La Commission européenne a lancé, cet été, une consultation publique, ouverte jusqu’au 28 septembre 2009, sur la révision du règlement d’exemption sur les accords verticaux. Ce règlement, qui expire le 31 mai 2010, crée une zone de sécurité, en fixant les conditions dans lesquelles les accords de distribution échappent à la prohibition des ententes anticoncurrentielles.
Petit-déjeuner débat du 18 novembre 2009 consacré à la nouvelle donne juridique en matière de sécurité des systèmes d’information. L’année 2009 marque à n’en pas douter une « nouvelle donne » dans le droit de la sécurité des systèmes d’information en plaçant « l’abonné » au cœur du dispositif, comme en témoigne la récente loi Hadopi ou encore le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure, Loppsi. A titre d’exemple, l’article 11 de l’Hadopi modifiant l’article 336-3 du Code de la propriété intellectuelle prévoit que « La personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits (…) lorsqu’elle est requise ». En environnement professionnel la personne titulaire de l’accès sera, sans nul doute, l’entreprise. De fait, c’est à elle qu’il appartient de veiller à ce que l’accès à internet ne fasse pas l’objet d’une utilisation de nature à réaliser des actes de contrefaçon. De même, la « nouvelle donne » se matérialise par un ensemble de nouvelles menaces qui dépassent de loin, le système d’information de l’entreprise. Il importe aujourd’hui tout autant de s’intéresser à ce qui se passe au sein du SI de l’entreprise, qu’à ce qui peut se dire à son sujet, au sein des réseaux sociaux, nouveau terrain de prédilection des pirates en tout genre ou des concurrents peu scrupuleux. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner. De même, la « nouvelle donne » se matérialise par un ensemble de nouvelles menaces qui dépassent de loin, le système d’information de l’entreprise. Il importe aujourd’hui tout autant de s’intéresser à ce qui se passe au sein du SI de l’entreprise, qu’à ce qui peut se dire à son sujet, au sein des réseaux sociaux, nouveau terrain de prédilection des pirates en tout genre ou des concurrents peu scrupuleux. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner. Nouvelles menaces, nouvelle donne, nouvelle régulation en termes de sécurité des systèmes d’information, sont les principaux thèmes qui ont été abordés lors du petit-déjeuner.
Le Syndicat national des journalistes (SNJ) a fait citer à comparaître devant le tribunal de grande instance de Strasbourg la société Plurimedia, opérateur de télécommunications qui diffuse des émissions de télévision sur Internet. Des journalistes indépendants ayant également attrait la société Plurimedia devant le juge des référés commerciaux en raison de la diffusion d’un journal Les Dernières Nouvelles d’Alsace sur Internet, la jonction des deux procédures a été ordonnée. Les parties demanderesses, si elles reconnaissent au journal la propriété des droits sur une oeuvre collective, évoquent le respect des dispositions du contrat de travail et de la convention collective régissant leur profession, aux termes desquels la cession n’est consentie que pour la première publication et pour les supports expressément stipulés. En conséquence, la cession des droits en vue d’une diffusion sur un support non prévu au contrat impose à l’organe de diffusion de solliciter le consentement préalable de l’auteur et l’insertion de dispositions complémentaires au contrat. Concernant FR 3, les requérants soutiennent que « la presse audiovisuelle donne lieu à une oeuvre collective« , dont la cession est soumise aux mêmes conditions que celles invoquées pour le journal Les Dernières Nouvelles d’Alsace. Estimant que leurs droits moral et pécuniaires sur les oeuvres diffusées ont été méconnus, elles sollicitent du tribunal qu’il soit fait interdiction sous astreinte à la société défenderesse de diffuser les articles litigieux sur internet. Le tribunal, considérant que les journalistes « ne pouvaient céder le droit d’exploiter l’oeuvre sous une forme non prévisible et non prévue à la date du contrat », a jugée illicite la cession des émissions déjà diffusées par FR3, en l’absence de stipulation contractuelles expresses. Concernant Les Dernières Nouvelles d’Alsace, le tribunal a rappelé que « le journaliste limite la cession de son droit d’auteur à une première publication » et que « la reproduction de l’oeuvre d’un journaliste professionnel dans un autre périodique est soumise à autorisation », matérialisée par la signature d’une convention prévoyant les conditions dans lesquelles la reproduction est consentie. Ces dispositions s’appliquant à la diffusion d’articles sur internet, le juge des référés a accueilli favorablement les arguments des requérants et prononcé l’interdiction de diffuser sur internet les articles des Dernières Nouvelles d’Alsace et les émissions de FR3 jusqu’à l’obtention du consentement des auteurs. TGI Strasbourg du 3-2-1998
La fameuse prescription de trois mois concernant les délits de presse prévue par l’article 65 de la loi du 29 juillet 1881 pose nombre de problèmes, à différents degrés, en ce qui concerne les sites internet qui diffusent des textes à caractère raciste. Le point de départ de l’action doit être fixé à la date du premier acte de publication puis, en cas de nouvelle publication, la prescription doit être fixée au jour de chacune des publications nouvelles. En décidant de rendre son site accessible par une nouvelle adresse, plus courte, le prévenu avait créé un nouveau mode d’accès et qui plus est permettant d’accroître le nombre d’internautes. Les textes sont alors considérés comme réédités, la prescription de l’action publique n’est donc pas acquise. Adoptant une attitude aussi sévère à l’égard des « délinquants du monde de la presse», la loi Perben II a rallongé le délai de prescription à un an à compter de la première publication pour les auteurs de propos racistes ou négationnistes. CA Paris 11e ch. sect. B. 29 janvier 2004
Le décret du 24 octobre 2007 apporte des précisions indispensables à l’exercice du droit de réponse sur internet. Il est toutefois porteur en lui-même d’un certain nombre d’interrogations voire de difficultés quant à sa mise en oeuvre effective. Rappelons à cette occasion que les principales nouveautés de cette loi visent à consolider la lutte contre la contrefaçon en renforçant les procédures accélérées devant les juridictions civiles, en facilitant l’obtention d’informations sur les réseaux de contrefaçon et en améliorant la réparation du préjudice des victimes de la contrefaçon. Il précise les modalités du droit de réponse au bénéfice des personnes nommées ou désignées dans un service de communication au public en ligne institué par l’article 6 IV de la loi du 21 juin 2006 dite loi pour la confiance dans l’économie numérique. La demande d’exercice du droit de réponse, le cas échéant de suppression ou de rectification, est à adresser par lettre recommandée avec AR au directeur de publication du service en cause.Ce dernier est tenu d’insérer gratuitement dans les 3 jours suivant sa réception, la réponse, sous peine d’une amende de 3 750 euros. La demande doit indiquer notamment : les références du message, le nom de son auteur s’il est indiqué, sa nature (écrit, son ou images), la mention des passages contestés et la teneur de la réponse sollicitée. La réponse quant à elle, doit prendre la forme d’un écrit limité à la longueur du message litigieux, être mise à la disposition du public dans des conditions similaires à celles de ce dernier et durant la même période. Le présent décret soulève toutefois des difficultés. En particulier, son application pourrait se heurter au droit à l’anonymat des éditeurs personnes physiques de sites internet.Dans ce cas là il faudra sans doute s’adresser aux hébergeurs qui en application de ce décret ont l’obligation, dans un délai de 24 heures, sous peine d’une contravention de 4e classe, de transmettre la demande de droit de réponse à l’éditeur conformément aux éléments d’identification personnelle qu’ils détiendraient. En outre, le droit de réponse ainsi institué risque de voir son domaine d’application réduit car il ne s’applique pas lorsque le demandeur peut formuler directement des observations sur le service de communication au public en ligne. Décret 2007-1527 du 24-10-2007
Dans une décision du 14 novembre 2007, le Tribunal de grande instance de Paris rappelle que l’avocat qui collabore à la rubrique « Lois » d’un journal a la qualité d’auteur et que la diffusion de ses articles sur internet nécessite son autorisation. Les juges se sont prononcés en ce sens à l’occasion d’un litige opposant une avocate, à la société propriétaire du journal « Auto Plus », qui pendant de nombreuses années, et jusqu’en 2003, a publié dans sa rubrique « Lois » des articles juridiques signés de l’avocate. En 2005, la société a mis en ligne l’intégralité des numéros, y compris ceux comportant les articles de l’avocate, sans avoir sollicité l’accord préalable de celle-ci. Cette dernière a donc agi en contrefaçon à son encontre, sur le fondement de l’article L. 121-8 du Code de la propriété intellectuelle (CPI), qui pose en principe que l’auteur d’articles publiés dans un journal conserve le droit de reproduction et d’exploitation de ces articles. Pour sa défense, la société a contesté la qualité d’auteur des articles litigieux de l’avocate. Rappelant que la présomption, selon laquelle la qualité d’auteur appartient à celui sous le nom de qui l’œuvre est divulguée (art. L. 113-1 du CPI), est une présomption simple, qui peut être combattue par la preuve contraire, la société soutenait que l’avocate se bornait à fournir, sur « un sujet bien précis choisi par le journal Auto Plus », « une simple consultation », que le responsable de la rubrique au sein du journal était chargé de relire, corriger, voire réécrire en partie. Après avoir comparé certaines contributions de l’avocate avec les articles publiés correspondants, le tribunal a estimé au contraire qu’elle proposait au journal de véritables articles « empreints de sa personnalité ». Ils relèvent à cet égard le fait que les articles aient fait l’objet d’une remise en forme avant leur publication est courant dans l’élaboration d’un journal s’agissant d’une œuvre collective dont les contributions doivent s’insérer dans une maquette et correspondre aux centres d’intérêts du lectorat. Cette réécriture ne saurait détruire la qualité d’auteur. La qualité d’auteur étant ainsi reconnue, le tribunal a jugé que la société s’était rendue coupable d’actes de contrefaçon, l’édition électronique des articles constituant une nouvelle publication de ceux-ci. Cette solution traditionnelle (CA Lyon, 9 déc. 1999 ; Cass. civ. 1ère, 23 janv. 2001) est fondée, non par sur l’article L. 121-8 du CPI -disposition spécifique aux auteurs d’articles de presse-, mais sur l’article L. 122-4 qui interdit toute reproduction ou représentation d’une œuvre sans l’autorisation de l’auteur. TGI Paris 14 novembre 2007
Une ordonnance de référé du 19 novembre 2007 du TGI de Paris, saisi à la suite du refus par l’association UFC-Que-Choisir de publier un droit de réponse sur son site, vient préciser les conditions d’application des dispositions du décret du 24 octobre 2007 relatif au droit de réponse applicable aux services de communication en ligne. L’article 1 de ce décret dispose que la procédure du droit de réponse « ne peut être engagée lorsque les utilisateurs sont en mesure, du fait de la nature du service de communication au public en ligne, de formuler directement les observations qu’appelle de leur part un message qui les met en cause ». UFC-Que-Choisir estimait en conséquence que son site étant doté d’un forum de discussion, les demandeurs, qui avaient la possibilité de s’exprimer sur ce forum, ne pouvaient exiger un droit de réponse. Mais, au cas d’espèce, ce texte a été jugé inapplicable car les textes litigieux se trouvaient au cœur de la partie rédactionnelle du site et sur sa page d’accueil, et non sur son forum de discussion. Ainsi, l’article 1 du décret doit-il faire l’objet d’une application stricte et seulement dans le cas de propos publiés sur un forum. TGI Paris 19 novembre 2007
Plusieurs sénateurs ont déposé une proposition de loi visant à allonger le délai de prescription de l’action publique pour les diffamations, injures ou provocations commises par l’intermédiaire d’internet. Ces délits seraient soumis au même délai de prescription qu’ils soient commis sur internet ou dans la presse écrite. La proposition de loi tend à résoudre un problème bien identifié, mais non résolu, tout en prenant en compte la jurisprudence du Conseil constitutionnel, qui exclut une remise en cause du point de départ du délai de prescription de l’action publique et de l’action civile résultant des infractions visées par la loi du 29 juillet 1881. Elle prévoit donc simplement un allongement de trois mois à un an de ce délai si les infractions ont été commises par l’intermédiaire d’un service de communication au public en ligne. PLO Sénat 423 du 25-6-2008
Le Tribunal de grande instance de Tulles a condamné le 9 septembre 2008 le créateur d’un blog « devoir de mémoire » pour avoir diffusé un article relatif au massacre de Tulles commis le 9 juin 1944, faisant l’apologie de crime de guerre au sens de l’article 24 alinéa 5 de la loi du 29 juillet 1881.
Une proposition de loi veut étendre le délai de prescription pour les délits de presse commis sur internet. Ce délai serait porté de trois mois à un an à partir de la publication d’un contenu incriminé. Cette proposition de loi a été adoptée en première lecture par le Sénat et transmise à l’Assemblée nationale. Le Sénat propose que le dernier alinéa de l’article 65 de la loi du 29 juillet 1881 soit rédigé de la manière suivante :
Dans cette affaire, un individu a été poursuivi du chef d’injure et de diffamation publiques raciales, provocation à la haine ou à la violence raciale et provocation non suivie d’effet à des atteintes à la vie et à l’intégrité de la personne, à la suite de la diffusion sur son site internet accessible à l’adresse http://alter.org.costes/ au mois d’avril 1997, ainsi qu’à l’adresse http://costes.org/ au mois de juillet 1997, de textes intitulés « Apprenez le caniveau aux bicots », « Les races puent » et « Blanchette, tapette à bicots ». Le prévenu soutenait que les infractions poursuivies étaient prescrites, au sens de l’article 65 de la loi du 29 juillet 1881 sur la liberté de la presse, selon lequel ces infractions se prescrivent par trois mois, la diffusion des textes litigieux étant intervenue plus de trois mois avant l’engagement des poursuites. Il indiquait que l’adjonction de la nouvelle adresse internet ne correspondait ni à la création d’un nouveau site, ni à un changement de prestataire de stockage ou de lieu de stockage des données. L’article 65 de la loi du 29 juillet 1881 prévoit, pour les délits de presse, par dérogation à la règle de droit commun selon laquelle les délits se prescrivent par trois ans, une prescription abrégée de trois mois. En matière de délits de presse commis sur internet, le point de départ du délai de trois mois est la date du premier acte de publication, c’est-à-dire celle à laquelle le message a été mis pour la première fois à la disposition des internautes. La cour d’appel a rejeté l’exception de prescription de l’action publique soulevée par le prévenu, aux motifs qu’en créant un nouveau moyen d’accès à son site, plus accessible par une adresse plus courte et donc plus simple que l’adresse initiale, le prévenu a renouvelé la mise à disposition des textes incriminés dans des conditions assimilables à une réédition, faisant ainsi repartir le point de départ du délai de prescription de l’action publique, prévu par l’article 65 de la loi du 29 juillet 1881, à compter de la date de création de la seconde adresse permettant d’accéder au site. Par arrêt du 6 janvier 2009, la chambre criminelle de la Cour de cassation a jugé au contraire que « la simple adjonction d’une seconde adresse pour accéder à un site existant ne saurait caractériser un nouvel acte de publication de textes figurant déjà à l’identique sur ce site ». En d’autres termes, la modification d’une adresse URL pour accéder à un site existant ne caractérise pas un nouvel acte de publication. Cass. crim. 6 janvier 2009
Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information Les implications de la SOX sur les SI C’est pour répondre aux scandales Enron et Worldcom que le Congrès américain a voté en juillet 2002, la loi Sarbanes-Oxley (SOX) qui modifie les règles de gouvernance des sociétés cotées aux Etats-Unis. La SOX oblige ces sociétés à mettre en place un contrôle interne efficace concernant la gestion de leurs données financières et à déposer un rapport auprès de la SEC (Commission américaine des opérations de bourse). Les exigences de la SOX et ses implications s’étendent à toute société française qui serait cotée aux Etats-Unis et à toute filiale française d’une société américaine cotée aux Etats-Unis. Ces dispositions obligent les sociétés à appliquer des règles strictes de gouvernance sur leurs systèmes d’information (SI). L’entreprise et notamment le directeur des systèmes d’information (DSI), dispose d’un modèle de référence en matière d’audit et de maîtrise des systèmes d’information, la norme CobiT (Control Objectives for Business and related Technology) qui s’inscrit dans la lignée des nouvelles pratiques de la gouvernance informatique. Ces « bonnes pratiques », sont proposées par l’IT Governance Institute, pour mieux gérer les risques liés à l’informatique en tenant compte notamment des contraintes liées à la mise en œuvre des dispositions de la SOX. Le DSI joue un rôle fondamental dans ce processus de mise en conformité du SI. C’est lui qui doit en garantir la sécurité et les contrôles lesquels peuvent porter notamment sur la gestion électronique et l’archivage des documents ou des courriers électroniques, l’amélioration des systèmes financiers et la conduite du changement ou encore la sécurité des bases de données et des réseaux. Ces règles peuvent conduire à exiger des prestataires qu’ils respectent les processus de production de SI définis par les « bonnes pratiques » communes, de manière à optimiser la sécurité et la conformité. (Mise en ligne Juillet 2002)
Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information Renforcer sa politique de sécurité : une préocupation constante de l’entreprise Les moyens informatiques et les réseaux de télécoms sont devenus des outils de travail indispensables à l’activité quotidienne des entreprises.Or, l’utilisation de systèmes d’information et de communication de plus en plus ouverts avec l’extérieur rend indispensable la mise en œuvre d’une politique de sécurité visant à protéger de risques variés. Face aux nombreuses menaces et compte tenu des obligations imposées notamment par l’article 35 de la loi Informatique et Libertés (1) applicables à la protection des systèmes et des données nominatives, les entreprises doivent définir des politiques globales de sécurité. Les moyens techniques même s’ils sont indispensables ne sont pas suffisants et doivent s’accompagner d’une politique d’information et de sensibilisation des utilisateurs pour éviter que ceux-ci, par un comportement inapproprié, ne compromettent la sécurité de l’entreprise.Ceci explique le succès grandissant des chartes depuis quelques années dont la généralisation répond à ces préoccupations. En complément de la charte il apparaît nécessaire de définir des procédures pour la recherche et la conservation de la preuve en cas d’utilisation déviante des systèmes d’information et de télécoms ou encore d’agissement frauduleux avérés. Ces procédures doivent permettre de concilier efficacité et fiabilité des constats pour que ceux-ci soient juridiquement recevables et probants dans le respect des dispositions édictées par le Code du travail et par la loi Informatique et Libertés qui consacrent des exigences de proportionnalité, de transparence et de loyauté. Leur mise en œuvre nécessite par conséquent une bonne connaissance des textes applicables et des jurisprudences rendues en ces matières. Par ailleurs, il ne faudra pas oublier la gestion assurantielle des risques liés à la sécurité résultant notamment de la perte de chiffre d’affaires induite par des actes frauduleux ou encore les coûts engendrés par la reconstitution des données qui seraient altérées ou perdues. (1) Loi du 06/01/1978 modifiée par la loi du 06/08/2004. Paru dans la JTIT n°50/2006 p.2 (Mise en ligne Mars 2006)
Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information Gérer la convergence des systèmes d’information Il est extrêmement fréquent, voir courant, en cas de fusion ou de rachat de sociétés, ou même tout simplement en cas d’acquisition de nouveaux sites, que les différentes entités qui se regroupent disposent de systèmes informatiques différents. La forte augmentation des ERP ou des systèmes intégrés au sein des entreprises, rend indispensable pour les entreprises qui se rassemblent la disposition d’un seul et même système d’information pour l’ensemble du groupe. Elles doivent en effet, pouvoir obtenir des remontées d’informations homogènes de l’ensemble des sociétés du groupe et disposer de données uniques et conjointes. Faire converger les SI de plusieurs entreprises constitue un véritable projet informatique. Sa mise en oeuvre peut en effet, se révéler extrêmement délicate : ce n’est pas parce qu’un système a été éprouvé au sein d’une entreprise que la migration s’effectuera facilement au sein d’une entreprise nouvellement acquise. Il s’agit pour cette dernière d’un véritable projet de changement de SI. La réalisation d’un tel projet n’est pas limitée au choix du SI qui sera privilégié, même si cela constitue un préalable à la convergence des systèmes. Encore faut-il en examiner les modalités. Toutes les étapes nécessaires à l’implémentation d’une nouvelle solution devront également être respectées, depuis la vérification des besoins jusqu’à la conduite du changement. Cette convergence peut également avoir pour effet de remettre en cause les processus et implémentations d’ores et déjà réalisées dans l’entreprise dont le système d’information a été privilégié. Lorsqu’il y a plusieurs sites, différentes démarches peuvent être adoptées : déploiement du système déjà éprouvé sur l’ensemble des autres sites et identification des écarts ; réalisation d’un site pilote sur l’un des sites, avant déploiement du système… toutes ces solutions nécessitent de : vérifier les contrats existants sur chacun des autres sites et effectuer les due diligences (licences, maintenance, propriété, CNIL, assurance, sécurité…) ; souscrire un nouveau contrat avec l’intégrateur prestataire et/ou l’éditeur qui sera chargé d’effectuer cette convergence, l’enjeu étant considérable ; gérer l’impact sur le plan social : modification des conditions de travail nécessitant une interventions des IRP, redéploiement des ressources humaines… effectuer un audit de mise en conformité avec la loi informatique et libertés. Paru dans la JTIT n°53/2006 p.4 (Mise en ligne Juin 2006)
Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information La directive protection des programmes d’ordinateur Un objectif affiché de « clarté et de rationalité » La directive européenne du 23 avril 2009 relative à la protection des programmes d’ordinateur remplace la directive du 14 mai 1991 (1) qui avait déjà été transposée dans le Code de la propriété intellectuelle (2). A première lecture, il y a peu de modification. Le nouveau texte réaffirme le principe d’une protection du logiciel par le droit d’auteur en tant qu’œuvre littéraire tout comme l’affirmait déjà la directive de 1991. Elle ne modifie pas la définition même du « programme d’ordinateur », terme qui recouvre « les programmes sous quelque forme que ce soit », ainsi que « les travaux préparatoires de conception aboutissant au développement d’un programme, à condition qu’ils soient de nature à permettre la réalisation d’un programme d’ordinateur à un stade ultérieur ». On note toutefois certains changement de terminologie. Ainsi le terme « déroulement » a été remplacé par « exécution » et ceux d’ « acquéreur légal » par « acquéreur légitime ». Les actes soumis à restriction et leurs exceptions sont aussi intégralement repris de la directive remplacée. Le principe de l’autorisation « d’une » copie de sauvegarde qui a pu faire couler tant d’encre sur la question des copies illicites reste donc inchangé. Sauf disposition contractuelle différente qu’il conviendra de prévoir, l’exploitant d’un progiciel ne devrait pas pouvoir réaliser de multiples copies de sauvegarde, ce qui est contraire à la pratique et aux exigences de sécurité et de continuité d’exploitation qui commandent la définition et la mise en place d’un plan de sauvegarde total des serveurs sur de multiples supports. L’enjeux : L’adoption de cette directive est motivée par un objectif de « clarté et de rationalité », le contenu de la directive de 1991 ayant été modifié en 1993 par la directive 93/98/CEE sur l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Peu de changement au cadre juridique La directive en vigueur depuis le 25 mai 2009, apporte relativement peu de changement au cadre juridique de la protection des programmes d’ordinateurs. Par ailleurs, elle ne prévoit toujours pas les modalités d’accès aux codes sources pour exercer les droits conférés à l’acquéreur légitime, tels que par exemple, la réalisation de l’interopérabilité de programmes. Enfin, la directive ne contient plus aucune disposition sur la durée de protection, qui couvre donc soixante-dix ans à compter du 1er janvier de l’année civile suivant l’année de la publication du programme, conformément à la directive du 29 octobre 1993 relative à l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Rappelons que la date de publication est déterminée par tout mode de preuve de droit commun, et notamment par le dépôt légal. Les conseils : Comme par le passé, il demeure très important d’apporter des précisions dans les contrats sur les modalités de corrections des erreurs. (1) Directive 2009/24/CE du 23-4-2009. (2) Art. L. 122-6 et s. (Mise en ligne Novembre 2009) Paru dans la JTIT n°94/2009 Autres brèves La responsabilité du DSI en matière de SI : les mesures de préventions à prendre (Mise en ligne Mars 2006) Gérer la convergence des systèmes d’information (Mise en ligne Juin 2006 ) Renforcer sa politique de sécurité : une préocupation constante de l’entreprise (Mise en ligne Mars 2006) Les implications de la SOX sur les SI (Mise en ligne Juillet 2002)
La responsabilité du DSI en matière de SI : les mesures de préventions à prendre Aujourd’hui, le périmètre de connaissance du DSI va au-delà de l’informatique pure et s’étend aux compétences associées aux échanges d’informations via l’utilisation de nouvelles technologies dans l’entreprise. Le DSI est au cœur de la sécurité du système d’information de l’entreprise. Or la sécurité technique participe de la sécurité juridique. Le DSI doit donc avoir un minimum de connaissances juridiques en ce domaine. Parmi les principaux gisements de risques figurent les traitements de données à caractère personnel, le droit d’auteur, la contrefaçon et les usages illicites des outils de l’entreprise par les salariés. En outre, le nombre croissant de contraintes légales en matière de sécurité (LSF, Sarbanes-Oxley, I & L …) et les nouvelles méthodes de partage de l’information (portable, liaison WiFi, port USB…) qui rendent plus perméable le SI accroissent la responsabilité du DSI. Cette responsabilité croissante au niveau technique s’accompagne également d’une responsabilité plus importante au niveau juridique. La gestion du risque et de sa responsabilité passera par la prévention et la mise en place de chartes de bonne conduite des salariés concernant l’utilisation des systèmes d’information mis à leur disposition. Cette charte qui peut être annexée au règlement intérieur, peut être complétées par des livrets de procédure de sécurité afin d’organiser la traçabilité des incidents, le contrôle et la conservation de la preuve numérique. La Cour d’appel d’Aix en Provence (1) vient de condamner un employeur pour un usage illicite d’internet par un des ses employé ayant créée un site diffamant hébergé sur le serveur de l’entreprise. L’employeur doit donc prévoir explicitement toutes les interdictions en matière d’utilisation de l’internet sur le lieu du travail sous peine de voir sa responsabilité engagée au plan judiciaire. Ces interdictions doivent être fixées dans la limite du respect de la vie privée résiduelle, principe considéré comme fondamental par la Cour de cassation en 2001 (2), aux termes duquel un salarié a droit, « même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». (1) CA Aix en Provence, 2ème ch., 13 mars 2006 (2) Cass. soc. 2 octobre 2001, Arrêt Nikon (Mise en ligne Mars 2006)
La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles
Par ordonnance du 26 mars 2009, le Président du Tribunal de grande instance de Paris a ordonné, à la demande d’une société qui organise principalement des pèlerinages à la Mecque, l’insertion d’une réponse sur le site www.sospelerin.org.
10 conseils Cnil pour sécuriser son système d’information ont été publié sur son site : « 10 conseils pour sécuriser votre système d’information ».
Evénement Interview La-Croix.com 2009 12 novembre 2009 Interview de Alain Bensoussan Notre passé ne nous appartient plus… « Le droit à l’oubli numérique, c’est avant tout le droit de changer et d’être l’archiviste de son propre passé ; or, à ce jour, l’histoire de chaque internaute est gravée dans le marbre binaire » déclare Alain Bensoussan, interviewé par le journal La Croix, à l’occasion de son intervention à l’atelier « Droit à l’oubli » organisé à Sciences Po-Paris, à l’initiative de Nathalie Kosciusko-Morizet, secrétaire d’État chargée de la prospective et du développement numérique… (Lire l’interview…)
Les 10 conseils de la Cnil pour sécuriser son système d’information La Cnil a publié sur son site web « 10 conseils pour sécuriser votre système d’information », le 12 octobre dernier. Ces 10 conseils s’inscrivent naturellement dans le cadre de la loi Informatique et libertés. Pour mémoire, cette loi organise la gestion des données personnelles autour de quatre axes : les formalités préalables (déclarations normales, simplifiées, autorisations,…) ; le droit des personnes (droit à l’information, droit d’accès, droit de modification,…) ; les flux transfrontières de données ; la sécurité des traitements et de leurs données. Ce dernier axe relatif à la sécurité, bien trop souvent ignoré, repose essentiellement sur les articles 34 et 35 de la loi Informatique et libertés. L’article 34 de la loi dispose que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. […] ». Pour sa part, l’article 35 vise les cas où le responsable du traitement sous-traite tout ou partie de ses traitements automatisés de données auprès d’un tiers et définit les relations entre le sous-traitant et le responsable du traitement, pour ce qui concerne la sécurité. Ces 10 conseils s’intègrent donc dans le cadre des conditions d’application des articles 34 et 35 de la loi. Si la Commission s’est déjà prononcée de très nombreuses fois sur les questions de sécurité, lorsqu’un dossier ou un projet lui est soumis, c’est en revanche la première fois ou l’une des premières fois que la Commission se penche sur cette question en l’abordant selon une approche générale. S’agissant du statut du document lui-même, il s’agit de « conseils » et non d’une « délibération ». Ces « conseils » ne sont pas liants au plan juridique, mais leur portée ne sauraient être pour autant sous-estimée. A tout le moins, ces conseils s’intègrent dans ce qu’on pourrait qualifier de référentiel de « bonnes pratiques ». Ainsi, les entreprises, sans y être contraintes sont vivement invitées à suivre ces conseils de la Cnil, gardienne de la loi Informatique et libertés. Sans entrer dans le détail de ces dix conseils, il convient de relever que le conseil n°2 « Concevoir une procédure de création et de suppression des comptes utilisateurs » doit être mis en place au sein des entreprise, mais également intégré dans la charte de l’utilisation des systèmes d’information. S’agissant des conseils n°9 et 10, respectivement « Anticiper et formaliser une politique de sécurité du système d’information » et « Sensibiliser les utilisateurs aux risques informatiques et à la loi informatique et libertés », ils imposent à l’entreprise de dépasser le stade de la simple charte et de passer à celui d’une véritable gouvernance de la sécurité au sein de laquelle on retrouvera la charte des personnels pour l’utilisation des systèmes d’information mais aussi la charte « administrateur», la charte « accès », ou encore la charte « Informatique et libertés ». De même que le conseil n°10 impose également le passage d’une gouvernance statique à une gouvernance dynamique à travers des plans de formations ou de sensibilisation encore bien peu nombreux dans les entreprises. Les 10 conseils de la Cnil. (Mise en ligne Novembre 2009)
Informatique et libertés Droit des personnes Une proposition de loi sur le droit à la vie privée à l’heure du numérique Une proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique a été déposée le 6 novembre 2009. Elle fait suite au rapport d’information sur la vie privée à l’heure des mémoires numériques que les auteurs de la présente proposition de loi ont rendu public le 27 mai dernier. Pour que le citoyen puisse devenir acteur de sa propre protection, il ne suffit pas qu’il ait été sensibilisé, dès son plus jeune âge, aux enjeux du numérique au regard du droit à la vie privée ; encore faut-il que la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite « informatique et libertés », offre des garanties renforcées dans ce domaine. C’est pourquoi la présente proposition de loi modifient la loi « informatique et libertés » afin de traduire les recommandations de portée législative contenues dans le rapport d’information précité. La secrétaire d’État Nathalie Kosciusko-Morizet, s’en est également fait l’écho lors de l’atelier « Droit à l’oubli » organisé à Sciences Po-Paris, le 12 novembre 2009. Les articles 2 à 12 modifient la loi Informatique et libertés. Les principales modifications proposées sont les suivantes : rendre obligatoires les correspondants informatique et libertés lorsqu’une autorité publique ou un organisme privé recourt à un traitement de données à caractère personnel et que plus de cinquante personnes y ont directement accès ou sont chargées de sa mise en oeuvre ; imposer au responsable du traitement de délivrer, avant tout traitement de données, une information spécifique, claire et accessible portant sur : – la durée de conservation des données ; – la possibilité pour la personne concernée d’exercer ses droits de suppression, d’accès et de rectification par voie électronique, dès lors que le responsable du traitement dispose d’un site internet. L’article 6 de la proposition de loi impose également au responsable du traitement disposant d’un site internet d’y créer une rubrique spécifique, claire, accessible et permanente reprenant les mentions obligatoires prévues à l’article 32 de la loi Informatique et libertés, à savoir : l’obligation de notification à la Cnil des failles de sécurité ; l’obligation pour le responsable du traitement interrogé au titre du droit d’accès d’indiquer l’origine de la donnée. De plus, la proposition de loi renforce les pouvoirs de sanction de la Cnil. En effet, l’article 47 de la loi informatique et libertés limite la sanction financière à 150 000 euros, ou 300 000 euros en cas de manquement réitéré dans les cinq années, à condition de ne pas excéder 5 % du chiffre d’affaires hors taxes du dernier exercice clos. Ces montants seraient portés respectivement à 300 000 et 600 000 euros, ce dernier montant correspondant au niveau maximum de sanction susceptible d’être prononcé par l’agence espagnole de protection des données. Il en va de même dles possibilités d’actions juridictionnelles de la Cnil et des personnes en cas de méconnaissance, par un responsable du traitement, des dispositions de la loi informatique et libertés. Enfin, il convient de noter que plusieurs mesures permettent de donner une plus grande effectivité au droit à l’oubli numérique telles que : l’information donnée aux personnes, avant tout traitement, mais également de manière permanente, sur le site Internet du responsable du traitement, de la durée de conservation des données ; la possibilité de demander à la Cnil, pour les traitements déclarés auprès d’elle, la durée de conservation des données. L’article 14 prévoit l’entrée en vigueur de la loi six mois à compter de sa publication afin de laisser le temps aux entreprises et administrations de s’adapter aux nouvelles dispositions. Proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, Doc. Sénat n° 93 du 6 novembre 2009 (Mise en ligne Novembre 2009)
L’édito de la Lettre juristendance Informatique et libertés de Novembre-Décembre 2009 est consacré aux 10 conseils de la Cnil pour sécuriser son système d’information.
Propriété intellectuelle Pôles de compétitivité : bientôt un « correspondant propriété industrielle » Un rapport d’information a été déposé à l’Assemblée nationale le 23 septembre 2009 par la Commission des finances, de l’économie générale et du contrôle budgétaire en conclusion des travaux de la mission d’évaluation et de contrôle (MEC) sur les perspectives des pôles de compétitivité. De février à septembre 2009, les évaluateurs de la mission ont entendu les principaux acteurs de la politique des pôles de compétitivité depuis 2005. Cet audit avait pour objectif de diagnostiquer et d’évaluer le dispositif national des pôles de compétitivité et de présenter des recommandations pôle par pôle. La première partie du rapport présente un diagnostic sur le fonctionnement des pôles qui affichent une véritable dynamique d’innovations avec un nombre de projets de recherche collaborative croissant. Or, des difficultés demeurent en raison notamment d’un système de financement complexe, d’insuffisances dans le pilotage de la politique nationale, d’insuffisances de mobilisation des PME et des chercheurs dans les instances de gouvernance pilotées par les grands industriels ainsi que dans la phase de valorisation des projets de recherche. Dans sa seconde partie, le rapport présente quinze propositions prioritaires assorties de recommandations pour améliorer la politique industrielle de la France par le canal des pôles de compétitivité pour la période 2009-2011. Ces propositions s’articulent autour de trois axes principaux : renforcer le rôle d’interface des pôles entre la recherche et les entreprises (assurer le passage de la recherche fondamentale à la recherche industrielle au sein des pôles, améliorer le partage et la diffusion de la recherche, promouvoir la recherche dans le domaine des éco-technologies au sein des pôles) ; optimiser les circuits de financement des pôles (simplifier l’accès aux dispositifs de financement public existants, développer les sources de financement privé au sein des pôles) ; mener des actions ciblées en direction des PME (procédure d’intégration aux pôles, procédure de financement). En matière de propriété industrielle, la situation actuelle laisse apparaître des faiblesses (pouvoir de négociation des PME face aux grands groupes dans l’établissement du contrat de consortium, absence de réflexion préalable à la répartition des droits de propriété intellectuelle…). Le rapport suggère de former un « correspondant propriété industrielle » au sein de l’équipe d’animation de chaque pôle de compétitivité en s’appuyant sur les services de l’Institut national de la propriété industrielle. Enfin, au sein du compte-rendu des auditions, il est fait état du guide de la propriété industrielle qui semble être un bon outil de base pour s’orienter de façon simple et pragmatique pour ce qui concerne des questions de propriété industrielle, les utilisateurs étant heureux de disposer d’un document de référence. Assemblée nationale, rapport n°1930, 23 septembre 2009. (Mise en ligne Novembre 2009) Autres brèves « Pôles 2.0 » : en 2009, les pôles de compétitivité entrent dans une deuxième phase de développement (Mise en ligne Février 2009) Le plan « ecotech 2012 » : un plan en faveur des éco-industries et des pôles de compétitivité (Mise en ligne Janvier 2009) Forts de leur succès, les pôles de compétitivité sont reconduits pour 3 ans (Mise en ligne Juin 2008) Guide de la propriété intellectuelle dans les pôles de compétitivité (Mise en ligne Janvier 2008)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |