire signer à tout nouveau salarié un engagement de confidentialité et les sensibiliser notamment à la sécurité informatique.

En outre, le prestataire doit réaliser un inventaire des équipements informatiques ainsi que des licences utilisées dans le cadre de la prestation Cloud.

Enfin, il doit notamment établir une politique de contrôle d’accès et de gestion des identités, généraliser le chiffrement des données stockées et de flux, mettre en oeuvre des mesures de détection, de prévention et de restauration pour se protéger des codes malveillants et ainsi élaborer des politiques et procédures de gestion des incidents de sécurité.

- Les exigences contractuelles et législatives : le contrat de service entre le prestataire Cloud et le client doit être soumis au droit français et la juridiction compétente doit être localisée en France. Le prestataire doit par ailleurs, non seulement s’engager à respecter les exigences légales, règlementaires et contractuelles en vigueur, mais également et effectuer une veille active de l’évolution de ces exigences.

- Une fourniture de services localisée en France : on retiendra enfin que le projet de référentiel exige que la fourniture des services soit localisée sur le territoire français. Il est précisé, en effet, que le stockage et le traitement des données doivent être opérés en France, et que les produits participant à la prestation (logiciels) et visibles par le client soient accessibles en français. Enfin, le support de premier niveau doit être fourni en français et localisé en France.


3. L’appel public à contributions et candidatures lancé par l’Anssi

L’Anssi a lancé un appel public à participation sur ce projet début août et invite les prestataires Cloud à lui adresser des commentaires et remarques sur ce projet de référentiel avant le 3 novembre 2014.

Après l’analyse des contributions reçues, l’Anssi lancera une phase dite « expérimentale », visant à tester la mise en oeuvre pratique du référentiel. A ce titre, l’Agence invite les sociétés prestataires de services Cloud souhaitant participer à cette phase expérimentale à la contacter.

Enfin, l’Anssi propose aux entreprises du Cloud souhaitant obtenir la qualification, de déposer leur candidature.

Pour en savoir plus : http://www.ssi.gouv.fr/fr/menu/actualites/appel-commentaires-referentiel-d-exigences-informatique-nuage.html


                                                       * * * * * * * * * * *

(1) Article « Redressement productif : le gouvernement valide les plans cybersécurité, cloud et souveraineté télécom », publié par zdnet.fr, le 5 juin 2014 (http://www.zdnet.fr/actualites/redressement-productif-le-gouvernement-valide-les-plans-cybersecurite-cloud-et-souverainete-telecom-39802045.htm)

(2) « Référentiel de qualification de prestataires de services sécurisés d’informatique en nuage (cloud computing) - référentiel d’exigences », Anssi, version du 30.07.2014.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2014

Le CSA bientôt régulateur des plateformes internet de contenus vidéo et musicaux ?

Dans son rapport annuel 2013, publié en avril dernier, le Conseil supérieur de l’audiovisuel a inscrit plusieurs propositions de modifications législatives et règlementaires. (1) Parmi ces propositions, il convient de souligner celles visant à prendre en compte l’évolution du secteur audiovisuel et à associer les acteurs de l’internet à la régulation audiovisuelle.

Selon le CSA, de nombreux opérateurs de services de communication électronique sont aujourd’hui de véritables médias de communication audiovisuelle. Il en va ainsi des plateformes d’échanges communautaires diffusant des contenus vidéo (tels YouTube, Dailymotion ou Netflix) et sonores (Spotify ou Deezer) ou des boutiques en ligne d’applications mobiles (iTunes ou AppStore par exemple). Or, il existe à l’heure actuelle un décalage certain entre les médias traditionnels (télévision et radio), soumis à la loi relative à la liberté de la communication de 1986, et ces nouveaux services accessibles en ligne.

Le CSA précise ainsi dans son rapport qu’il souhaite étendre le champ de ses compétences aux services en ligne diffusant des contenus audio et vidéo et propose, en conséquence, de modifier et compléter la loi de 1986 relative à la liberté de la communication. (2)

La notion de « services audiovisuels numériques » - Le Conseil propose d’intégrer à la définition légale des services audiovisuels, la notion de services audiovisuels numériques, à savoir « les services de communication au public par voie électronique mettant à disposition du public ou d’une catégorie de public des contenus audiovisuels ou sonores ».

Le contrôle du respect des règles et des principes moraux - Le CSA souhaite veiller au respect, par les services audiovisuels numériques, des principes moraux qu’il fait déjà appliquer aux services audiovisuels traditionnels (télévision et radio). Il s’agit de la protection de l’enfance et de l’adolescence, de la dignité de la personne humaine et de l’interdiction de l’incitation à la haine ou à la violence pour des raisons de race, de sexe, de moeurs, de religion ou de nationalité.

Pour ce faire, le Conseil envisage d’élaborer des règles auxquelles seront assujettis les éditeurs des services audiovisuels numériques ; règles dont le non-respect serait sanctionné par le CSA. En effet, ce dernier souhaite avoir la possibilité de prononcer à l’encontre des éditeurs fautifs, la suspension temporaire du service en cause ou une sanction pécuniaire, par exemple.

La prise d’engagements en échange de contreparties - Le Conseil propose de faire signer aux éditeurs de services audiovisuels numériques des conventions définissant des engagements, sur la base du volontariat. En contrepartie de ces engagements, les éditeurs de ces plateformes en ligne pourraient bénéficier d’un certain nombre d’avantages et d’un label. L’institution de ce nouveau régime de conventionnement volontaire serait inscrit dans la loi de 1986.

      - Les engagements : le CSA proposerait aux éditeurs des services audiovisuels numériques de faire leur choix parmi des engagements qu’il aura définis. Ces engagements pourraient concerner (i) « des obligations complémentaires aux règles fixées par le Conseil en matière de protection de l’enfance et de l’adolescence, de respect de la dignité de la personne humaine et de l’interdiction de l’incitation à la haine ou à la violence » ou (ii) « la déontologie des contenus, le pluralisme des courants sociaux culturels, la qualité et la variété des contenus, l’image de la femme, la diversité, l’exposition de la création européenne et d’expression originale française, la contribution au financement de la création, les tarifs sociaux, la gratuité ».

      - Les avantages commerciaux : dans son rapport, le CSA propose en contrepartie de la prise  d’engagements « l’accès du service aux offres des distributeurs dans des conditions raisonnables, équitables et non discriminatoires (ex: Orange, Free, etc.); la reprise obligatoire dans les outils de référencement de tout distributeur de services audiovisuels numériques ; la signalétique spécifique dans l’hypothèse où un mécanisme de signalisation serait mis en œuvre en accord avec les moteurs de recherche ; l’accès facilité aux œuvres audiovisuelles et cinématographiques ; la priorité d’accès aux soutiens publics alloués par les organismes sectoriels ou transverses dans des conditions définies par chacun des gestionnaires d’aides ».

    - Un label « site de confiance » : le Conseil envisage de délivrer un label aux éditeurs de sites ayant pris des engagements complémentaires en matière de protection de l’enfance. Ce label permettrait aux internautes d’identifier plus facilement ces éditeurs. En outre, le Conseil émet le souhait que les outils de contrôle parental, proposés aux abonnés par les FAI, soient en mesure de reconnaître ces labels pour filtrer les sites qui n'en possèdent pas.

Une procédure de règlement des différends - La loi de 1986 donne au Conseil une mission de règlement des différends qui s’applique aux litiges relatifs à la distribution de services de radio, de télévision ou de médias audiovisuels à la demande (SMAD). Le CSA souhaite soumettre les services audiovisuels numériques à cette procédure. Le Conseil pourrait ainsi être saisi par un éditeur, un distributeur de services, ou par un prestataire auquel ces personnes recourent, de « tout différend relatif à la reprise ou au référencement d’un service audiovisuel numérique (…), lorsque ce différend porte sur les conditions de la mise à disposition du public ou du référencement du service ou sur les relations contractuelles entre un éditeur et un distributeur de services audiovisuels numériques ».


   Ces propositions suscitent plusieurs remarques.

Les sites web, qu’il s’agisse de sites de commerce électronique, de services, d’information, de contenus participatifs, diffusant ou non des contenus audio et vidéo, sont actuellement soumis à la règlementation applicable au domaine du numérique (notamment la loi pour la confiance dans l’économie numérique, la règlementation applicable à l’édition, etc.). Ces sites n’opèrent donc pas dans une “zone de non-droit”.

Cependant, face à la convergence des médias (télévision/télévision connectée, radio/web radio etc.), on peut effectivement s’étonner du fait qu’une video ou un contenu audio restent soumis à des règlementations différentes suivant leur mode de diffusion : voie hertzienne ou réseau internet. Hormis des considérations d’ordre politique ou structurelle, il semble logique de traiter ces contenus, non plus par le biais du média diffuseur (TV-radio ou internet), mais par la catégorie même dont ces contenus relèvent (audio-video ou écrit).

   Le CSA souhaite profiter des travaux portant sur le projet de loi « Création » pour faire adopter ces différentes mesures. Pour mémoire, cette future loi doit transférer au CSA les missions et pouvoirs dévolus à la Hadopi. Initialement, ce projet de loi devait être présenté en Conseil des ministres avant l’été 2014. Toutefois, l’examen du projet de la loi vient d’être renvoyé à 2015. (3)

                                                                 * * * * * * * * * * *

(1) Rapport annuel 2013 du CSA, accessible à : http://www.csa.fr/Espace-Presse/Communiques-de-presse/Le-Conseil-superieur-de-l-audiovisuel-publie-son-rapport-annuel-2013

(2) Loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.

(3) « L’examen de la loi création d’Aurélie Filippetti renvoyé à 2015 », publié sur lemonde.fr, le 4 juin 2014.


Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014