avril 2008

Santé et Biotechnologies Archives Edito La réforme sur la santé au regard de l’informatique et du numérique (avril 2006) Le dossier médical (mars 2006)

Santé et Biotechnologies Les Editos Le dossier médical Priorité absolue du ministre Philippe Douste-Blazy, le dossier médical personnel adopté par la loi du 13 août 2004 représente un enjeu majeur de la réforme du système de santé dans une perspective à la fois de santé publique et d’économie pour l’assurance maladie. Il dynamise aussi la réflexion concernant la sécurité et la confidentialité des données qu’il contiendra et plusieurs décrets sont à paraître concernant notamment l’hébergement des données (attendu depuis la loi du 4 mars 2002 sur les droits des malades), l’utilisation de la CPS, le choix de l’identifiant et les habilitations d’accès. Le cahier des charges relatif à l’organisation et aux infrastructures devrait être prêt pour le lancement de l’appel d’offres à destination des industriels au début de l’année 2005. Jean-françois Forgeron Avocat, Directeur du pôle Contentieux informatique jean-francois-forgeron@alain-bensoussan.com

Flash Info (13 mars 2006) L’examen du texte sur les droits d’auteur s’enlise à l’Assemblée nationale Après avoir retiré la veille, l’article premier très controversé, du projet de loi sur les droits d’auteur intégrant le principe de la licence globale, le gouvernement a décidé de le réintroduire dans les débats à l’Assemblée Nationale, le 7 mars 2006 pour ne pas craindre l’inconstitutionnalité du procédé. Retirer un article en cours de discussion en utilisant l’article 84 présente toujours un tel risque même si à ce jour, le Conseil constitutionnel n’a pas eu à se prononcer. Rappelons que l’article premier avait été modifié contre l’avis du gouvernement, par le vote de deux amendements identiques en décembre 2005 autorisant le téléchargement pour usage privé moyennant une rémunération forfaitaire des auteurs. Tout sera donc tranché dans la clarté et la transparence. Dossier législatif sur le projet de loi DADVSI Isabelle Pottier Avocate isabelle-pottier@alain-bensoussan.com

Biométrie Informatique et libertés La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles La Cnil rappelle que son autorisation est obligatoire pour la mise en œuvre de traitements comportant des données biométriques (reconnaissance de la rétine, du contour de la main, de l’empreinte. La sécurité est un marché en plein essor dans lequel de nombreux éditeurs de solutions se sont engouffrés, proposant aux entreprises des dispositifs de reconnaissance des empreintes digitales. Face à ce développement, la Cnil a tenu à effectuer une mise au point : aucun dispositif biométrique n’a fait l’objet d’un « label CNIL » ou d’un agrément a priori. D’une manière générale, la Cnil n’autorise que les dispositifs où les données biométriques comme les empreintes digitales sont enregistrées exclusivement sur un support individuel (carte à puce, clé USB) et non dans une base de données centralisée. Communiqué de la Cnil du 05/1/2007 La CNIL adopte trois autorisations uniques relatives aux techniques biométriques L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre. En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel. Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil. Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif. Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr. Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006 Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006 Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006 26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie Dans son dernier rapport d’activité pour l’année 2005, la Cnil revient sur la doctrine qu’elle a établie depuis plusieurs années en matière de biométrie. Elle réaffirme ainsi la grande distinction qu’elle opère entre les traitements de données biométriques portant sur des éléments traçables dits « à trace » et ceux ne portant pas sur ce type d’éléments dits « sans trace ». Ces derniers consistent essentiellement en l’utilisation de techniques de reconnaissance de la rétine ou de reconnaissance par le contour de la main. Ne permettant pas, en eux-mêmes, de reconnaître un individu à son insu en collectant ses données biométriques sans qu’il en ait conscience, la Cnil considère qu’il ne s’agit pas de traitements de données biométriques dangereux et autorise en général leur mise en oeuvre. Concernant les traitements laissant des traces et, en particulier, ceux utilisant la reconnaissance par empreinte digitale, la Cnil considère qu’ils peuvent permettre une collecte de données biométriques des personnes à leur insu, ce qui les rend, de fait, dangereux. La Cnil a donc établi les critères selon lesquels la mise en oeuvre de traitements de données biométriques laissant des traces est susceptible d’être autorisée en déterminant ainsi trois niveaux différents. Le premier niveau correspond à un impératif de sécurité élevée, comme un contrôle aux frontières, par exemple. Dans ce cas, la Cnil autorise la mise en oeuvre d’un traitement de données à caractère biométrique laissant des traces. Le second niveau correspond à un impératif de sécurité moindre comme par exemple l’accès de salariés à des locaux sécurisés (ceux de La Poste ou d’aéroports). Dans ce cas, la Cnil pour autoriser le traitement mis en œuvre demande que les données biométriques laissant des traces soient stockées dans un support individuel et non dans une base de données centralisée. Le troisième niveau correspond à une absence d’impératif de sécurité. Dans ce cas, la Cnil peut autoriser la mise en oeuvre d’un traitement de données biométriques laissant des traces dès lors que les données biométriques sont stockées sur un support individualisé (une carte à puce) et, qu’en outre, l’utilisation de ce système biométrique reste facultatif pour les personnes concernées. Concernant la biométrie de confort, la Cnil a ainsi autorisé la mise en place d’une carte de fidélité permettant à des voyageurs de stocker leurs empreintes digitales sur une puce, de manière facultative, afin d’accéder à des services particuliers. L’ensemble des décisions de la Cnil relatives à la mise en oeuvre de traitements de données biométriques ainsi que son rapport d’activité annuel sont accessibles depuis le site de la Cnil www.cnil.fr. Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires La Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques dans des

Flash Info mars 2006 Projet de loi DADVSI : La conférence des présidents veut accélérer le rythme des débats parlementaires L’examen du projet de loi sur les droits d’auteur dans la société de l’information s’est achevé jeudi soir, à l’Assemblée nationale. Un éventail de sanctions contre le piratage a été adopté : 3 ans d’emprisonnement et 300.000 d’euros d’amende pour l’édition et la mise « sciemment » à disposition du public d’un logiciel permettant le téléchargement illégal, une simple amende de 38 euros pour l’internaute qui télécharge illégalement de la musique ou un film pour son usage personnel, une amende de 150 euros maximum si le téléchargement s’accompagne de la mise à disposition des oeuvres, 6 mois d’emprisonnement et 30.000 euros d’amende pour le pourvoyeur de moyens de contournement des mesures techniques de protection (MTP), 3.750 euros d’amende pour le hacker qui décrypte individuellement la MTP et une contravention de 750 euros pour le détenteur ou l’utilisateur de logiciel mis au point pour le contournement. Les députés se prononceront le 21 mars par un « vote solennel » sur ce projet de loi très controversé. De quoi s’agit-il exactement ? En séance publique, l’Assemblée nationale vote normalement à main levée en toutes matières (article 64 du Règlement). Mais sur des textes importants, la Conférence des présidents (composée de l’Assemblée nationale, des groupes parlementaires et des commissions), peut décider que les députés votent par procédé électronique ou à la tribune. Il s’agit alors d’un scrutin public, ou « vote solennel », qui permet d’enregistrer la position de chacun des membres de l’Assemblée sur des sujets dont l’importance est reconnue. La conférence des présidents veut ainsi accélérer le rythme des débats parlementaires, s’agissant d’un texte sur lequel l’urgence a été déclarée (une seule lecture par assemblée). Après le vote solennel, le texte partira ensuite pour le Sénat. Dossier législatif sur le projet de loi DADVSI Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com

Informatique Renforcer sa politique de sécurité : une préocupation constante de l’entreprise Intégrer une charte dans sa politique globale de sécurité Les moyens informatiques et les réseaux de télécoms sont devenus des outils de travail indispensables à l’activité quotidienne des entreprises.Or, l’utilisation de systèmes d’information et de communication de plus en plus ouverts avec l’extérieur rend indispensable la mise en œuvre d’une politique de sécurité visant à protéger de risques variés. Face aux nombreuses menaces et compte tenu des obligations imposées notamment par l’article 35 de la loi Informatique et Libertés (1) applicables à la protection des systèmes et des données nominatives, les entreprises doivent définir des politiques globales de sécurité. Les moyens techniques même s’ils sont indispensables ne sont pas suffisants et doivent s’accompagner d’une politique d’information et de sensibilisation des utilisateurs pour éviter que ceux-ci, par un comportement inapproprié, ne compromettent la sécurité de l’entreprise.Ceci explique le succès grandissant des chartes depuis quelques années dont la généralisation répond à ces préoccupations. (1)Loi du 06/01/1978 modifiée par la loi du 06/08/2004. L’enjeu Se protéger de risques variés tels la destruction ou la corruption d’informations, l’altération de données, le vol d’informations, l’usurpation d’identité, l’utilisation de ressources ou le dénie de services. Compléter la charte par des procédures de constats En complément de la charte il apparaît nécessaire de définir des procédures pour la recherche et la conservation de la preuve en cas d’utilisation déviante des systèmes d’information et de télécoms ou encore d’agissement frauduleux avérés. Ces procédures doivent permettre de concilier efficacité et fiabilité des constats pour que ceux-ci soient juridiquement recevables et probants dans le respect des dispositions édictées par le Code du travail et par la loi Informatique et Libertés qui consacrent des exigences de proportionnalité, de transparence et de loyauté. Leur mise en œuvre nécessite par conséquent une bonne connaissance des textes applicables et des jurisprudences rendues en ces matières. Par ailleurs, il ne faudra pas oublier la gestion assurantielle des risques liés à la sécurité résultant notamment de la perte de chiffre d’affaires induite par des actes frauduleux ou encore les coûts engendrés par la reconstitution des données qui seraient altérées ou perdues. Le conseil Encadrer les conditions d’utilisation des systèmes d’information par une charte. Définir des procédures de constats en cas d’utilisation déviante . Prévoir une gestion assurantielle des risques liés à la sécurité. Benoit de Roquefeuil Avocat, Directeur du département « contentieux informatique » benoit-de-roquefeuil@alain-bensoussan.com Paru dans la JTIT n°50/2006 p.2

Evénement Emissions TV

Flash Info Le projet de loi DADVSI adopté par l’Assemblée Nationale Les députés se sont prononcés le 21 mars par un « vote solennel » sur le projet de loi sur les droits d’auteur dans la société de l’information, par 296 voix pour et 193 voix contre. Selon le ministre Renaud Donnedieu de Vabres, « c’est un texte qui permet l’avènement d’un internet équitable », il crée un droit à l’exception pour copie privée, établit enfin une frontière claire entre ce qui est légal et ce qui ne l’est pas (système de sanctions graduées à l’encontre des internautes qui téléchargent illégalement), réprime les offres illégales (responsabilité pénale des éditeurs de logiciels de peer-to-peer) et garantit l’interopérabilité des mesures techniques de protection. Le gouvernement devra maintenant soutenir son texte au Sénat début mai. Dossier législatif sur le projet de loi DADVSI Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com

Economie juridique Jurisprudence La difficulté de rapporter la preuve d’un gain qui n’a pas été réalisé Promotion de moyens de fraude à la télévision payante(1) Un site internet a proposé, de juin à décembre 2001, des informations, des logiciels et des cartes permettant d’accéder gratuitement et frauduleusement aux programmes de plusieurs chaînes de télévision à péage et notamment de TPS. L’opérateur de télévision par satellite a poursuivi devant la juridiction pénale le particulier ayant créé et exploité ce site. Celui-ci a été condamné pour promotion publicitaire de moyens de captation frauduleuse de programmes télédiffusés réservés à un public d’abonnés, mais le tribunal a débouté TPS de sa demande de réparation au titre d’un préjudice économique. La décision de première instance a été confirmée par la Cour d’appel de Paris (2), l’arrêt ayant considéré que les préjudices économiques invoqués avaient un caractère purement éventuel et qu’il n’était pas démontré qu’ils découlent de l’infraction. L’enjeu Il est généralement difficile de justifier le montant d’un manque à gagner. Les preuves matérielles sont inexistantes puisqu’il s’agit d’un événement qui ne s’est pas produit (un gain qui n’a pas été réalisé). Le juge du fond qui constate un préjudice doit le réparer TPS avait évalué ce préjudice à partir du nombre, connu, de visites effectuées sur le site frauduleux (80 000). Elle considérait ensuite que 5% de ces visiteurs (soit 4 000 personnes) avaient dû effectivement accéder gratuitement à ses programmes, pendant 6 mois (durée de fonctionnement du site), qu’elle proposait alors pour 25 euros par mois. Elle chiffrait son préjudice à 600 000 euros (4 000 X 25 € X 6 mois). Pour écarter la réparation de ce préjudice, la cour d’appel avait relevé que son évaluation reposait sur une double hypothèse : celle du nombre de visiteurs ayant effectivement mis en œuvre les moyens proposés, fixé arbitrairement à 5% des visiteurs, et le fait que ces fraudeurs auraient souscrit un abonnement à ses programmes. La cour de Cassation souligne que l’arrêt d’appel, en constatant que de nombreuses personnes avaient eu accès au site promouvant les moyens de captation des programmes, avait lui-même reconnu l’existence du préjudice invoqué. Dès lors, rappelant qu’il appartient aux juges du fonds de réparer, dans les limites des conclusions des parties, le préjudice dont ils reconnaissent l’existence, la cour casse l’arrêt en considérant qu’il appartenait à la cour d’appel de rechercher l’étendue de ce préjudice et d’en prononcer la réparation, dans le cadre de son pouvoir souverain d’appréciation. Les conseils La Cour de cassation rappelle régulièrement qu’il découle de l’article 1382 du Code civil que tout préjudice dont l’existence est reconnue doit être réparé. La demande de réparation doit donc d’abord s’attacher à : démontrer que les faits sont nécessairement à l’origine d’un gain manqué, puis fournir à la juridiction les informations permettant d’en estimer l’étendue le plus précisément possible. Notes (1) Cass. crim. 8 mars 2005, TPS c. L.V (2) CA Paris 13eme Ch., 14 mai 2004 Bertrand Thoré Directeur du Département Economie juridique bertrand-thore @alain-bensoussan.com Paru dans la JTIT n°39/2005 p.7

Economie juridique Jurisprudence Détournement de clientèle et perte de chiffre d’affaires sur internet Une affaire de référencement payant par liens sponsorisés La société Overture et sa maison mère américaine, commercialisent des liens promotionnels sur internet pour des annonceurs : leurs clients les rémunèrent pour qu’apparaissent un lien vers leur site web, en bonne position, dans les pages de résultats fournis par les outils de recherche de leurs partenaires, lorsque les recherches sont effectuées à partir des mots clés qu’ils ont sélectionnés. Le prix des mots clés réservés est fixé aux enchères et Overture est rémunérée en fonction du nombre de « clics » générés par les liens. Le groupe hôtelier Accor a constaté, depuis la fin de l’année 2001, que Overture mettait à la disposition des annonceurs, sur son site web, un outil de suggestion de mots clés qui proposait, comme mots clés pour les recherches relatives aux hôtels, plusieurs de ses marques ou de ses noms commerciaux. Il a donc assigné les deux sociétés pour contrefaçon de marque, atteinte à sa dénomination commerciale, à ses noms commerciaux, et pour parasitisme et publicité trompeuse. L’enjeu La contrefaçon de marque sur internet peut être à l’origine de dommages considérables, notamment lorsque, comme en l’espèce, elle est de nature à causer des détournements de clientèle par des concurrents. Des demandes de réparation très élevées mais peu satisfaites Accor estime ses préjudices à la somme totale de 46 millions d’euros ! Mais ses demandes ne semblent ni précisément chiffrées (chaque demande est arrondie au million d’euros…), ni justifiées. Elle invoque l’affaiblissement de ses marques, la perte de ses investissements publicitaires, des détournements de clientèle, mais semble avoir évalué ses dommages uniquement en se référant aux résultats réalisés par Overture, toutes activités confondues, comme le souligne le Tribunal. Celui-ci considère que les sociétés Overture, en incitant les annonceurs à sélectionner comme mots clés les marques notoires du groupe Accor, pour en tirer profit, ont commis des actes de contrefaçon. Elle rejète cependant les autres demandes d’Accor et ne lui accorde qu’une somme de 200 000 euros pour réparer la contrefaçon, alors que le préjudice invoqué à ce titre s’élevait à 12 millions d’euros. La société Accor n’obtient donc que 1,66 % du montant de sa demande au titre de la contrefaçon, à défaut de justification suffisante du préjudice relatif au détournement de clientèle et à la perte de chiffre d’affaires liée. Les conseils Faire état de tout les éléments permettant de prouver l’existence et l’étendue de ses préjudices. Lorsqu’il s’agit de détournement de clientèle et de perte de chiffre d’affaires, il faut fournir au Tribunal le maximum d’éléments permettant d’en apprécier la gravité. Notes (1) TGI Nanterre, 17/01/2005, Sté Accor c. Stés Overture et Overture Services Inc Bertrand Thoré Directeur du Département Economie juridique bertrand-thore @alain-bensoussan.com Paru dans la JTIT n°37/2005 p.7

Economie juridique Jurisprudence L’étendue des dommages et le pouvoir d’appréciation des juridictions Un partenariat pour la vente de logiciels et matériels La société Bull, constructeur de matériels informatiques et la société Integro, société d’ingénierie informatique, ont développé des relations de partenariat depuis 1989, dans le cadre d’un ensemble contractuel aux termes duquel Integro fournit des logiciels intégrés à certains matériels commercialisés par Bull. Une charte de coopération commerciale fixe les modalités de promotion et de vente d’une offre logicielle et matérielle commune. Estimant que Bull n’a pas respecté ses engagements contractuels, Integro l’assigne devant le Tribunal de commerce de Paris. Celui-ci, par décision du 5 février 1999, a rejeté la totalité de ses demandes. L’enjeu En principe, en droit civil français, le demandeur doit rapporter la preuve des dommages subis et les réparations accordées sont de nature compensatoire, c’est-à -dire qu’elles ont pour objet de réparer intégralement, mais strictement, les dommages subis et justifiés. Des demandes qui s’élèvent à près de 24 millions d’euros Faisant appel de cette décision, Integro demande à la Cour de Paris de condamner Bull, pour violation de son engagement de priorité de vente, à réparer son manque à gagner, à hauteur de 22 867 353 euros et à lui verser 914 694 euros pour avoir reproduit de façon illicite son logiciel. La Cour d’appel de Paris (1) constate que Bull a respecté ses engagements liés à la promotion de l’offre, qui se limitaient à proposer systématiquement celle-ci, sans exclusivité ni même de priorité, et déboute Integro de sa demande de réparation du manque à gagner. Cependant, la Cour relève que Bull a reconnu, dans différents courriers, avoir dupliqué certains éléments logiciels fournis par la société Integro, sans lui reverser les sommes dues à ce titre, qui s’élèvent à 137 273 euros. Bull est donc condamnée à lui verser cette somme. En outre, la Cour estime à 762 245 euros le préjudice résultant des duplications illicites effectuées par Bull, en considérant leur « gravité », et l’obstruction dont elle a fait preuve en refusant l’examen contradictoire des pièces et en refusant de reconnaître plus de duplications qu’elle n’en avait avoué par courrier. Les conseils Les juridictions de première instance peuvent cependant faire usage de leur pouvoir souverain d’appréciation de l’étendue des dommages, reconnu par la Cour de cassation, pour prononcer une réparation dont le montant ne semble pas étranger à l’importance de la faute commise. Le contrôle de la Cour suprême ne s’exerce en tout état de cause, que selon les moyens de cassation invoqués. Une réparation dont le montant est évalué souverainement La société Bull est donc condamnée à réparer un préjudice évalué, non pas en fonction des preuves produites par les parties, mais, semble t’il, en considérant la « gravité » de ses fautes ainsi que des preuves qu’elle aurait refusé de rapporter. Bien que n’ayant apparemment pas produit les preuves de l’étendue de son préjudice résultant des duplications, Integro obtient la quasi-totalité des sommes demandées à ce titre. La Cour de cassation, saisie par Bull, rejette son pourvoi (2) en estimant que la Cour d’appel a légalement justifié sa décision en constatant des reproductions illicites des logiciels et qu’elle a souverainement évalué le préjudice découlant de cette faute dans l’exécution du contrat. Notes (1) CA Paris, 20/12/2000 (5e ch.), IACS c. Sté Bull (2) Cass. civ. 08/06/2004, 1re Ch. civ., Sté Bull c. IACS Bertrand Thoré Directeur du Département Economie juridique bertrand-thore @alain-bensoussan.com Paru dans la JTIT n°36/2005 p.7

Informatique L’hébergement de données de santé dans le cadre du dossier médical personnel La réforme sur la santé au regard de l’informatique et du numérique La loi du 13 août 2004 relative à l’assurance maladie organise une réforme substantielle visant à sauvegarder le système d’assurance maladie, tout en préservant ses principes fondamentaux. Si depuis le 1er janvier 2005 chaque assuré doit choisir son médecin traitant, la loi comporte cependant d’autres importantes nouveautés dans le domaine de la santé numérique : La mise en place d’une Haute Autorité de santé dont le décret du 26 octobre 2004 définit les fonctions, notamment la définition des règles de bonne pratique à respecter par les sites informatiques dédiés à la santé et les logiciels d’aide à la prescription médicale ainsi que les certifications correspondantes. Elle est entrée en fonction le 22 décembre 2004. L’instauration à compter du 1er juillet 2007 du dossier médical personnel créé auprès d’un hébergeur de données de santé à caractère personnel, activité désormais strictement encadrée et contrôlée. L’encouragement au développement de la télémédecine, activité qui se trouve aujourd’hui définie par le législateur. L’enjeu Assurer la mise en œuvre de produits et de services électroniques dans le respect des droits des patients. Maîtriser les nouvelles obligations des professions de santé Une des missions de la Haute Autorité est d’établir une procédure de certification des sites informatiques de santé et des logiciels d’aide à la prescription médicale ayant respecté un ensemble de règles de bonnes pratiques. La profession d’hébergeur de données de santé est particulièrement encadrée : Les actuels et futurs hébergeurs seront soumis à une procédure d’agrément prévue à l’article L.111-8 du Code de la santé publique et dont les modalités seront fixées par un décret. La prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et la personne concernée. L’article L.111-8 du Code de la Santé Publique prévoit néanmoins que tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement y compris avec l’accord de la personne concernée, est interdit sous peines de sanctions pénales. Une consécration législative de la télémédecine : Elle permettra d’effectuer des actes médicaux dans le strict respect des règles de déontologie mais à distance, sous le contrôle et la responsabilité d’un médecin en contact avec le patient par des moyens de communication appropriés à la réalisation de l’acte médical. Les schémas régionaux d’organisation sanitaire intègreront la télémédecine. Les conseils Anticiper la constitution du dossier de demande d’agrément d’hébergement de données de santé. Jean-François Forgeron Directeur du Département Informatique jean-françois-forgeron @alain-bensoussan.com Valérie Séguinot valerie-seguinot @alain-bensoussan.com Paru dans la JTIT n°36/2005 p.1

Propriété Intellectuelle Edito Vers la remise en cause des conditions de la protection des bases de données ? Il faut expressément interdire l’extraction pour être protégé Le 18 novembre 2004, la Cour d’appel de Versailles (1) a rendu une décision très surprenante qui vient remettre en cause les conditions de la protection juridique des bases de données. La Cour semble en effet considérer que pour faire valoir son droit « sui generis » prévu par le Code de la propriété intellectuelle (2), le producteur doit préalablement avoir manifesté expressément sa volonté d’interdire l’extraction ou la réutilisation du contenu de sa base de données. A défaut, il ne peut bénéficier de la protection légale. Les bases de données font, depuis la loi du 1er juillet 1998, l’objet d’une protection par le droit du producteur des bases de données, encore appelé droit « sui generis », qui permet au producteur d’interdire les extractions du contenu des bases de données lorsque celles-ci ont un caractère « substantiel », lequel peut être apprécié de façon quantitative (volume des extractions par rapport au contenu de la base) ou qualitative (données à caractère stratégique). La seule condition posée par le Code de la propriété intellectuelle pour bénéficier de ce droit est de justifier d’un « investissement substantiel », financier, matériel ou humain, dans la réalisation ou la vérification de la base. Aucune condition de forme, aucune formalité de dépôt ou autre, n’est exigée. Pourtant, après avoir vérifié la condition relative à l’investissement substantiel, la Cour de Versailles a refusé le bénéfice de la protection au producteur d’une base de données mise en ligne sur un site Web, au seul motif qu’il n’avait pas préalablement interdit l’extraction du contenu de sa base de données. L’enjeu Assurer à ses bases de données une protection juridique efficace contre l’extraction de leur contenu, compte tenu des nouvelles exigences posées par la jurisprudence. Les mesures préconisées… Il est difficile pour l’heure d’apprécier la portée qu’il convient de donner à cette décision, contre laquelle un pourvoi en cassation a d’ailleurs été formé. La prudence doit cependant conduire à prendre des mesures de préventions, pour éviter de se trouver démuni face au pillage de sa base de données. Ainsi, il est recommandé d’indiquer clairement sur tout support de diffusion d’une base de données, papier ou électronique, l’interdiction formelle d’en extraire le contenu, en se référant aux dispositions légales. Si la base est diffusée en ligne, cette interdiction doit apparaître de manière obligatoire avant tout accès aux données. Les bases existantes devront être auditées afin de s’assurer de leur protection effective par ces nouvelles mesures d’informations. Les conseils Mettre en place des mesures d’information du public sur l’interdiction d’extraire le contenu de ses bases de données. Auditer les bases de données existantes. Notes (1) CA Versailles 9ème ch. Rojo R. c/ Guy R. (2) Art. L. 341-1 et s. du C. de la propr. intellect. Laurence Tellier-Loniewski Avocat, Directrice du Département Propriété Intellectuelle Laurence-tellier-Loniewski @alain-bensoussan.com Paru dans la JTIT n°37/2005 p.1

Flash Info La nature et la durée de conservation des données de connexion enfin fixées Aux termes du décret du 24 mars 2006, la liste des données devant être conservées par les opérateurs de communications électroniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions, sont : Les informations permettant d’identifier l’utilisateur ; Les données relatives aux équipements terminaux de communication utilisés ; Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; Les données permettant d’identifier le ou les destinataires de la communication. Rappelons que ne sont pas visées les données portant sur le contenu des communications ou des sites web visités et que l’obligation ne concerne donc que les seules données de trafics définies par le décret comme « les informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi« . Il s’agit en fait des «logs de connexion» qui permettent de connaître l’heure et la durée d’une connexion Internet, ainsi que le numéro de protocole Internet utilisé pendant cette communication (adresse «IP»). Le décret fixe la durée de conservation à un an à compter du jour de l’enregistrement de ces informations. Enfin, en ce qui concerne la compensation financière qui sera versée aux opérateurs correspondant à la fourniture des données conservées, il faudra attendre un arrêté du ministre de l’économie, des finances et de l’industrie et du garde des sceaux. Décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques (JO n°73 du 26 mars 2006 p.4609) Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com

Biométrie Cyberterrorisme Le décret du 30 décembre 2005 relatif au passeport électronique va permettre la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Le nouveau passeport biométrique a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Le décret n°2005-1726 relatif au passeport électronique et paru le 30 décembre 2005

Informatique et libertés L’hébergement de données de santé : le nouveau cadre juridique Le chantier du dossier médical personnel (DMP) avance lentement mais sûrement. Le décret du 4 janvier 2006 qui concerne essentiellement l’aspect technique et informatique du projet de DMP va permettre de lancer les candidatures en vue de l’hébergement de données de santé selon la procédure et les exigences prescrites (sécurité, confidentialité…). Un véritable cadre juridique applicable à l’hébergement de données de santé à caractère personnel est ainsi fixé. Les conditions fixées par le décret du 4 janvier 2006 sont strictes compte tenu de la nature sensible des données hébergées, s’agissant d’informations médicales. Il est important de remarquer que le décret ne définit pas la notion « d’hébergement de données de santé » mais vise le fait de « déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet ». Dans ces conditions, l’hébergeur de données de santé ne doit pas être confondu avec « l’hébergeur » ou le « prestataire de stockage » visé par la loi pour la confiance dans l’économie numérique . Ces deux prestataires techniques sont différents : le premier s’apparente à une sorte de séquestre informatique auprès duquel sont « déposées » des données dont l’accessibilité est limitée alors que le second assure pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par ses clients. En outre, le Code de la santé publique complété par le décret prévoit les conditions que doit remplir le prestataire souhaitant obtenir l’agrément requis pour héberger des données de santé. Il devra notamment définir et mettre en œuvre une politique de confidentialité et de sécurité permettant d’assurer le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations et la pérennité des données hébergées. Ceci induira sans doute le déploiement de process nouveaux et la mise en place d’un schéma directeur visant à se conformer aux dispositions légales et notamment à la loi « Informatique et libertés ». De plus, la prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et son client (établissement de santé, médecins…) comportant neuf clauses obligatoires parmi lesquelles une clause mentionnant les indicateurs de qualité et de performance permettant la vérification du niveau de qualité de service annoncé et la périodicité de leur mesure, une clause décrivant les prestations réalisées, une autre relative aux obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt des données de santé à caractère personnel, en cas de modifications ou d’évolutions techniques introduites par lui, une autre relative à l’information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité d’hébergement, et enfin une clause traitant de l’information sur les garanties permettant de couvrir toute défaillance éventuelle de l’hébergeur. Il conviendra d’adapter les contrats d’hébergement existants à ces nouvelles exigences légales. Enfin, précisions que l’agrément est délivré aux hébergeurs de données de santé pour trois ans renouvelables et que le ministre de la santé peut procéder au retrait ou à la suspension de l’agrément dans certaines conditions. Ceci nécessitera d’établir un dossier d’agrément en bonne et due forme. Chloé Torres Directeur du département Informatique & libertés chloe-torres@alain-bensoussan.com

Flash Info Les enchères électroniques inversées interdites en matière de contrats de travail La loi qui vient d’être promulguée insère un article L. 121-10 au code du travail qui prévoit que les procédures d’enchères électroniques inversées sont interdites en matière de fixation du salaire. Tout contrat de travail stipulant un salaire fixé à l’issue d’une procédure d’enchères électroniques est nul de plein droit. Cette disposition vise à dissuader les employeurs de recourir à la pratique des enchères inversées lors du recrutement de salariés. Ce mode de recrutement consiste à mettre en concurrence sous la forme d’appel d’offres au moins disant, les candidats à un emploi. Ces derniers proposent leur offre de prix et sont tenus informés du prix proposé par les autres candidats, ce qui leur permet de proposer une offre inférieure, dans le délai imparti. Cette forme de dumping social est apparue incompatible avec les principes du droit social. Loi n°2006-396 du 31 mars 2006 pour l’égalité des chances (JO n°79 du 02.042006 p.4950, texte n°1) Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com

Propriété intellectuelle Edito Etat des lieux sur le projet de loi DADVSI : un débat stupéfiant ! En décembre dernier, une fronde parlementaire est survenue à l’occasion de l’examen du projet de loi sur le droit d’auteur transposant la directive européenne 2001/29, dont la mesure phare est la consécration d’un statut légal des mesures de protection techniques des œuvres numériques. Elle a conduit à faire adopter contre l’avis du gouvernement deux amendements identiques 153 et 154 visant à instaurer une «licence légale d’échange des œuvres sur l’internet», c’est-à-dire un système par lequel la publication d’une œuvre emporterait «cession du droit de mise à disposition du public sur des services de communications en ligne» au profit d’une société de gestion collective. Ainsi, moyennant paiement à leur fournisseur d’accès d’une taxe qui serait reversée à ladite société de gestion collective, les internautes pourraient librement non seulement télécharger tout fichier d’œuvre accessible par internet, mais aussi mettre en ligne les œuvres et les échanger au sein de la communauté des internautes, notamment via les logiciels et réseaux de «peer to peer». Les auteurs et éditeurs se verraient quant à eux privés du droit d’exploiter leur œuvre sur internet, et percevraient en contrepartie le produit de la taxe, à l’instar de ce qui existe par exemple pour la reproduction par reprographie. Or, la directive européenne, dont le projet de loi vise à garantir la transposition, non seulement consacre le droit pour les auteurs de recourir à des dispositifs de protection, mais rappelle le principe du « droit exclusif » des auteurs, d’exploiter leur œuvre, notamment dans le cadre de services interactifs à la demande. L’objectif qu’elle poursuit est la lutte contre le piratage afin de permettre l’essor des nouveaux marchés de la diffusion en ligne. La licence obligatoire de diffusion des œuvres sur l’internet s’inscrit ainsi en totale opposition de texte et d’esprit avec la réforme que la loi est censée instaurer. On peut encore s’étonner de voir proposer, sans l’appui d’une étude économique et financière sérieuse, un amendement dénoncé, en particulier par l’industrie cinématographique, comme la mort programmée de la création et qui, en toute hypothèse isolerait, dans son approche économique, la France du reste du monde, et notamment des autres pays européens. La licence globale apparaît ainsi une réponse inappropriée, tant sur le plan économique que juridique, aux excès que pourraient engendrer l’application de la directive, notamment la multiplication des supports « propriétaires », ou la disproportion des sanctions contre les internautes pratiquant le téléchargement. C’est, comme l’impose d’ailleurs la directive, dans l’équilibre entre protection du droit d’exploitation et copie privée qu’il faut trouver des solutions, et on ne peut que se réjouir de constater, à la lecture du communiqué Ministre de la culture du 14 janvier dernier, que les prochains amendements proposés iront dans cette direction. Laurence Tellier-Loniewski Avocat, directrice du département Propriété intellectuelle laurence-tellier-loniewski@alain-bensoussan.com

Ressources humaines Le phenomène du « JOBDUMPING » débarque en France On attendait depuis plusieurs mois la déclinaison française du site « jobdumping.de », ouvert en Allemagne à l’automne 2004, et c’est finalement le site « jobdealer.net » qui lui grille la politesse début novembre, en reprenant son concept : des offres d’emploi mises aux enchères inversées.   Le principe est simple ; le site propose des offres d’emplois en fixant un prix maximum, publiées par des entreprises. Les candidats déposent ensuite leurs réponses, en faisant une enchère sur le salaire.   Chacun peut donc enchérir à la baisse, « dans le respect du salaire minimum légal », précise toutefois Jobdealer.net.   Mais le site français revendique sa différence avec son concurrent allemand. En effet son objectif est avant tout d’offrir davantage de transparence et non pas de faire baisser les salaires.   Quoi qu’il en soit, le résultat est le même ; avec un tel outil, un employeur peut proposer une offre d’emploi en ligne et laisser les candidats y postuler pour tirer les salaires vers le bas.   Aujourd’hui, bien que le système heurte la morale, aucune disposition législative ou réglementaire n’interdit de publier une offre d’emploi visant à recruter un salarié à l’issue d’enchères inversées à distance, organisées par voie électronique, portant sur sa rémunération.   En effet les seules dispositions actuellement garanties par le Code du travail interdisent toute rémunération inférieure au SMIC.   Toutefois ce développement d’enchères électroniques inversées en matière de recrutement a suscité l’inquiétude des partenaires sociaux.   Ainsi dans un communiqué en date du 18 novembre 2005, la CFE-CGC a manifesté son opposition à l’émergence des sites reposant sur des enchères électroniques inversées. Le MEDEF, quant à lui, s’il approuve le système des enchères inversées de manière générale, paraît très réservé sur l’opportunité de permettre son utilisation lorsqu’un facteur humain est prépondérant.   Par ailleurs, Madame Kosciusko-Morizet, Députée de l’Essonne, a déposé le 23 janvier dernier à l’Assemblée Nationale une proposition de loi visant à interdire de tels systèmes pour la conclusion de contrats de travail.   Elle a par la suite fait de cette proposition un amendement au projet de loi consacré à l’Egalité des chances, estimant que ce mode constituerait sans aucun doute le véhicule législatif le plus adéquat. Cet amendement a ainsi été validé par la Commission des Affaires culturelles, familiales et sociales de l’Assemblée nationale laissant fortement augurer un vote favorable de l’Assemblée au moment où lui sera présenté l’article de loi visant à interdire totalement ce genre de pratique.   Mais, au delà de l’interrogation sur le cadre juridique de ce système, il est possible d’émettre des réserves quant à son intérêt même. En effet, le contrat de travail est avant tout un contrat intuitu personae, qui ne saurait être réduit au simple salaire. Dès lors que la relation de travail repose sur d’autres critères que le salaire, les systèmes d’enchères paraissent impropres à assurer un recrutement satisfaisant pour l’employeur.   Bien qu’original et innovant, le concept des enchères électroniques de recrutement ne semble pas rencontrer le succès escompté, et risque même de disparaître prématurément. Lexing Alain Bensoussan Avocats

Edito Prix de cession des données annuaires : une affaire à suivre L’ordonnance du 4 novembre 2004

Santé et Biotechnologies Les Editos La réforme sur la santé au regard de l’informatique et du numérique La loi du 13 août 2004 relative à l’assurance maladie organise une réforme substantielle visant à sauvegarder le système d’assurance maladie, tout en préservant ses principes fondamentaux.Si depuis le 1er janvier 2005 chaque assuré doit choisir son médecin traitant, la loi comporte cependant d’autres importantes nouveautés dans le domaine de la santé numérique. La mise en place d’une Haute Autorité de santé dont le décret du 26 octobre 2004 définit les fonctions, notamment la définition des règles de bonne pratique à respecter par les sites informatiques dédiés à la santé et les logiciels d’aide à la prescription médicale ainsi que les certifications correspondantes. Elle est entrée en fonction le 22 décembre 2004. L’instauration à compter du 1er juillet 2007 du dossier médical personnel créé auprès d’un hébergeur de données de santé à caractère personnel, activité désormais strictement encadrée et contrôlée. L’encouragement au développement de la télémédecine, activité qui se trouve aujourd’hui définie par le législateur. L’enjeu Assurer la mise en œuvre de produits et de services électroniques dans le respect des droits des patients. Maîtriser les nouvelles obligations des professions de santé Une des missions de la Haute Autorité est d’établir une procédure de certification des sites informatiques de santé et des logiciels d’aide à la prescription médicale ayant respecté un ensemble de règles de bonnes pratiques. La profession d’hébergeur de données de santé est particulièrement encadrée. Les actuels et futurs hébergeurs seront soumis à une procédure d’agrément prévue à l’article L.111-8 du Code de la santé publique et dont les modalités seront fixées par un décret.La prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et la personne concernée. L’article L.111-8 du Code de la Santé Publique prévoit néanmoins que tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement y compris avec l’accord de la personne concernée, est interdit sous peines de sanctions pénales. Une consécration législative de la télémédecine. Elle permettra d’effectuer des actes médicaux dans le strict respect des règles de déontologie mais à distance, sous le contrôle et la responsabilité d’un médecin en contact avec le patient par des moyens de communication appropriés à la réalisation de l’acte médical. Les schémas régionaux d’organisation sanitaire intègreront la télémédecine. Le conseil Anticiper la constitution du dossier de demande d’agrément d’hébergement de données de santé. Jean-françois Forgeron Avocat, Directeur du pôle Contentieux informatique jean-francois-forgeron@alain-bensoussan.com Valérie Séguinot valerie-seguinot@alain-bensoussan.com Paru dans la JTIT n°36/2005 p.1

Fiscalité/Société Archives Edito Maîtriser la fiscalité de la cession, la concession et l’importation d’un logiciel (juin 2006) Le traitement fiscal et comptable de l’amortissement des AMM mis en cohérence (mai 2006) Tenue des comptabilités informatisées : la sécurité avant tout ! (mars 2006) Le canal de l’internet bientôt ouvert aux conseils d’administration ? (janvier 2006)

Flash Info La CNIL sort son 26ème rapport d’activité 2005 Au cours de l’année 2005, les priorités de la CNIL ont été de faire connaître les droits des personnes en matière de biométrie, géolocalisation, vidéosurveillance, lutte contre le terrorisme, administration électronique, alertes professionnelles, mesure de la diversité des origines ainsi que le peer to peer. Le rapport met également en exergue l’impact de l’application de la nouvelle loi du 6 août 2004 et son décrêt d’application (désignation de simplification déclaratives, normes d’autorisation unique…) 26ème rapport d’activité 2005 de la Commission nationale de l’informatique et des libertés Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com