Les plateformes d’affiliation publicitaire soumises à la loi Sapin

L'achat d'espace publicitaire est un contrat conclu entre un annonceur et un intermédiaire (agence médias), déterminant les conditions dans lesquelles l’annonceur confie à l’agence la mission d'acheter auprès de tiers diffuseurs (supports ou leurs régies), les espaces sur lesquels l'annonceur souhaite diffuser la publicité pour ses produits ou services.

Ce contrat est régi par la loi du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques (la “loi Sapin”).(1)

L’activité d’achat d’espace a cependant beaucoup évolué depuis le vote de la loi, notamment avec l’avènement de la publicité en ligne. La question se pose de savoir si toutes les nouvelles activités liées à la publicité sur internet, notamment l’activité des plateformes d’affiliation, relèvent ou non de la loi Sapin.

Un arrêt de la Cour d’appel de Paris, rendu le 17 avril 2015, vient de confirmer l’application de la loi Sapin à une plateforme d’affiliation. (2)

Nous rappelons ci-dessous les règles applicables à l’achat d’espace publicitaire, puis, dans un deuxième temps, examinons l’application de ces règles à l’activité des plateformes d’affiliation.


1. L’achat d’espace publicitaire et la loi Sapin

    1.1 Définitions et champ d’application 

La loi Sapin est applicable à tout achat d'espace publicitaire par un intermédiaire pour le compte d’un annonceur, dans un média, quel que soit le support : physique (presse, affichage public, prospectus, etc.), audiovisuel (radio, TV, cinéma), numérique (internet), et quel que soit le mode de commercialisation de l’espace de diffusion de la publicité.

En vertu de la loi Sapin, tout intermédiaire qui achète de l’espace publicitaire sur l’ordre d’un annonceur agit en qualité de mandataire de ce dernier.

- Contrat de mandat écrit obligatoire
L’intermédiaire agit au nom et pour le compte de l’annonceur, dans le cadre d'un contrat de mandat écrit. (art. 20 loi Sapin)

Ainsi, l’obligation essentielle de l’agence média est d’exécuter sa mission en accomplissant son rôle d’intermédiaire, par la transmission des ordres de publicité aux tiers diffuseurs et par l’obligation d’en rendre compte à son client (annonceur).

La loi prévoit que le contrat doit détailler les diverses prestations effectuées dans le cadre du mandat et le montant de leur rémunération, le cas échéant en les distinguant des autres prestations pouvant être réalisées dans le cadre de la relation contractuelle et des rémunérations correspondantes. (art. 20 al.2 loi Sapin)

- Reddition de la mission
Le tiers diffuseur doit se conformer aux instructions de l’intermédiaire et exécuter l’ordre de publicité, en mettant à la disposition de l’annonceur l’espace publicitaire sur lequel porte l’ordre de publicité.

L'agence médias, intermédiaire-mandataire, doit rendre compte de sa mission à l’annonceur, en l’informant notamment du déroulement de sa mission (y compris des négociations ou de  l'évolution des tarifs par exemple).

L'agence est également tenue à une reddition des comptes, conformément à l’article 1993 du code civil.

    1.2 Conditions de paiement de l’intermédiaire et des supports
 
- Rémunération de l’intermédiaire (agence médias)
Conformément aux dispositions du code civil régissant le contrat de mandat (art. 1984 et suiv.), l’annonceur (le mandant) est tenu de régler la rémunération convenue à l’intermédiaire (le mandataire), et de lui rembourser les avances et frais qui auraient été engagés pour l’exécution du mandat.

Les conditions de rémunération des autres prestations, hors achat d'espace, doivent être mentionnées séparément dans le contrat.

Outre le mandat, la seconde règle essentielle imposée par la loi Sapin, est l’interdiction pour l’intermédiaire, de recevoir d'autre rémunération que celle que lui verse son client, l’annonceur. En tant qu'acheteur d'espace, l’agence même lorsqu'elle agit en qualité de conseil en plan média et préconisation de support, ne peut percevoir de rémunération, rétrocession, ni avantage quelconque des régies et tiers diffuseurs. (art. 21 et 22 loi Sapin)

- Rémunération des tiers diffuseurs (supports ou régies)
Les tiers diffuseurs doivent adresser les factures d'achat d'espaces directement à l'annonceur, l'intermédiaire pouvant éventuellement en recevoir une copie. (art. 20 al.3 loi Sapin)

Cette disposition est applicable y compris lorsque le contrat prévoit le paiement des espaces par l’agence intermédiaire. En effet, comme le précise la circulaire du 19 septembre 1994, complétant la loi Sapin, l'annonceur a le choix entre payer directement le tiers diffuseur ou faire transiter le paiement par son mandataire (l’agence médias).

En cas de paiement du tiers diffuseur par l’intermédiaire, la circulaire de 1994 prévoit que les sommes destinées à payer les tiers doivent être inscrites par l’agence médias sur un compte de tiers au nom de l’annonceur, ces sommes n’entrant pas dans le chiffre d’affaires de l’agence médias. Le contrat peut cependant prévoir l’envoi par l’agence médias à l’annonceur d’un récapitulatif des sommes dues aux différents supports et du montant de ses propres honoraires.

    1.3 Sanctions applicables en cas de violation des dispositions légales
 
Le manquement aux obligations légales est sévèrement sanctionné en vertu des dispositions de l’article 25 de la loi Sapin, ce texte étant considéré comme étant d’ordre public.

L’absence de contrat de mandat écrit est passible d’une amende maximum de 30.000€ ; l’absence de communication de la facture par le tiers diffuseur directement à l’annonceur est puni d’une amende maximum de 75.000€.


2. L’évolution de l’activité d’achat d’espace publicitaire en ligne : les plateformes d’affiliation

L’activité d’achat d’espace publicitaire a beaucoup évolué ces dernières années. Ainsi, à côté de l’achat d’espace “classique”, et de la relation entre les intervenants traditionnels (annonceurs / intermédiaires-agences médias / supports-régies), sont apparus de nouveaux intervenants entre les annonceurs et les supports, remettant en cause l’application de la loi Sapin. Parmi ces nouveaux intermédiaires figurent les plateformes d’affiliation.

    2.1 Les plateformes d’affiliation : définition
 
Les exploitants des plateformes d’affiliation agissent en tant qu’intermédiaires entre les annonceurs et les supports (affiliés). Un contrat est ainsi conclu entre la plateforme et les annonceurs. Un autre contrat est conclu entre la plateforme et les affiliés.

Toutefois, la plateforme d’affiliation exerce-t-elle effectivement une activité d’achat d’espace publicitaire pour le compte de l’annonceur, régie par la loi Sapin ? En effet, ces plateformes fonctionnent généralement de manière automatisée, sachant d’une part que la sélection des affiliés est souvent réalisée directement par l’annonceur, d’autre part que les conditions financières des affiliés sont souvent fixées par l’annonceur (calcul sur le taux d’affichage, de clics, du nombre d’inscriptions, etc. - ou facturation au CPC, CPM, CPA, CPL selon les cas), et non par les affiliés/supports. Les affiliés ne connaîtront le prix auquel leurs espaces sont vendus que lorsqu’ils consulteront l’outil de tracking mis à leur disposition par la plateforme d’affiliation ou recevront un appel à facture de la plateforme.

Si l’on considère que la loi Sapin ne s’applique pas aux plateformes d’affiliation, celles-ci ne seraient alors pas soumises aux obligations relatives au mandat et aux conditions de facturation, telles que rappelé ci-dessus.

Or, un arrêt de la cour d’appel de Paris vient de confirmer l’application de la loi Sapin à l’activité d’affiliation.

    2.2 L’arrêt de la cour d’appel de Paris du 17 avril 2015
 
Cette affaire opposait la société Assurland.com (l’annonceur) à la société Public-Idées (la plateforme d’affiliation). Le litige portait sur la contestation par Assurland.com des sommes facturées par la plateforme après avoir modifié sa grille tarifaire.

Les juges rappellent que la société Public-Idées diffuse des campagnes publicitaires sur internet au travers de ses affiliés. La société Public-Idées et Assurland.com ont conclu un contrat de service “par lequel la première met à la disposition de la seconde son réseau d’affiliés, en vue de lui permettre d’augmenter sa visibilité parmi les internautes, et en définissant les conditions dans lesquelles la société Assurland peut accéder aux services de la société Public-Idées.”

Le contrat de service de Public-Idées comprenait des conditions tarifaires, la grille tarifaire ayant été modifiée en novembre 2010, de manière rétroactive prenant effet en juillet 2009. En février 2011, des divergences sont apparues entre les parties sur l’interprétation des conditions de tarification. La société Public-Idées a assigné Assurland.com devant le tribunal de commerce en paiement notamment, des sommes contestées. Par jugement du 19 mars 2013, le tribunal a prononcé la résiliation du contrat aux torts exclusifs de la société Assurland.com et l’a condamnée à payer les sommes dues à la société Public-Idées.

En appel, Assurland.com a notamment soulevé le fait que les factures n’étaient pas dues en l’absence de mandat écrit avec la société Public-Idées, tel que requis par la loi Sapin.

Les juges analysent l’activité de la plateforme Public-Idées comme “un achat d’espace publicitaire par la société Assurland auprès des affiliés ; par l’intermédiaire de la société Public-Idées exploitante de la plateforme regroupant les affiliés”.

Cette activité est couverte par les dispositions de l’article 20 de la loi Sapin qui impose un mandat écrit entre l’annonceur et l’intermédiaire, fixant les conditions de rémunération du mandataire (la plateforme). Dans la mesure où les conditions de rémunération étaient prévues dans le contrat de service de Public-Idées, les juges estiment que “le contrat existant entre les sociétés Assurland et Public-Idées remplit les conditions imposées par la loi Sapin (…), de sorte que la demande de nullité de la société Assurland doit être écartée.”

La cour a néanmoins décidé que le contrat devait être résilié aux torts exclusifs de la société Public-Idées dans la mesure où celle-ci n’a pas correctement appliqué la tarification contractuelle.


   En conséquence, il convient de considérer que l’opération consistant en l’achat d’espace publicitaire par un annonceur auprès d’affiliés par l’intermédiaire d’une plateforme d’affiliation est régie par les dispositions de la loi Sapin, imposant non seulement un mandat écrit entre l’annonceur et l’intermédiaire, mais également des modalités de paiement, telles que prévues aux articles 21 et 22 de la loi.

                                                                       * * * * * * * * * * *

(1) Loi n°93-122 du 29 janvier 1993 relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques, et plus particulièrement le chapitre II “Prestations de publicité” ; notamment complété par la circulaire du 19 septembre 1994 relative à la transparence et à la non-discrimination dans la publicité.

(2) CA Paris, pôle 5 ch.11, 17 avril 2015, Assurland.com c. Public-Idées


 
Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2015

Le cabinet Deleporte Wentz Avocat a le plaisir d’annoncer l’ouverture d’un bureau à Singapour

L’activité de Deleporte Wentz Avocat, cabinet fondé à Paris en 2007, est focalisée autour du droit des technologies - logiciel, internet, e-commerce, données personnelles, médias numériques, propriété intellectuelle. Nous conseillons les entreprises, des start-ups aux multinationales, dans le cadre de leurs projets IT, en droit français et en droits européens à travers notre réseau de cabinets indépendants situés dans plusieurs pays d’Europe.

L’expansion vers l’Asie du Sud-Est nous permet d’accompagner nos clients dans leur développement à l’international vers cette partie du monde, mais également d’accompagner les sociétés implantées en Asie qui souhaitent étendre leurs activités vers la France et l’Europe.

Singapour, cité-état de 5,5 millions d’habitants, située à la pointe sud de la péninsule malaisienne, est le centre économique de l’Asie du Sud-Est et de l’ASEAN, et une place financière, économique et technologique de 1er rang.

Singapour est par ailleurs une plateforme pour les entreprises souhaitant étendre leurs activités commerciales dans la région, vers des zones très dynamiques comme l’Indonésie, la Malaisie, la Thaïlande, le Vietnam, ou les Philippines.

A cette fin, Deleporte Wentz Avocat développe un réseau de cabinets d’avocats dans ces pays, capables de prendre le relais en droit local (notamment en droit des sociétés et droit commercial).

Pour toute question ou projet IT, n’hésitez pas à nous contacter.

Vers un renforcement de la réglementation en matière de protection des données personnelles aux Etats-Unis ?

Les Etats-Unis disposent de plusieurs lois sectorielles en matière de protection des données personnelles, mais pas de loi globale, équivalente à la directive européenne de 1995 ou à la loi informatique et libertés en France. Ce constat est valable tant au niveau fédéral qu’au niveau des états fédérés.

Ainsi, au fil des ans, le législateur fédéral a adopté plusieurs lois sur la protection des données personnelles telles que le Privacy Act (1974), concernant les traitements de données effectués par le gouvernement fédéral, et pour le secteur privé le Health Insurance Portability and Accountability Act (1996), le Children’s Online Privacy Protection Act (COPPA) (1998) et le Gramm-Leach Bliley Act (1999), visant respectivement la protection des données de santé, des mineurs et financières.

Par ailleurs, de nombreux états fédérés ont adopté, ou sont sur le point d’adopter, des lois imposant aux entreprises de notifier toute violation de données personnelles aux personnes concernées (consommateurs, internautes, abonnés), ou visant à assurer un niveau élevé de protection de la vie privée des élèves.

Face à la pression grandissante de la part de groupes de citoyens et consommateurs américains, notamment suite aux révélations d'Edward Snowden sur les pratiques mises en œuvre par la National Security Agency (NSA), mais également de la part de la Commission européenne, les uns et les autres exigeant un niveau global de protection de la vie privée plus élevé, le Congrès américain a récemment annoncé réfléchir sur une réforme de vaste ampleur visant à établir des normes fédérales en matière de protection de la vie privée. (1)

Nous donnons ci-après un aperçu des principales réglementations et des réformes législatives en cours au niveau des états fédérés, avant d'aborder les récentes initiatives de réglementation au niveau fédéral.


1. Des avancées significatives au niveau des états fédérés

Deux domaines ressortent principalement des législations des états fédérés : l'obligation de notification des violations de données personnelles et les règles relatives au respect de la vie privée des élèves.

    1.1  L’obligation de notification des violations de données personnelles

On entend généralement par violation de données personnelles toute violation de la sécurité (telle qu'une atteinte à un STAD) entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

Depuis le début de l’année 2015, plusieurs états, dont le Wyoming et l'état de Washington, ont introduit des projets de loi ou des amendements à des lois existantes relatifs à l'obligation de notifier les violations des données personnelles. Hormis les états du Wyoming et de Washington, il en va notamment des états du Montana, de l’Alabama et du Connecticut. Ces différents textes, qui doivent entrer en vigueur dans les prochains mois, listent pour la plupart les catégories de données personnelles concernées par l’obligation de notification, les destinataires des notifications, les informations à fournir et le délai dans lequel cette notification doit avoir lieu. (2)

Les informations personnelles concernées par cette obligation de notification sont notamment les données de nature médicale, les données biométriques, l’état civil, le régime matrimonial, les numéros de sécurité sociale, de permis de conduire, etc.

Les destinataires de ces notifications sont les personnes dont les données ont été compromises, mais également, selon les états, le Bureau de protection des consommateurs du Procureur général lorsque la violation concerne plus de cinq cents résidents, ou encore le Commissaire aux assurances si l’organisme concerné est une compagnie d’assurance.

Ces textes législatifs enjoignent aux entreprises qu’elles fournissent une information claire et compréhensible aux destinataires de la notification. Les mentions obligatoires à communiquer comprennent notamment : une description générale de la violation, la date approximative de l’incident, les actions prises pour prévenir les violations à venir et des conseils sur les bonnes pratiques à adopter par les citoyens pour éviter la violation de leurs données. Dès lors que la notification est faite auprès du Procureur général, celle-ci doit inclure une copie de la notification adressée aux personnes concernées, la date de cette notification ainsi qu’une indication du nombre de résidents de l’état affectés par la violation de données.

Enfin, certains textes mentionnent le délai maximal dans lequel la notification doit être envoyée. Ce délai varie entre 30 et 45 jours, à compter de la découverte de l’incident.

    1.2  La protection de la vie privée des élèves

Les lois sur la vie privée des élèves, de l’école maternelle au lycée, se multiplient. On compte aujourd’hui huit états ayant adopté des lois sur la protection de la vie privée des élèves, et plus d’une centaine de projets de lois sont envisagés par 42 états. A ce titre, sept états (Californie, Caroline du Nord, Colorado, Idaho, Kentucky, Louisiane, et l'état de New-York) ont adopté en 2014 de nouveaux textes (lois ou amendements à des lois existantes) relatifs à la vie privée des écoliers.

Ainsi, les états de l’Idaho et de New-York ont promulgué des lois interdisant aux entreprises d’utiliser les données personnelles des élèves à des fins marketing, publicitaire et commerciale. Le Kentucky a voté une loi proscrivant aux fournisseurs de services de Cloud computing le traitement des données personnelles des élèves à des fins commerciales. (3)

La Californie a adopté le "Student Online Personal Information Protection Act" (SOPIPA). Cette loi, qui doit entrer en vigueur le 1er janvier 2016, interdit aux opérateurs sur internet de vendre et d’utiliser les données des élèves pour réaliser de la publicité ciblée via des sites internet et des applications mobiles. La Californie prévoit également de modifier les dispositions concernant la vie privée dans son "Business and Professions Code". Cet amendement interdira de manière générale l’utilisation des données des étudiants à des fins autres que la finalité initiale, à savoir, les buts inhérents à l’éducation, de l’école maternelle au lycée ("K-12 school purposes").

Enfin, en Géorgie, le "Student Data Privacy, Accessibility and Transparency Act", adopté le 6 mai 2015, crée un droit d’accès, pour les parents d’élèves qui en font la demande, aux dossiers scolaires de leurs enfants et aux données personnelles qu’ils contiennent. En pratique, les parents d’élèves ont désormais la possibilité de consulter ces dossiers et de modifier et/ou de supprimer les informations personnelles concernant leurs enfants.


2. Les prémices d’une harmonisation législative au niveau fédéral

Lors d'une allocution le 12 janvier 2015, le Président Obama a déclaré vouloir travailler avec le Congrès à l'élaboration de nouvelles lois visant à mieux encadrer la protection de la vie privée des Américains. Suite à cette déclaration les premières propositions de lois ont été élaborées dans trois domaines en particulier : notification des violations de données personnelles, protection de la vie privée des consommateurs et protection de la vie privée des élèves.

    2.1  La notification des violations de données personnelles

Une première proposition de loi a pour objectif d’imposer aux entreprises de notifier à leurs clients, dans un délai maximal de 30 jours, toute faille de sécurité ayant un impact sur leurs données. (4) Ce texte ne concernerait que les entreprises stockant des données sensibles personnelles ou financières de plus de 10.000 clients. Ces entreprises devront notifier les cas de violations de données aux personnes concernées. Au sens de ce texte, les "données sensibles" désignent toute information ou tout groupe d’informations sous forme électronique et incluant une adresse postale, un numéro de sécurité sociale non tronqué, un numéro de permis de conduire, un mot de passe, des données biométriques, etc.

L'objectif de cette initiative est d’harmoniser la réglementation au niveau fédéral. En effet, on compte actuellement 47 lois réglementant la question de la violation des données personnelles aux Etats-Unis. Ainsi par exemple, en fonction de l’état dans lequel il réside, un citoyen américain peut être averti ou non en cas de piratage de ses données.

    2.2  Le renforcement de la protection de la vie privée des consommateurs

La seconde proposition de loi fédérale concerne les droits des consommateurs. (5) Cette proposition devrait permettre aux consommateurs américains de connaître l’étendue du traitement de leurs données envisagé par le professionnel (conditions de collecte, d’utilisation, de partage, et de revente éventuelles des données).

Le projet de texte propose de fournir un corpus unique de normes fédérales remplaçant le patchwork des lois existantes. Il étendrait la protection actuellement offerte par les états et proposerait l'adhésion au programme "Safe Harbor" aux entreprises adoptant un code de conduite approuvé par la Federal Trade Commission (FTC) et conforme au texte de loi.

Pour rappel, le Safe Harbor désigne un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines (US Department of Commerce) et la Commission européenne en 2000, sur la base de la directive européenne de 1995 sur la protection des données personnelles. Le système du Safe Harbor fonctionne sur le volontariat et est déclaratif pour les entreprises souhaitant y adhérer. Les principes du Safe Harbor permettent d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis ayant adhéré au programme. (6)

    2.3  Le souci de garantir la protection des données personnelles des élèves

Enfin, la troisième série de textes fédéraux est spécifiquement consacrée aux élèves. Les législateurs réfléchissent au rôle des technologies dans le milieu scolaire. En effet la multiplication des données et de leurs modes de communication (notamment via les outils de collaboration entre élèves ou les outils multimédias) impose de définir des règles de sécurité et de protection de la vie privée. (7)

La première proposition vise à créer de nouvelles obligations liées à la collecte et au traitement des données des élèves. Ce texte interdirait notamment aux entreprises proposant des logiciels éducatifs de revendre les données qu'elles collectent auprès des élèves, ou d'utiliser ces données pour des publicités ciblées.

Le second texte, un amendement au Family Educational Rights and Privacy Act (FERPA - 1974), a pour objectif de créer un droit d’accès pour les parents d’élèves aux dossiers scolaires de leurs enfants. Les parents pourront ainsi consulter et corriger ou supprimer les données personnelles de leurs enfants, détenues par les écoles.


    Ces initiatives diverses, tant au niveau des états fédérés qu’au niveau fédéral, traduisent la volonté des Etats-Unis de pallier les lacunes de la réglementation en vigueur en matière de protection des données personnelles. Toutefois, ces propositions de lois et amendements se heurtent à une forte opposition de la part d'une partie des membres du Congrès. En outre, on constate que l'approche américaine reste orientée sur des textes spécifiques et/ou sectoriels et que les Etats-Unis ne se dirigent pas vers une grande loi fédérale de protection des données personnelles.

Par ailleurs, depuis l’affaire Snowden (ou "Prism"), le programme Safe Harbor est remis en cause notamment par les institutions européennes. Ainsi, en novembre 2013, la Commission européenne a publié 13 recommandations visant à rétablir la confiance dans les transferts de données entre l’Union européenne et les Etats-Unis. Face à l’inertie des Etats-Unis, le Parlement européen a émis, en mars 2014, une résolution réclamant la suspension immédiate du programme Safe Harbor. (8) Si le programme Safe Harbor devait réellement être dénoncé, cela aurait un impact significatif sur le commerce transatlantique, obligeant à revenir à un système d'autorisation préalable à l'exportation de données personnelles depuis l'Europe vers les Etats-Unis. L'impact serait particulièrement sensible pour les entreprises américaines exploitant des services en cloud computing vers l'Europe ou pour les services de réseaux sociaux.


                                                             * * * * * * * * * * * *

Betty SFEZ – Avocat
en collaboration avec Inès NUNGUET

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2015


(1) L'une des questions posées cependant est de déterminer si les questions relatives à la réglementation de la protection de la vie privée relèvent du pouvoir fédéral ou du domaine législatif des états fédérés, ce qui explique en partie pourquoi les Etats-Unis ne disposent pas encore de loi "globale" sur le sujet.

 (2) Voir notamment : Wyoming: Enrolled Act no. 20 and 22, Senate – 63rd legislature of the state of Wyoming 2015 General Session ; Washington : Senate Bill 5047 State of Washington 64th Legislature, Prefiled 01/07/15. Act relating to enhancing the protection of consumer financial information.

(3) Voir notamment : Idaho : Idaho Code §33-133, Title 33 Education; Chapter 1 State Board of Education - 33-133, added 2014, ch. 281, sec. 3, p. 711 ; Kentucky : Ky. Rev. Stat. §365.734, Prohibited uses of personally identifiable student information by cloud computing service provider -- Administrative regulations - Created 2014 Ky. Acts ch. 84, sec. 2, effective July 15, 2014.

(4) Voir notamment : Bill of April 30, 2015 ("Consumer Privacy Protection Act of 2015"), introduced by Senator Patrick Leahy, introducing new data breach legislation.

(5) Consumer Privacy Bill of Rights Act of 2015.

(6) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ; Le programme Safe Harbor est décrit sur le site du US Department of Commerce à http://export.gov/safeharbor/

(7) Voir : Family Educational Rights and Privacy Act (FERPA) et Student Digital Privacy and Parental Act of 2015 (Bill of April 29, 2015).

(8) Communiqué intitulé "La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les Etats-Unis", du 27 novembre 2013 ; Résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures.

Cybersécurité et OIV : les nouvelles exigences réglementaires européennes et françaises

Les institutions européennes et le gouvernement français ont élaboré leurs stratégies de lutte contre la cybercriminalité, et adopté ou sont en voie d’adoption de plusieurs textes législatifs et règlementaires.

Au niveau européen, la Commission a adopté, en février 2013, une proposition de directive visant à assurer un niveau élevé commun de sécurité des réseaux et de l’information dans l’Union. Ce texte précise notamment les obligations à la charge des “opérateurs d’infrastructure essentielle”. La proposition a été modifiée et adoptée en première lecture par le Parlement européen, le 13 février 2014. Ce texte est depuis en cours d’examen devant le Conseil. (1)

Les exigences issues du texte européen sont en partie similaires à celles imposées aux opérateurs d’importance vitale (OIV) par la loi de programmation militaire française 2014-2019 du 18 décembre 2013 (LPM), dont les premiers décrets d’application viennent d’être publiés. (2)

Nous proposons ci-dessous une synthèse des principales dispositions européennes, en cours de discussion,et françaises, en vigueur.


1. Les opérateurs concernés

- Le projet de directive européenne, dans sa version initiale proposée par la Commission, imposait de nouvelles obligations aux administrations publiques et aux acteurs du marché.

Les acteurs du marché sont définis et divisés en deux catégories :

• les “prestataires de services de la société de l’information qui permettent la fourniture d’autres services de la société d’information”, à savoir les : plateformes de e-commerce, réseaux sociaux, moteurs de recherches, services Cloud, etc. ;

• les “opérateurs d’infrastructure essentielle au maintien de fonctions économiques et sociétales vitales”, dont la perturbation ou la destruction aurait une incidence considérable dans un État membre en conséquence du non-maintien de ces fonctions. Ces opérateurs exercent leurs activités dans les domaines de l’énergie, des transports, des services bancaires, des infrastructures de marchés financiers, des points d'échange internet, de la chaîne d'approvisionnement alimentaire et de la santé.

Toutefois, ces dispositions ont été amendées par le Parlement, qui ne retiendra que les acteurs du marché qualifiés d’opérateurs d’infrastructure essentielle, dont l’effectif excède 10 personnes et dont le chiffre d’affaires annuel est supérieur à 2 millions d’euros. Les micro et petites entreprises sont donc exclues, sauf exception.

Aujourd’hui, de nombreuses questions concernant le champ d’application de la directive sont soulevées devant le Conseil. Les ministres ont émis le souhait d’ajouter une liste des secteurs d’infrastructures critiques communs et de définir des critères afin de déterminer les opérateurs qui en font partie, et décider si et dans quelle mesure les “services de la société d’information” et les “facilitateurs de services internet” devraient également être inclus dans le champ d’application de la directive.

- La réglementation française impose des obligations en matière de cybersécurité uniquement aux opérateurs d’importance vitale.

La notion française d’OIV est cependant plus large que la notion européenne d’opérateur d’infrastructure essentielle, dans la mesure où l’on ne distingue pas selon que l’OIV est une grande entreprise ou une PME, une société privée ou une administration publique

Pour rappel, les OIV sont définis, dans le Code de la défense, comme des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement d'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, ou de mettre gravement en cause la santé ou la vie de la population.


2. Le respect des mesures de sécurité et les audits

La proposition de directive dispose que les autorités compétentes des Etats membres doivent être en mesure de veiller au respect des obligations par les acteurs du marché. Ces autorités doivent ainsi être dotées de pouvoirs leur permettant (i) de donner des instructions contraignantes, et (ii) d’exiger des acteurs du marché qu’ils fournissent des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit réalisé par un organisme qualifié indépendant ou une autorité nationale.

La réglementation française prévoit des obligations similaires. Les OIV doivent, d’une part respecter les règles et mesures de sécurité élaborées par le Premier ministre et, d’autre part soumettre leur système d’information (SI) à des audits destinés à vérifier le niveau de sécurité et le respect des règles de sécurité.

A ce titre,  l’un des décrets du 27 mars 2015 précise que l’ANSSI élabore et propose au Premier ministre ces règles de sécurité, qui sont ensuite établies par arrêté du Premier ministre pris après avis des ministres coordonnateurs des secteurs d'activités d'importance vitale concernés. Des arrêtés pourront prévoir des règles et délais de mise en conformité différents selon le secteur ou le type d'activité de l'opérateur. En outre, chaque OIV doit établir, tenir à jour et communiquer à l’ANSSI la liste de ses SI, y compris ceux des opérateurs tiers qui participent à ces systèmes, auxquels s’appliquent également les règles de sécurité.

De même, le décret précise qu’en cas de contrôle, le Premier ministre informe l'opérateur des objectifs de l'audit, du périmètre et du délai dans lequel l'audit sera réalisé. Ce type de contrôle ne pourra en principe être réalisé qu’une fois par an, par opérateur. En cas de contrôle, l’OIV devra fournir au prestataire en charge de l’audit les informations nécessaires pour évaluer la sécurité du SI ainsi que les moyens nécessaires pour y accéder. En fin de mission, le prestataire remettra à l’ANSSI un rapport comportant ses observations et, le cas échéant, les commentaires de l’opérateur concerné. Ces contrôles seront réalisés par des prestataires de service “qualifiés” ou par les agents de l’ANSSI.


3. La détection et la gestion des risques

La proposition de directive dispose que les organismes concernés doivent prendre des mesures préventives, d’ordre technique et organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques (RSI). Ces mesures doivent permettre d’éviter les incidents portant atteinte à la sécurité des RSI et de réduire au minimum leur impact sur les services qu’ils fournissent.

Ces obligations sont à mettre en parallèle avec l’obligation de détection prescrite par la règlementation française. En effet, dans certains cas, les OIV ont l’obligation de mettre en œuvre des systèmes qualifiés de détection des évènements susceptibles d’affecter la sécurité de leurs systèmes d’information. Les règles de sécurité fixeront les conditions et les délais dans lesquels les OIV mettront en oeuvre ces systèmes de détection, ainsi que le type de système utilisé. En outre, l’OIV doit conclure une convention avec le prestataire de service exploitant le système de détection comportant certaines mentions obligatoires (SI faisant l’objet du service de détection, type de système de détection utilisé et ses fonctionnalités, nature des informations échangées, etc.).


4. La notification des incidents de sécurité

Le projet de texte européen prévoit que les acteurs du marché doivent notifier à l’autorité compétente, sans retard injustifié, “les incidents qui ont impact significatif”. Il s’agit d’incidents qui portent atteinte à la sécurité et à la continuité d’un réseau ou d'un système d'information et qui entraînent une perturbation notable de fonctions économiques ou sociétales essentielles.

Afin de déterminer l’ampleur de l’impact, trois critères à prendre en compte ont été proposés par le Parlement : le nombre d’utilisateurs dont le service essentiel est concerné, la durée de l’incident et la portée géographique eu égard à la zone touchée par l’incident. Ces critères sont susceptibles d’être modifiés par le Conseil.

Par ailleurs, la proposition de directive prévoit la possibilité, pour les autorités compétentes, d’informer le public d’un incident, si sa sensibilisation est nécessaire pour prévenir ou gérer un incident en cours, ou lorsque l’organisme concerné refuse de remédier à “une grave faiblesse structurelle sans délai injustifié”. Les informations rendues publiques seront anonymes.

La règlementation met également à la charge des OIV, une obligation de déclarer sans délai (“dès que l’opérateur en a connaissance”) au Premier ministre les incidents affectant le fonctionnement ou la sécurité de leurs SI. Des arrêtés viendront préciser les informations, leurs modalités de transmission et les types d’incidents concernés, en les distinguant, le cas échéant, selon le secteur ou le type d’activité de l’opérateur. Enfin, contrairement au texte européen, il n’est pas prévu la possibilité pour l’ANSSI ou les services de l’Etat d’informer le public en cas d’incident.


5. La qualification des produits et prestataires

Le projet de texte européen fait expressément référence à la qualification, sans donner plus de détail aux Etats membres.

En France, la procédure de qualification des produits de sécurité (sondes, etc.) et des prestataires de service vient d’être précisée par décret. Ce texte prévoit que la demande de qualification de produit ou en tant que prestataire de confiance est adressée à l’ANSSI. Après un premier examen du dossier par l’ANSSI, l’évaluation du produit ou des services concernés est réalisée par un centre d’évaluation agréé. Au terme de l’évaluation le centre remet un rapport sur la base duquel l’ANSSI va décider ou non de proposer la qualification du produit ou du prestataire au Premier ministre. La qualification est délivrée pour une durée maximale de 3 ans, renouvelable dans les mêmes conditions.


   L’ANSSI mène actuellement les travaux de préparation des arrêtés en collaboration avec les acteurs concernés. Pour ce faire, l’agence a mis en place, pour chaque domaine d’activité, un groupe de travail dans le but de définir des règles de sécurité adaptées aux spécificités des différents métiers. Ces arrêtés sectoriels devraient être publiés courant 2015.

Quant à la directive, le Conseil a tenu deux réunions de trilogue à son sujet avec le Parlement européen fin 2014. (3) En mars 2015, le Conseil a accepté de reprendre les négociations, la prochaine réunion de trilogue devant se tenir dans les jours prochains.

Une fois adoptée, les Etats membres devront transposer la directive dans leur législation interne dans un délai de 18 mois. Si les dispositions de la règlementation française sont conformes aux orientations de politique européenne, la transposition du texte définitif de la directive est néanmoins susceptible de nécessiter quelques aménagements en droit français.

                                                            * * * * * * * * * * *

(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7 février 2013 ; Résolution législative du Parlement européen du 13 mars 2014 sur la proposition de directive NIS.

(2) Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ; Décrets n°2015-351 et n°2015-350 du 27 mars 2015 relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale et à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité nationale.

(3) Le trilogue est une réunion tripartite informelle entre représentants des trois institutions européennes, la Commission, le Parlement et le Conseil des ministres, visant à accélérer le processus législatif.

 

Betty SFEZ
Avocat

Deleporte Wentz Avocat

www.dwavocat.com

Mai 2015

L’allègement de la réglementation des loteries commerciales à l’égard des consommateurs

Jusqu’à récemment, l’organisation de loteries commerciales était très encadrée, malgré quelques évolutions jurisprudentielles et réglementaires intervenues ces dernières années. (1) En vertu de la loi du 21 mai 1836, les loteries étaient en effet réputées illicites dès lors qu’elles remplissaient quatre conditions cumulatives (à savoir : une offre au public, l’espérance d’un gain, déterminé par le hasard, en contrepartie d’un sacrifice pécuniaire de la part du participant). Si la loterie ne remplissait pas l’une de ces conditions, alors elle était considérée licite, mais restait soumise à des conditions de forme strictes.

La loi de simplification de la vie des entreprises du 20 décembre 2014 a profondément allégé ces contraintes, (2) mettant le droit français en conformité avec la directive européenne de 2005 relative aux pratiques commerciales déloyales. (3) Les loteries publicitaires peuvent désormais être organisées plus facilement. Cependant, leur encadrement juridique est plus incertain, les loteries pouvant être sanctionnées pour pratique commerciale déloyale ou trompeuse. 


1. La levée des contraintes applicables à l’organisation des loteries commerciales

    - L’allègement de la réglementation

La loterie commerciale est définie comme un jeu dont les gagnants sont désignés au sort.

Désormais, les loteries commerciales sont réputées licites.

Ce principe est énoncé à l’article L.121-36 du code de la consommation qui dispose, dans sa nouvelle rédaction, que “Les pratiques commerciales mises en œuvre par les professionnels à l'égard des consommateurs, sous la forme d'opérations promotionnelles tendant à l'attribution d'un gain ou d'un avantage de toute nature par la voie d'un tirage au sort, quelles qu'en soient les modalités, ou par l'intervention d'un élément aléatoire, sont licites dès lors qu'elles ne sont pas déloyales au sens de l’article L.120-1”.

Cet article définit les seules conditions applicables aux loteries commerciales. Ainsi, les anciennes exigences de forme disparaissent, notamment les mentions obligatoires, l’obligation de rembourser les frais de participation, la participation au jeu sans obligation d’achat, le dépôt du règlement du jeu chez un huissier, etc.

    - Le champ d’application de la nouvelle réglementation

La nouvelle réglementation s’applique aux loteries commerciales (ou publicitaires) à destination des consommateurs. Elle concerne les jeux de type loterie avec tirage au sort, ou comprenant un élément aléatoire.

La loi ne distingue pas suivant la manière dont le jeu est organisé : en magasin, par voie d’imprimés adressés par la poste, par internet ou par SMS.

Il convient de noter que les concours, qui n’étaient pas illicites sous le régime précédent, ne sont pas concernés par ces nouvelles règles. Pour rappel, le concours est défini comme le jeu qui récompense les personnes qui ont subi avec succès une épreuve mettant en oeuvre leurs connaissances, leur sagacité ou toute autre aptitude. Les gagnants sont sélectionnés en fonction de la qualité des réponses aux questions du jeu et non par tirage au sort. Cependant, un concours qui intégrerait un élément aléatoire (question relevant du hasard, ou tirage au sort pour départager les gagnants) relève de la loterie.


2. La contrepartie d’une plus grande liberté d’organisation : un encadrement juridique plus incertain

Toutes les loteries publicitaires ne seront cependant pas considérées comme étant de facto licites. Ainsi, les loteries considérées comme relevant de pratiques commerciales déloyales pourront être sanctionnées.

    - La définition des pratiques commerciales déloyales

Les pratiques déloyales consistent en des pratiques “contraires aux exigences de la diligence professionnelle”. Une pratique commerciale déloyale “altère, ou est susceptible d'altérer de manière substantielle, le comportement économique du consommateur normalement informé et raisonnablement attentif et avisé, à l'égard d'un bien ou d'un service.” (article L.120-1 du code de la consommation).

En effet, en vertu du nouveau régime applicable aux loteries publicitaires, les loteries trompeuses, au sens de l’article L.121-1 du code de la consommation et les loteries considérées comme agressives, au sens de l’article L.122-11 relèvent des pratiques commerciales déloyales.

Parmi les pratiques trompeuses décrites à l’article L.121-1 du code de la consommation, on relèvera celles pouvant s’appliquer plus particulièrement aux loteries commerciales, notamment les pratiques qui reposeraient sur des allégations, indications ou présentations fausses ou de nature à induire en erreur et portant sur la portée des engagements de l’annonceur ; la nature, le procédé ou le motif de la vente ou de la prestation de services ; l’identité, les qualités, les aptitudes et les droits du professionnel ; enfin, lorsque la personne pour le compte de laquelle la pratique commerciale est mise en oeuvre n'est pas clairement identifiable.

En outre, les pratiques suivantes sont considérées comme trompeuses :
    - l’allégation qu'un produit ou qu'un service augmente les chances de gagner aux jeux de hasard,
    - le fait d'affirmer qu'un concours est organisé ou qu'un prix peut être gagné sans attribuer les prix décrits ou un équivalent raisonnable,
    - le fait de décrire un produit ou un service comme étant "gratuit", "à titre gracieux", "sans frais" ou autres termes similaires, si le consommateur doit payer quoi que ce soit d'autre que les coûts inévitables liés à la réponse et au fait de prendre possession ou livraison de l'article. (4)

Les contraintes d’espace ont été prises en compte par la loi pour apprécier si des informations substantielles ont été omises, ainsi que des mesures prises par le professionnel “pour mettre ces informations à la disposition du consommateur par d'autres moyens.” Par exemple, une loterie commerciale qui serait diffusée par le biais d’une application mobile ou par SMS pourrait renvoyer via un hyperlien, vers une page descriptive du jeu et vers le règlement du jeu.

Les pratiques commerciales agressives sont définies comme le fait de solliciter de façon répétée et insistante ou d’utiliser une contrainte physique ou morale, ayant pour effet d’altérer de manière significative la liberté de choix, ou de vicier le consentement d'un consommateur. (5)

    - Les sanctions applicables aux pratiques commerciales déloyales

Les sanctions pour pratiques commerciales trompeuses ou agressives sont très lourdes.

Les pratiques commerciales trompeuses ou agressives sont punies d'un emprisonnement de deux ans et d'une amende d’un montant maximum de 300.000€ (portée à 1.500.000€ pour les personnes morales).

Le montant de l'amende peut être porté, de manière proportionnée aux avantages tirés du manquement, à 10% du chiffre d'affaires moyen annuel, calculé sur les trois derniers chiffres d'affaires annuels connus à la date des faits, ou pour les pratiques commerciales trompeuses, à 50% des dépenses engagées pour la réalisation de la publicité ou de la pratique constituant le délit (ou à 250% des dépenses engagées pour les personnes morales). (6)

    - La nécessité de présenter le jeu de manière claire et loyale

En cas de contentieux portant sur le caractère licite ou trompeur d’une loterie publicitaire, la licéité sera appréciée au cas par cas par les tribunaux.

Afin d’éviter qu’une loterie publicitaire soit sanctionnée pour pratique commerciale trompeuse ou agressive, il est donc nécessaire de prendre quelques précautions.

En effet, bien que le nouveau régime juridique applicable aux loteries publicitaires soit nettement allégé par rapport au régime précédent, les annonceurs qui souhaitent organiser des loteries doivent s’assurer que le message est clair, non ambigüe, loyal et non trompeur.

L’organisateur du jeu et le cas échéant l’annonceur doivent être clairement identifiés. Le mécanisme du jeu, les gains, les règles d’attribution des lots, les frais de participation et le cas échéant, les conditions de participation (âge minimum, durée du jeu, etc.) et l’obligation d’achat d’un produit ou d’un service devront être décrits de manière claire et facilement compréhensible par le consommateur.

Enfin, même si cette obligation ne figure pas dans la loi, il est recommandé de rédiger un règlement du jeu qui reprendra les éléments décrits ci-dessus. Si le jeu est complexe ou s’il est diffusé à un grand nombre de consommateurs, le dépôt chez un huissier permettra de limiter les risques de contestation.


                                                             * * * * * * * * * * *

(1) La loi du 21 mai 1836 portant prohibition des loteries avait ainsi été modifiée en 2004 (loi n°2004-204), en 2007 (loi n°2007-297), et en 2014 (loi n°2014-344).

(2) Article 54 de la loi n°2014-1545 du 20 décembre 2014 relative à la simplification de la vie des entreprises, codifié à l’article L.121-36 du code de la consommation.

(3) Voir la directive 2005/29 du 11 mai 2005 relative aux pratiques commerciales déloyales. A noter que dans une décision de la Cour de justice de l’Union européenne du 14 janvier 2010 (CJUE, affaire C-304/08), les juges ont considéré que les loteries constituent une pratique commerciale, et qu’à ce titre, elles entrent dans le champ d’application de la directive de 2005. Dans la mesure où les loteries commerciales, notamment avec obligation d’achat, ne font pas partie de la liste des pratiques commerciales  déloyales interdites par la directive européenne, les Etats-membres ne peuvent les interdire.

(4) Article L.121-1-1 du code de la consommation

(5) Article L.122-11 du code de la consommation

(6) Articles L.121-6 et L.122-12 du code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2015

Open Data : pour la CADA, les codes sources des logiciels développés par l’Etat sont librement accessibles

Le 8 janvier 2015, la CADA (commission d’accès aux documents administratifs) a émis un avis favorable à la communication du code source d’un logiciel développé par l’Etat, à une personne qui en avait fait la demande. (1)

Un chercheur avait demandé à la Direction générale des finances publiques (DGFiP) d’avoir accès aux codes sources d’un logiciel de calcul de simulation de l’impôt sur le revenu des personnes physiques, pour les réutiliser dans le cadre de travaux de recherche universitaire. Le directeur général des finances publiques avait opposé un refus, invoquant la lourdeur du traitement pour rendre ces fichiers exploitables. Suite à ce refus, le demandeur a donc saisi la CADA pour que celle-ci émette un avis.

La CADA a estimé que le code source développé par l’Etat devait être traité comme un document administratif au sens de la loi du 17 juillet 1978, et qu’à ce titre le demandeur pouvait y avoir accès, dans les conditions définies par la loi. (2)

Cet avis doit néanmoins être nuancé, dans la mesure où plusieurs exceptions au principe d’accessibilité doivent être pris en compte.


1. L’avis de la CADA : Open data et Open source

    1.1 Rappel de la définition de document administratif et du principe de liberté d’accès à ces documents

La loi du 17 juillet 1978 pose le principe de la liberté d’accès aux documents administratifs.

L’article 1er de la loi de 1978 définit les documents administratifs comme des documents produits ou reçus, “dans le cadre de leur mission de service public, par l'Etat, les collectivités territoriales ainsi que par les autres personnes de droit public ou les personnes de droit privé chargées d'une telle mission”, et ce “quels que soient leur date, leur lieu de conservation, leur forme et leur support”.

Le texte énonce ensuite les catégories de documents pouvant entrer dans cette définition, cette liste n’étant pas exhaustive : les dossiers, rapports, études, comptes-rendus, procès-verbaux, statistiques, directives, instructions, circulaires, notes et réponses ministérielles, correspondances, avis, prévisions et décisions. On notera que ce texte, dans sa version modifiée par une ordonnance du 29 avril 2009, ne vise pas expressément les logiciels.

En vertu de l’article 4 de la loi de 1978, l’accès aux documents administratifs s’exerce, au choix du demandeur, et dans la limite des possibilités techniques de l’administration, soit par consultation gratuite sur place, soit par la délivrance d’une copie sur un support identique à celui utilisé par l’administration ou compatible avec celui-ci, et aux frais du demandeur, soit enfin par courrier électronique et sans frais.

    1.2 L’interprétation de la CADA concernant le code source

Dans son avis du 8 janvier dernier, la commission, appliquant les dispositions de la loi du 17 juillet 1978, en a conclu que le code source d’un logiciel développé par ou pour l’Etat entrait dans le cadre de la définition des documents administratifs, et qu’à ce titre, il était librement accessible par le demandeur.

Ainsi, selon la CADA, “les fichiers informatiques constituant le code source sollicité, produits par l’administration générale des finances publiques dans le cadre de sa mission de service public, revêtent le caractère de documents administratifs, au sens de l’article 1er de la loi du 17 juillet 1978.”

Le code source doit donc être accessible et être communiqué dans l’un des formats prévus à l’article 4 de la loi, au choix du demandeur et dans la limite des possibilités techniques de l’administration. En l’espèce, pour s’opposer à la communication du code source, le directeur général des finances publiques avait soutenu que l’application en cause “se composait de nombreux fichiers nécessitant un lourd traitement pour être rendus exploitables, de sorte que le document sollicité devait être regardé comme inexistant, en l’absence de traitement automatisé d’usage courant susceptible d’en produire une version compréhensible.”

Or, selon la commission, la loi du 17 juillet 1978 n’oblige pas l’administration à créer un nouveau document pour permettre la réutilisation des données qu’il comporte. Celle-ci n’est tenue qu’à communiquer le document “dans le format le plus propre à cette réutilisation lorsque l’administration le détient dans différents formats, ou peut obtenir par un traitement automatisé d’usage courant le format souhaité”. Si le document n’existe pas en l’état pour être communiqué, et ne peut être obtenu que par une opération excédant un simple traitement automatisé d’usage courant, l’administration n’est alors pas tenue d’élaborer un nouveau document.

Cependant, l’administration ne peut simplement se retrancher derrière des difficultés techniques ou une impossibilité matérielle pour refuser l’accès au document sollicité. En tout état de cause, la CADA estime que l’administration est tenue, a minima, de communiquer le document dans l’état où elle le détient.

Le code source pourra ensuite être réutilisé, sauf à des fins de mission de service public.

Dans son avis du 8 janvier 2015, la commission ne précise pas les conditions d’utilisation des codes sources communiqués. Ces conditions peuvent néanmoins se déduire des conditions de réutilisation figurant aux articles 10 et suivants de la loi de 1978, même si celles-ci ont été pensées pour des documents tels que les rapports, études statistiques, etc. Ainsi, les codes sources (informations publiques) ne peuvent être altérés et leur sens ne doit pas être dénaturé. L’utilisateur est tenu de mentionner les sources et la date de dernière mise à jour.

La CADA confirme ainsi, par son avis du 8 janvier 2015, que les codes sources de l’administration sont libres, et inscrit les logiciels développés par l’administration dans la logique de l’Open source et de l’Open data.

Il convient cependant de noter qu’il s’agit d’un avis, susceptible d’un recours devant les tribunaux administratifs en cas de désaccord de l’une des parties.


2. Les exceptions au principe d’accessibilité aux documents administratifs

Plusieurs exceptions existent cependant concernant l’accès aux documents administratifs, et donc aux codes sources des logiciels développés par ou pour l’administration.

La première exception notable, et légitime, concerne les documents couverts par des droits de propriété intellectuelle, et notamment les logiciels sous licence propriétaire. En effet, ce n’est pas parce qu’une administration va utiliser des logiciels sous licence, que les droits de propriété intellectuelle de leurs auteurs disparaissent et que les sources deviennent librement accessibles par toute personne qui en ferait la demande.

Outre l’exception relative aux droits de propriété intellectuelle, il existe plusieurs autres limites au principe de la liberté d’accès aux documents administratifs.

L’article 6 de la loi dispose que ne sont pas communicables, notamment, les documents administratifs dont la consultation ou la communication porterait atteinte au secret de la défense nationale, à la conduite de la politique extérieure de la France, à la sûreté de l’Etat, à la sécurité publique ou la sécurité des personnes, à la monnaie, à la recherche des infractions fiscales ou douanières (ce qui n’était pas le cas pour le logiciel de calcul de simulation de l’impôt sur le revenu, dont l’accès aux sources était sollicité).

Enfin, la communication des documents comportant des données à caractère personnel, des données médicales ou des secrets commerciaux ou industriels est en principe limitée aux personnes intéressées. 

Les conditions de réutilisation prévues dans la loi du 17 juillet 1978 sont plus particulièrement adaptées pour les documents “classiques” listés à l’article 1er de la loi (dossiers, rapports, études statistiques, etc.). Afin de clarifier les conditions d’utilisation des logiciels communiqués dans le cadre d’une demande d’accès en vertu de la loi de 1978, il est recommandé de prévoir les conditions de licence libre qui seront applicables à ce logiciel.

                                                          * * * * * * * * * * *

(1) Commission d’accès aux documents administratifs, avis n°20144578 du 8 janvier 2015, M. X c/ Direction générale des finances publiques (DGFiP)

(2) Loi n°78-753 du 17 juillet 1978 portant diverses mesures d’amélioration des relations entre l’administration et le public


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2015

La conduite et les conclusions des audits de licences de logiciel contestées en justice

Les audits de licence menés par les éditeurs de logiciels ont pour objet de lutter contre la contrefaçon de logiciel, en s’assurant que les utilisateurs sont dûment autorisés à utiliser leurs logiciels, au risque de se voir réclamer des surplus de redevances ou d’être poursuivis en justice. Même lorsque l’utilisateur est titulaire d’une licence, celle-ci lui accorde généralement des droits limités. Dans ce cas, les audits de licence auront pour objet de s’assurer de la conformité entre l’utilisation effective des logiciels et les droits accordés par le contrat.

Les audits de licence donnent cependant lieu de plus en plus souvent à contestation de la part des sociétés utilisatrices. Celles-ci opposent plusieurs raisons à leurs contestations : complexité des licences, difficulté à comptabiliser les droits utilisés, ou encore mauvaise foi de certains éditeurs qui utiliseraient l’arme de l’audit de licence à des fins d’intimidation au moment du renouvellement du contrat.

Les enjeux financiers sont importants, tant pour les éditeurs que pour les utilisateurs ; les sommes réclamées à l’issue de ces audits pouvant atteindre des montants très élevés.

Deux affaires récentes, impliquant la société Oracle, viennent illustrer les tensions entre éditeurs et utilisateurs particulièrement au moment de renouveler - ou non - les licences en place. (1) Ces décisions nous donnent l’occasion d’étudier la question relative à l’objet et aux limites d’un audit de licence, et les fondements d’une action judiciaire en cas de constatation de non-conformité entre l’utilisation des logiciels et les droits concédés.


1. Objet et limites des audits de licences

Le logiciel est une oeuvre de l’esprit protégée par le droit d’auteur. (2) L’auteur ou l’éditeur du logiciel dispose des droits exclusifs sur l’oeuvre et décide donc de sa commercialisation et des conditions applicables, notamment en termes de droits accordés et de calcul des redevances.

Les droits d’utilisation accordés aux utilisateurs sont décrits dans le contrat de licence. L’étendue des droits accordés diffère suivant les éditeurs et les logiciels concernés. Les droits d’utilisation peuvent ainsi être limités selon un type ou un nombre de postes déterminé, un nombre d’utilisateurs nommés ou de CPU, un volume d’utilisation, etc. Les limitations peuvent également être géographiques, par site ou établissement (société disposant de plusieurs établissements), par pays ou encore par région.

Enfin, chaque éditeur définit son système de calcul des redevances d’utilisation : versement d’une redevance unique et forfaitaire, abonnement périodique calculé en fonction du nombre de postes ou du volume d’utilisation, redevances évolutives suivant les montées de version du logiciel, etc.

Pour s’assurer de la conformité de l’utilisation du logiciel aux droits accordés, les éditeurs prévoient des clauses d’audit de licences dans leurs contrats.

Cependant, conformément à l’article 1134 du code civil qui dispose que le contrat doit être exécuté de bonne foi, l’audit de logiciel ne doit pas être détourné de son objet, et être utilisé comme arme de dissuasion au moment du renouvellement des contrats (“vous (utilisateur), renouvelez les licences avec nous, sinon nous déclenchons un audit et réclamerons des indemnités”), ou comme un moyen d’accéder à des données de l’entreprise utilisatrice non nécessaires dans le cadre d’un audit.

Ces deux cas de figure ont été soulevés dans les deux affaires en référence.

- L’ordonnance de référé du 12 juin 2014
Dans l’affaire opposant les sociétés Oracle à Carrefour, cette dernière refusait d’exécuter les scripts de collecte de données que la société Oracle lui demandait de mettre en oeuvre dans le cadre d’un audit de licences.

Carrefour SA, puis la société Carrefour Organisation et Systèmes Groupe avaient conclu un accord-cadre pour l’utilisation des logiciels de gestion de base de données de la gamme Oracle Database. Le 27 janvier 2012, après l’expiration du contrat, Oracle France a notifié à la société Carrefour sa décision de réaliser un audit afin de vérifier la conformité de l’utilisation des logiciels aux droits acquis via les contrats de licence. Oracle demandait notamment d’exécuter des scripts lui permettant de comptabiliser les licences et de vérifier les documents fournis par Carrefour sur l’utilisation des logiciels.

Carrefour s’est opposée, non pas à l’audit, mais à la procédure utilisée par Oracle, qui voulait imposer ses outils d’audit. Carrefour considérait en effet que les scripts utilisés par Oracle permettaient d’avoir accès à des informations confidentielles de Carrefour, non nécessaires dans le cadre de l’audit, et faisaient peser un risque de sécurité sur ses systèmes informatiques.

Dans une ordonnance de référé, rendue le 12 juin 2014, le Tribunal de grande instance de Nanterre relève qu’Oracle ne peut contraindre Carrefour à exécuter ses scripts pour la collecte des informations dans le cadre de cet audit, cette procédure n’étant imposée ni dans le contrat, ni dans la loi.

Les juges estiment néanmoins que la société Oracle justifie “d’un motif légitime d’obtenir une mesure d’expertise en vue d’établir la preuve d’éventuels manquements par les sociétés défenderesses à leurs obligations contractuelles et d’atteintes aux droits d’auteur dont la société Oracle International Corporation est titulaire.”

Ainsi, Carrefour n’aura pas l’obligation d’exécuter les scripts de collecte d’informations d’Oracle, mais l’éditeur pourra néanmoins obtenir les informations nécessaires à l’issue du rapport d’expertise, pour contrôler la conformité de l’utilisation de ses logiciels aux licences accordées.

- Le jugement du TGI de Paris du 6 novembre 2014
Dans une seconde affaire opposant Oracle à l’AFPA (Association de la Formation Professionnelle des Adultes), l’AFPA prétendait qu’Oracle avait abusivement mis en oeuvre les audits contractuels, en les détournant de leur objectif pour faire pression sur l’AFPA au moment du renouvellement des contrats, d’une part avec pour effet de restreindre la concurrence, et d’autre part en abusant de son droit d’ester en justice en cas de non renouvellement des contrats.

Ainsi, l’AFPA soutenait que les sociétés Oracle usaient de l’audit contractuel de manière abusive, “en les détournant de leur objectif, afin de faire pression sur l’AFPA pour la dissuader de faire appel à un concurrent au moment des périodes de renouvellement contractuel, ce afin de restreindre la concurrence sur le marché des solutions SGF et sur le marché connexe des SGBDR, ces pratiques ayant pour objet ou pour effet de restreindre la concurrence au sens des dispositions des articles L.420-2 du Code de commerce (…)”.

Les juges n’ont pas suivi l’AFPA sur le terrain de l’abus de position dominante, estimant notamment qu’en l’espèce, la position dominante d’Oracle sur le marché des SGBDR n’était pas établie.

Concernant l’abus d’ester en justice, après avoir rappelé que l’exercice d’une action en justice constitue par principe un droit, les juges poursuivent en précisant que l’abus de droit doit être démontré sur le fondement de l’article 1382 du code civil (faute, dommage ou préjudice, lien de causalité entre la faute et le préjudice).

Or, quand bien même Oracle utiliserait l’arme de l’audit de licence au moment de l’envoi des appels d’offres pour le renouvellement des contrats, en l’espèce l’AFPA ne démontre pas avoir subi un préjudice spécifique, “autre que celui résultant des frais exposés pour se défendre dans la présente instance”. En outre, l’AFPA avait formulé une demande d’indemnisation globale en réparation du préjudice subi du fait de l’abus de position dominante et de l’abus d’ester en justice. La demande a donc été jugée irrecevable en l’espèce.


2. Conclusions de l’audit et non-conformités constatées : contrefaçon ou manquement contractuel ?

L’affaire opposant les sociétés Oracle à l’AFPA soulève une seconde question relative à la contestation des conclusions de l’audit, aux conséquences juridiques intéressantes.

- Les faits
En résumé, Oracle commercialise une solution de PGI (ou ERP) dénommée Oracle E-Business Suite, comprenant plus de 70 logiciels applicatifs dédiés à la gestion de l’entreprise et regroupés par “familles” (famille Finances (Financial) pour les logiciels comptables et financiers, et famille Achat (Procurement) pour les logiciels de gestion des achats et des fournisseurs).

Le système de licence E-Business Suite ne fonctionne pas avec des clés permettant de gérer les licences (blocage, déblocage du logiciel, gestion de la durée d’utilisation…), mais est livré sur CD avec l’intégralité des logiciels qui le composent, le client ou son prestataire étant chargé d’installer les logiciels dont il a acquis les licences.

A l’issue d’un appel d’offres lancé en septembre 2001, l’AFPA avait contracté avec la société Sopra Group (distributeur Oracle) pour la fourniture de la solution Oracle E-Business Suite - Finance, pour un premier groupe de 475 utilisateurs.

En juillet 2008, Oracle France notifiait à l’AFPA son intention d’organiser un audit du niveau d’utilisation des produits Oracle. L’audit n’a été réalisé qu’en mai/juin 2009, au moment où l’AFPA passait un nouvel appel d’offres pour déployer la solution Achat. Or, selon les résultats de l’audit, l’AFPA utilisait 885 licences du logiciel “Purchasing”, faisant partie de la famille Achat (Procurement), alors qu’elle ne détenait pas les droits d’utilisation sur cette famille de logiciels.

Après l’échec de la régularisation amiable de la situation, Oracle a décidé d’assigner l’AFPA en contrefaçon pour utilisation non autorisée du logiciel Purchasing. A ce titre, Oracle réclamait à l’AFPA (et Sopra Group, appelée en garantie par l’AFPA), le versement de la somme de 3.920.550 euros HT à titre d’indemnité forfaitaire pour la reproduction non autorisée du logiciel Purchasing pour 885 utilisateurs nommés, augmentée de 9.487.731 euros HT à titre d’indemnité forfaitaire pour l’utilisation non autorisée des services de support technique et des mises à jour du logiciel Purchasing, soit un total de 13.408.281 euros.

Les défendeurs opposaient notamment le fait que les sociétés Oracle savaient que le logiciel Purchasing faisait partie de la solution proposée par Sopra à l’AFPA dans le cadre du marché, la solution ayant été validée dans le bon de commande établi par Oracle. Ainsi, Sopra avait facturé à l’AFPA l’installation, l’utilisation et la maintenance de ce logiciel. L’AFPA soutenait par ailleurs qu’elle utilisait le logiciel Purchasing de bonne foi depuis l’origine du marché et qu’elle n’avait commis aucun acte de contrefaçon.

- Le désaccord sur la qualification juridique des conclusions de l’audit
Dans cette affaire, les parties formaient leurs demandes sur des qualifications différentes aux conséquences juridiques distinctes.

Oracle soutenait que l’AFPA n’étant pas autorisée à utiliser le logiciel litigieux, celle-ci avait commis des actes de contrefaçon. Or, d’une part la contrefaçon est un délit continu, non soumis à prescription, d’autre part, le contrefacteur ne peut opposer la bonne foi.

L’AFPA se positionnait sur le terrain de l’exécution contractuelle. Selon elle, le logiciel Purchasing était inclus dans les logiciels objets du contrat. Dans le cas contraire, l’AFPA soutenait avoir exécuté le contrat de bonne foi puisque les logiciels avaient été installés par Sopra. Or, les actions contractuelles se prescrivent par 5 ans (art. 2224 du Code civil) et la réparation relève de la responsabilité contractuelle, dans le cadre des règles du code civil sur l’exécution des contrats.

- La qualification retenue par les juges
Afin de qualifier le litige en droit, les juges relèvent que le seul différend existant entre les parties est de savoir si le contrat incluait ou non le logiciel Purchasing. A aucun moment Oracle n’a soutenu que l’AFPA aurait utilisé un logiciel contrefait ou déployé un logiciel non fourni par Sopra, ou que le nombre de licences ne correspondait pas au nombre d’utilisateurs. En conséquence, les juges retiennent que le litige porte uniquement sur le périmètre du contrat, et sur son exécution, et non sur une question de contrefaçon. Ainsi, les règles de prescription et de réparation du préjudice prévues au Code civil s’appliquent.

Concernant l’exécution du contrat, Oracle avait effectivement livré quatre CD, dont un contenant la solution Oracle Applications/E Business Suite II i, incluant les familles Financial et Purchasing. Oracle soutenait cependant que le logiciel Purchasing n’était pas inclus dans le périmètre du contrat.

Les juges, sur la base des documents versés aux débats, estiment que les sociétés Oracle “entretiennent un doute et une confusion sur ce qu’est réellement ce logiciel” : soit le logiciel n’entre pas dans le périmètre contractuel de l’AFPA et il n’aurait pas dû être livré, soit il est compris dans le contrat, puisqu’il a été fourni en exécution du bon de commande. Les juges concluent donc que “l’AFPA exploite le logiciel Purchasing sans aucune faute puisqu’il a été inclus dans les CD préparés par les sociétés Oracle elles-mêmes qui ont donc toujours compris et admis que le contrat incluait l’exploitation de ce logiciel.”

En conséquence de cette qualification, la contrefaçon n’étant pas applicable à l’espèce, et le logiciel étant, selon toute vraisemblance, inclus dans le périmètre contractuel, les juges ont notamment déclaré prescrites les demandes d’Oracle à l’encontre de l’AFPA et Oracle irrecevable en ses demandes de paiement de la somme de 13.408.281 euros. Oracle a par ailleurs été condamnée aux dépens ainsi qu’à verser 100.000 euros à l’AFPA et à Sopra respectivement au titre de l’article 700 du code de procédure civile (frais de procédure). Le jugement est frappé d’appel.


    En conclusion, il convient de rappeler que les audits de licence, bien qu’étant une pratique légitime par les éditeurs, ne doivent pas être détournés de leur objet. La mauvaise foi ou l’abus de la part des éditeurs (fondements qui restent néanmoins à démontrer juridiquement), mais également, la complexité des licences peuvent remettre en cause l’organisation, voire même les conclusions d’un audit. Comme on le constate, les utilisateurs n’hésitent plus à contester cette pratique, compte tenu des sommes en jeu.


                                                              * * * * * * * * * * *

(1) Tribunal de grande instance de Nanterre, ordonnance de référé du 12 juin 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Carrefour, Carrefour Organisation et Systèmes Groupe ; Tribunal de grande instance de Paris, 3é ch., 1ère sect., 6 novembre 2014, Oracle Corp., Oracle International Corp., Oracle France c/ Association Nationale pour la Formation Professionnelle des Adultes (AFPA) et Sopra Group

(2) Article L.112-2 du Code de la propriété intellectuelle




Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2015

Cybersurveillance des salariés : les SMS échangés depuis un téléphone mobile professionnel sont présumés professionnels

La Cour de cassation vient de rendre une décision précisant les conditions dans lesquelles l’employeur peut consulter les SMS de ses salariés. Avant d’exposer les faits de l’espèce et la décision de la Cour, nous rappelons brièvement les règles applicables en matière de cybersurveillance des salariés.


1. Rappel des règles applicables en matière de cybersurveillance des salariés

Il appartient à l’employeur, dans le cadre de son pouvoir directionnel et disciplinaire, de s’assurer de la bonne exécution du travail de ses salariés. Le droit pour l’employeur de contrôler l’activité de son personnel durant le temps de travail découle du lien de subordination existant entre l’employeur et le salarié. La surveillance et le contrôle de l’activité des salariés paraît donc légitime.

Avec le développement des technologies de l’information, les dispositifs techniques de surveillance sont venus compléter le contrôle humain des salariés, exercé par l’employeur. Les moyens utilisés sont variés : vidéosurveillance, biométrie et badges électroniques d’accès aux locaux, géolocalisation, dispositifs de contrôle de la messagerie électronique, systèmes de filtrage de sites internet, etc. Le contrôle peut avoir pour objectif d’assurer la sécurité des réseaux contre les attaques informatiques ou de limiter les risques d’abus liés à l’utilisation d’internet ou de la messagerie à des fins personnelles.

Toutefois, le contrôle de l’activité des salariés doit respecter quelques principes et conditions posés par la réglementation (Code du travail et loi informatique et libertés) et la jurisprudence.

Ainsi, l’employeur ne peut apporter de restrictions aux libertés individuelles et collectives si elles ne sont pas “justifiées par la nature de la tâche à accomplir ni proportionnées ou au but recherché” (art. L.1121-1 du code du travail). La jurisprudence a notamment affirmé que le salarié a droit au respect de sa vie privée sur son lieu de travail et pendant son temps de travail.

Par ailleurs, en cas de contrôle, l’employeur doit respecter les principes de transparence, de loyauté et de proportionnalité. Ces principes impliquent notamment pour l’employeur l’obligation d’informer les salariés sur la possibilité et l’étendue du contrôle, mais également d’informer ou de consulter les instances représentatives du personnel. A ce titre, il est vivement recommandé de mettre en place une charte informatique au sein de l’entreprise. (1)

Enfin, si le moyen de contrôle utilisé implique la collecte et le traitement de données à caractère personnel, il incombera à l’employeur d’effectuer des démarches déclaratives auprès de la Commission nationale de l’informatique et des libertés (CNIL).

Plusieurs décisions ont été rendues dans ce domaine depuis le début des années 2000, venant préciser les droits et limites de l’employeur en matière de cybersurveillance de ses salariés. Ainsi, les fichiers et emails, envoyés et reçus par un salarié, à l’aide des équipements informatiques mis à disposition par l’employeur, sont présumés avoir un caractère professionnel et peuvent être consultés par ce dernier. Ce principe connaît cependant une exception si le salarié a clairement identifié les fichiers ou emails comme étant personnels.

La jurisprudence évolue et se précise avec l’apparition de “nouveaux” outils et pratiques. Ainsi, la Cour de cassation a jugé en 2013 que la clé USB personnelle d’un salarié connectée à l’ordinateur mis à la disposition de ce dernier par son employeur était présumée être utilisée à des fins professionnelles. L’employeur pouvait donc avoir accès aux fichiers non identifiés comme personnels contenus sur la clé, et ce même hors de la présence du salarié. (2)


2. Le cas des SMS : la décision GFI Securities Ltd c/ Newedge Group

Cette affaire opposait deux sociétés de courtage d’instruments financiers, la société Newedge Group (Newedge) et la société GFI Securities (GFI). La société Newedge reprochait à GFI d’avoir procédé au débauchage massif de ses salariés avec pour conséquence la désorganisation interne de Newedge.

La société Newedge a donc décidé de faire constater les agissements de la société GFI et obtenu, pour ce faire, une ordonnance sur requête autorisant un huissier à procéder au constat des informations issues des outils de communication mis à la disposition de ses salariés. Suite à ce constat, la société Newedge a utilisé les SMS “compromettants” extraits des smartphones de ses salariés pour poursuivre GFI en justice.

La société GFI a demandé la rétractation de cette ordonnance, estimant que l'utilisation de tels messages par l'employeur, effectuée à l'insu de l'auteur des propos invoqués, constituait un procédé déloyal rendant irrecevable en justice la preuve ainsi obtenue. Déboutée en appel, la société GFI s’est alors pourvue en cassation.

La société GFI invoquait notamment le fait que :

- le règlement intérieur et la charte informatique de la société Newedge ne prévoyaient pas que les SMS envoyés ou reçus par les salariés sur le téléphone mobile mis à leur disposition par l’entreprise étaient présumés avoir un caractère professionnel, de sorte que l'employeur pouvait y avoir accès hors de la présence du salarié, dès lors qu'ils n'étaient pas marqués comme “personnels”. Ces documents ne faisaient mention que des emails et des conversations téléphoniques ;

- il est impossible d'identifier comme “personnel” un SMS envoyé par un téléphone mobile, de tels messages ne comportant pas de champ “objet”.

Dans un arrêt du 10 février 2015, la Cour de cassation a confirmé la décision de la Cour d’appel et a débouté la société GFI de ses demandes. La Cour a jugé que : “les SMS envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l'employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, de sorte que l'employeur est en droit de les consulter en dehors de la présence de l'intéressé, sauf s'ils sont identifiés comme étant personnels”. Or, en l’espèce, ces messages n’avaient pas été identifiés comme personnels par les salariés. Dès lors, selon la Cour, la recherche de ces messages et leur consultation “pour des motifs légitimes” par l’employeur, puis leur utilisation en justice constituent un procédé loyal. (3)


Il ressort donc de cette décision que l’employeur a la possibilité de consulter les SMS de ses salariés aux conditions suivantes : les SMS sont envoyés et reçus au moyen du téléphone portable mis à leur disposition par l’employeur ; les messages ne doivent pas être identifiés comme “personnel” ou “privé” ; et la consultation doit être justifiée par un “motif légitime” (soupçons de fraude, violation d’une clause de confidentialité, etc.).

Cette décision rejoint la jurisprudence visant à préciser les conditions dans lesquelles l’employeur peut contrôler l’utilisation par ses salariés des équipements informatiques de l’entreprise. Il appartient donc aux salariés d’être vigilants quant à l’utilisation de leurs smartphones professionnels fournis par l’employeur. En revanche, pour le moment, la question du contrôle reste posée pour les équipements informatiques du salarié (ordinateur, tablette, smartphone) utilisés dans l’entreprise à des fins professionnelles (BYOD). A ce titre, la charte informatique sera le document de référence pour définir les droits et les devoirs de chacun, salarié et employeur, en matière du bon usage des ressources informatiques.

                                                         * * * * * * * * * * *


(1) Voir notamment notre article intitulé “La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu"

(2) Cass., ch. soc., 12 février 2013, n°11-28.649.

(3) Cass, ch. comm., 10 février 2015, n°13-14779

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Février 2015