mars 2010

Informatique Fraude informatique Le vol d’information Ayant, sur l’incitation de son ancien supérieur hiérarchique, quitté sa société d’assurance, un employé avait emporté ses fichiers personnels et était retourné dans les locaux de son ancienne société pour subtiliser diverses disquettes informatiques et listings papier contenant des listes de clients à démarcher ou ayant déjà souscrit un contrat d’assurance. Cette affaire fait appel à la notion de vol d’information, thème très controversé au sein de la doctrine et de la jurisprudence. Le vol implique une atteinte à la propriété, or l’information n’est pas un bien susceptible d’appropriation. Pourtant, les juges ont considéré que l’infraction de vol pouvait être qualifiée, en énonçant que la documentation personnelle d’un salarié constituée à l’occasion de son travail et dans le cadre de celui-ci est et reste la propriété de son employeur et qu’il en est spécialement responsable, ainsi des fichiers de clients réels ou potentiels constitués par des démarcheurs et autres commerciaux, dès lors qu’ils ont le statut de salarié. La cour a considéré de plus que l’infraction de vol constituait une atteinte à la possession et non à la propriété, éludant ainsi le problème de la notion de vol d’information. L’élément intentionnel, quant à lui, existe dès lors que l’auteur a su que l’objet volé n’était pas sa propriété personnelle, ce qui est le cas en l’espèce. CA Grenoble ch. corr., 15 février 1995 (Mise en ligne Février 1995)

Informatique Fraude informatique La cyberdélinquance en 2004 Le Clusif a présenté le 13 janvier 2005 son panorama de la cybercriminalité, année 2004(1) dans lequel il fait état de la tendance à la professionnalisation de la cyberdélinquance qui semble se dessiner. Deux tendances lourdes dans cette recherche de profits illicites : le vol et le chantage. Il s’agit pour les cyberdélinquants de s’approprier des fichiers de données et/ou des codes soit pour en bénéficier à titre personnel, soit pour les revendre à des concurrents ou à des utilisateurs peu regardants sur l’origine de ces produits. Paradoxalement, ce sera rarement le délit de vol qui sera poursuivi pour ce type de pratiques car ce délit est caractérisé par « la soustraction frauduleuse de la chose d’autrui ». Or, il n’est pas établi qu’une information numérique puisse être qualifiée de « chose ». La frontière ne semble pas infranchissable pour la qualification de vols puisque l’article L. 311-2 du Code pénal envisage le vol d’énergie. En l’état, les moyens privilégiés de poursuite d’un tel comportement sont les délits de fraude informatique qui sanctionnent : de 2 ans de prison ou 30 000 € d’amende, le fait d’accéder ou de se maintenir frauduleusement dans tout ou partie d’un système de traitements automatisés de données (STAD) ; de 3 ans de prison et de 45 000 € d’amende, le même délit lorsqu’il en résulte soit la suppression ou modification de données du système, soit une altération de son fonctionnement ; de 5 ans de prison et de 75 000 € d’amende, le fait d’entraver ou de fausser le fonctionnement d’un STAD. En outre, pour les producteurs de bases de données, l’article L. 341-1 du Code de la propriété intellectuelle dispose que ce dernier a le droit d’interdire « l’extraction par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support par tout moyen ou sous toute forme que ce soit… ». Le non-respect d’un tel droit civilement et pénalement sanctionné (3 ans de prison et 300 000 € d’amende ou 5 ans de prison et 500 000 € d’amende pour les délit commis en bande organisée). (1)Disponible au format PDF ou ZIP sur www.clusif.asso.fr Paru dans la JTIT n°37/2005 p.2 (Mise en ligne Janvier 2005)

Informatique Fraude informatique Cybercriminalité En adoptant une nouvelle incrimination, le droit pénal français renforce ses moyens de lutter contre les atteintes aux systèmes de traitement automatisé de données (STAD). Alors que les peines prévues concernant les actes déjà précédemment réprimés : l’accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données ; le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ; le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou modifier frauduleusement les données qu’il contient ; font maintenant l’objet d’un doublement dans la plupart des cas, est désormais interdite la simple détention d’un moyen, quelqu’il soit, conçu ou spécialement adapté à la commission des infractions qui relèvent de la fraude informatique. Ainsi le fait de détenir « tout simplement » un logiciel permettant de contourner un dispositif de protection logique d’un système d’information, est passible des sanctions pénales de la fraude informatique. Pour y échapper, il faut démontrer l’existence d’un motif légitime dont les contours restent à préciser. (Mise en ligne Avril 2005)

Informatique Fraude informatique La fraude informatique Un informaticien a été sévèrement condamné pour accès frauduleux et entrave au fonctionnement de systèmes informatiques. Il a pris le contrôle du serveur d’une société à partir duquel il a lancé des attaques systématiques vers des centaines de sites gouvernementaux pour soit disant « explorer leurs failles ». Pour cela, il a introduit dans le serveur divers programmes lui permettant de contrôler le serveur à distance. Il a ensuite introduit la liste des cibles choisies, ainsi que sa revendication, un message d’alerte aux administrateurs sur l’insécurité de leur système. Au total, 394 serveurs gouvernementaux (dont le serveurs du Casier judiciaire national) ont été attaqués et 63 autres serveurs publics ou privés (sites d’entreprises ou de grandes écoles). Le tribunal correctionnel de Paris a fait preuve d’une certaine exemplarité, car les faits n’ont pas eu de conséquences dramatiques. L’auteur des attaques a été condamné, au titre de la loi Godfrain, sur la fraude informatique (notamment accès frauduleux et entrave au fonctionnement d’un STAD), à quatre mois de prison avec sursis avec inscription au casier judiciaire, ainsi qu’à indemniser les parties civiles à hauteur de 1500 € chacune. Cette décision illustre la capacité des tribunaux à apporter une véritable réponse judiciaire à ce type de criminalité et doit inciter les entreprises victimes à porter plainte pour être indemnisées. TGI Paris, 12e ch., 02 juin 2006 (Mise en ligne Juin 2006)

Informatique Fraude informatique Les chartes d’entreprise : une protection efficace contre la fraude informatique ! Usurpation de codes informatiques, détournement des systèmes de protection, introduction d’opérations fictives dans le système d’information, autant de pratiques relancées par les récents événements survenus dans le secteur bancaire. Ces agissements sont susceptibles de recevoir une qualification pénale. Ainsi, de nombreuses dispositions(1) répriment avec rigueur la fraude informatique. Articulée autour de quatre incriminations, la répression des atteintes aux systèmes de traitement automatisé de données porte sur : le fait d’accéder ou de se maintenir frauduleusement dans toute ou partie d’un système d’information, avec ou sans influence ; le fait d’entraver ou de fausser le fonctionnement d’un système d’information ; le fait d’introduire frauduleusement des données dans un système d’information ou de supprimer ou modifier frauduleusement les données qu’il contient ; le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçue ou spécialement adaptée pour commettre une fraude informatique. La fraude informatique donne lieu à de lourdes sanctions, notamment financières, à l’encontre des personnes physiques et des personnes morales(2). Cette délinquance toujours plus ingénieuse est souvent le fruit de la malveillance interne. Certains y voient le résultat d’une absence d’étique(3) qu’un dispositif de régulation doit permettre de compenser. En matière d’usage des ressources des systèmes d’informations de l’entreprise, on veillera ainsi à disposer d’une charte d’utilisation adjointe à la charte des administrateurs systèmes. La charte d’utilisation, dont la vocation est de réguler l’usage des systèmes informatiques et de télécommunications, permet aussi de sensibiliser les utilisateurs à ce qui est interdit par la loi, par exemple, contrefaçon, traitement de données à caractère personnel et fraude informatique. La charte administrateur, qui encadre les fonctions assurées par ce personnel, permet aussi de faciliter l’administration de la preuve des usages indélicats, ou tout simplement pénalement répréhensibles, ce qui fait parfois défaut en la matière (fiabilité des preuves numériques et difficultés de la preuve du caractère intentionnel et de l’imputabilité). Notes (1) C. pén., art. 323-1 et s. (2) TGI Paris, 12e ch., 02/06/2006. (3) Les entreprises et la fraude, étude Grant Thornton, juin 2002. www.grantthornton.fr Paru dans la JTIT n°74/2008 p.1 (Mise en ligne Février 2008)

Informatique Fraude informatique Aspects juridiques de la sécurité informatique : le rapport Clusif 2008 Le Clusif (club de la sécurité de l’information français) a publié au mois de juin 2008 son rapport annuel sur la sécurité des systèmes d’information : « menaces informatiques et pratiques de sécurité en France ». Ce rapport couvre un large spectre puisqu’il repose sur une enquête détaillée menée auprès d’entreprises de plus de 200 salariés couvrant de nombreux secteurs d’activités mais aussi des collectivités locales et des internautes. Les indicateurs nombreux et précis présentés dans le rapport permettent de constater « un inquiétant sentiment de stagnation » selon les termes du rapport, dans la mise en application concrète des politiques de sécurité. Les constats du Clusif sont en effet relativement inquiétants lorsqu’il est mentionné que 40 % des entreprises ne disposent pas de plan de continuité d’activité pour traiter les crises majeures et 30 % admettent ne pas être en conformité avec la loi Informatique et libertés. Pour autant, c’est fort justement que le Clusif souligne que les risques ne faiblissent pas et deux exemples récents dont la presse s’est fait l’écho illustrent la menace que fait peser sur une entreprise une malveillance sur un système d’information ou une défaillance affectant la disponibilité des services. Ainsi le 3 septembre 2008 la société Dassault Systems a indiqué qu’un fichier comportant les adresses de 3 216 clients et un ensemble secrets commerciaux avait été diffusé sur l’intranet d’une filiale du groupe Siemens et ce alors que ces données étaient protégées. Plus récemment, le 8 septembre, une panne informatique de près de sept heures a contraint le London Stock Exchange à suspendre les cotations de la bourse de Londres. Ces deux incidents sont emblématiques en ce qu’ils concernent des acteurs qui disposent sans doute des politiques de sécurité parmi les plus sophistiquées et ceci rappelle que le risque zéro n’existe pas. Pour autant, une telle actualité montre l’impérieuse nécessité de se doter des moyens techniques organisationnels, budgétaires mais aussi juridiques permettant de minorer si ce n’est d’éliminer de tels risques. Le volet juridique est bien une composante structurelle des politiques de sécurité en ce qu’il ne doit pas seulement être le recours ultime quand le risque s’est réalisé mais un ensemble de mesures et pratiques concourrant à la gestion de ce risque. Les aspects juridiques divers et variés concourrant à une politique de sécurisation des systèmes d’information peuvent être implémentés à des fins préventives, de manière évolutive et enfin de manière curative. En effet, l’exploitation d’un système d’information s’inscrit dans un contexte légal et réglementaire plus ou moins complexe selon les secteurs d’activités concernés. Un système d’information est juridiquement sensible, notamment en ce qu’il met en œuvre des éléments logiciels des données et des bases de données. Du point de vue des éléments logiciels, ceux-ci présentent la particularité d’être soumis à la protection par le droit d’auteur, ce qui confère à leurs auteurs ou éditeurs des prérogatives extrêmement larges du point de vue de leurs conditions d’utilisation et de maintenance. Des pratiques de commercialisation ou de distribution extrêmement variées sont ainsi développées : de la licence propriétaire la plus stricte jusqu’aux licences de logiciels libres les plus libérales. La disponibilité des droits d’exploitation des logiciels concourrant au bon fonctionnement des systèmes d’information constitue une mesure de base indispensable à la garantie de la continuité du service. A titre d’exemple d’une politique juridique des systèmes d’information, le contrôle des droits d’exploitation des composants logiciels semble être une précaution élémentaire et indispensable. Il en est de même pour les données et les bases de données qui, sous certaines conditions (notamment d’originalité), peuvent être qualifiées d’œuvres de l’esprit protégeables par la législation sur le droit d’auteur. L’importation et la diffusion par exemple sur l’intranet de l’entreprise de données protégées ne sont a priori pas libres et doivent donc faire l’objet de mesures préventives pour éviter des téléchargements illicites et des mesures de contrôle pour valider les droits d’exploitation des données utilisées. Enfin, même non originales, les bases de données considérées comme des collections de données bénéficient d’une protection juridique particulière permettant à leur producteur de définir les conditions d’utilisation qualitativement ou quantitativement substantielles de leur base de données. Le contrôle des politiques de liens sur les bases de données à usage restreint fait aussi parti des mesures juridiques concourrant à une politique de sécurité des systèmes d’information. Ces quelques exemples ne portent que sur la gestion des droits de propriété intellectuelle dans les composants des systèmes d’information. Cependant, les aspects juridiques de la sécurité ne se limitent pas à ces risques de non-respect des droits de propriété intellectuelle et l’on peut également évoquer l’obligation de conformité de la collecte et des traitements de données à caractère personnel par rapport à la loi Informatique et libertés ou encore les exigences de traçabilité et de transparence des systèmes et des traitements au regard des dispositions légales relatives aux comptabilités informatisées ou de la loi sur la sécurité financière. De même, peut être intégrée dans les processus concourrant à une politique de sécurité la vérification des impacts de l’évolution ou de la modification des systèmes d’information en vue notamment de déclencher les procédures d’information ou de consultation des institutions représentatives des personnels quand il y a lieu. Le rapport du Clusif souligne qu’un certain nombre d’entreprises et de collectivités locales organisent leur politique de sécurité conformément à un environnement normatif de type ISO 17799 ou 27001, ce qui paraît encourageant à la condition que les aspects juridiques de la sécurité soient pris en compte et intégrés le plus en amont possible dans les systèmes de management de la sécurité de l’information. Rapport 2008 du Clusif disponible sur www.clusif.asso.fr (Mise en ligne Septembre 2008)

Informatique Fraude informatique Accès non autorisé à un système informatique dépourvu de dispositif de sécurité La protection d’un système de traitement automatisé de données par un dispositif de sécurité n’est pas une condition du délit d’accès frauduleux dans un système de traitement automatisé de données : il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées. Dans son arrêt du 30 octobre 2002 réformant le jugement du Tribunal de grande instance du 13 février 2002, la Cour d’appel de Paris ne dit pas autre chose en considérant qu’ « il ne peut être reproché à un internaute d’accéder (..) aux parties d’un site qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font (…) l’objet d’aucune protection de la part de l’exploitant du site (…) devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès ». En d’autres termes, le caractère frauduleux de l’accès ne saurait être constaté dans le cas d’un système en libre accès, mais seulement dans la mesure où l’accès normal au système est restreint, sans pour autant devoir systématiquement recourir à un dispositif de sécurité. CA Paris 12e ch., sect. A, 30 octobre 2002, Antoine C. / Ministère public, société Tati. (Mise en ligne Octobre 2008)

Informatique Les droits et obligations de l’utilisateur Les droits de l’utilisateur : la copie de sauvegarde Un distributeur de logiciels, qui offrait à la vente un logiciel et une copie de sauvegarde de celui-ci protégés contre toute copie illicite par une technique de « plombage », avait vu deux sociétés informatiques proposer à la vente des programmes de « déplombage » permettant la reproduction de ces logiciels et avait en outre diffusé des propos dénigrants à son égard. Le législateur a, depuis longtemps, introduit la notion de copie de sauvegarde, dont un seul exemplaire est autorisé, afin de pallier la défaillance de la version acquise. Cependant, la mise sur le marché de moyens permettant d’effectuer une copie de sauvegarde n’est pas prohibée et comme l’indiquent l’article 5 de la directive du 14 mai 1991 et l’article L122-6-2 du Code de la propriété intellectuelle, on ne peut empêcher par contrat l’utilisateur de faire une copie de sauvegarde et les notices d’utilisation doivent rappeler que l’utilisation de moyens illicites est passible de sanctions en cas de contrefaçon. En l’espèce, la cour de cassation a estimé que dès lors qu’il a reçu du vendeur une copie de sauvegarde, fût-elle unique et protégée contre les reproductions, l’acheteur est rempli de ses droits. Les deux sociétés informatiques ont été condamnées pour concurrence déloyale. L’interprétation de la notion de copie de sauvegarde doit être stricte, celle-ci ne pouvant être utilisée sans l’accord de l’auteur que lorsqu’elle est nécessaire pour préserver l’utilisation du logiciel. Cass. com. Paris, 22 mai 1991 Article L. 122-6 du Code de la propriété intellectuelle (Mise en ligne Mai 1991)

Informatique Les droits et obligations de l’utilisateur Le paiement du prix et l’exception d’inexécution Après avoir commandé divers logiciels de paie et de comptabilité auprès d’un fournisseur informatique, une société de presse avait assigné le prestataire en résolution de la vente, ce dernier n’ayant pu réaliser les adaptations à ses besoins spécifiques. Face à une demande de soustraction à une obligation de payer, les juges recherchent la gravité de l’inexécution des obligations des parties et examinent si le client n’a commis aucun manquement à son obligation de collaboration. En l’espèce, le client avait été parfaitement informé des possibilités et des limites des logiciels vendus. De surcroît, la modification n’a pu être menée à bien à cause notamment du comportement du client, lequel a rompu les relations contractuelles prématurément. Le client a donc manqué à ses obligations contractuelles, il ne peut demander, de ce fait, la résolution du contrat et doit en payer le prix. L’exception d’inexécution n’est applicable que dans des cas bien limités, d’une certaine gravité et ne doit en aucun cas être invoquée lorsque le client a manqué à son obligation de collaboration. Cass. com. 9 mai 1995 (Mise en ligne Mai 1995)

Informatique Copie privée La décision fixant la taxe pour copie privée annulée par le Conseil d’Etat Le Conseil d’Etat a annulé la décision de la commission d’Albis chargée de fixer la rémunération mettant en place la taxe pour copie privée. Rappelons que l’auteur bénéficie sur son œuvre d’un monopole d’exploitation et que par exception, lorsqu’une œuvre a été divulguée, l’auteur ne peut interdire les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective. Une rémunération pour copie privée est prévue afin de compenser la perte de revenus ainsi occasionnée. Par une décision du 20 juillet 2006, la commission avait déterminé les montants de la rémunération pour copie privée perçue sur les supports d’enregistrement en raison du préjudice subi du fait des copies licites mais qui tenait également compte des copies illicites de vidéogrammes ou de phonogrammes. Dans son arrêt du 11 juillet 2008, le conseil d’état rappelle que la rémunération pour copie privée a pour unique objet de compenser pour les auteurs, les pertes de revenus occasionnées par les copies privées réalisées à partir d’une source acquise licitement et n’a pas vocation à compenser celles générées par la contrefaçon. Il en déduit que la détermination d’une rémunération pour copie privée ne peut prendre en considération que les copies licites réalisées à partir d’une source acquise licitement et annule par là même, la décision de la commission prévue à l’article L.311-5 du code de la propriété intellectuelle. Cette décision en raison de la protection de l’intérêt général, n’aura toutefois pas d’effet rétroactif et l’annulation n’interviendra qu’à l’issue d’un délai de six mois à compter de sa notification au ministre de la culture. CE du 11 juillet 2008 (Mise en ligne Juillet 2008)

Informatique Contrat La matrice des obligations contractuelles : un outil indispensable Dans les contrats de services informatiques, la séparation entre maîtrises d’œuvre et maîtrise d’ouvrage avec une affectation binaire des responsabilités en considération de qualifications globales est insuffisante à traduire l’imbrication des prestations et le rôle réel des parties dans la production des livrables. Il est pertinent d’avoir recours à une matrice des obligations contractuelles qui sera intégrée dans le plan qualité projet annexé au contrat et à laquelle pourra renvoyer la clause de responsabilité du contrat. Cette matrice peut se présenter sous la forme d’un tableau à quatre colonnes dans lequel figureront la liste des obligations contractuelles essentielles, le débiteur et le créancier de l’obligation ainsi qu’une quotation du poids de l’obligation en fonction du risque que les parties associent à l’inexécution ou la mauvaise exécution des obligations. En imaginant plusieurs degrés de criticité des fautes, plusieurs plafonds de responsabilité pourraient être convenus étant entendu qu’il s’agirait de plafonds et non de forfaits automatiques de réparation. Cass. 22 avril 2005 pourvoi n°03-14112 (Mise en ligne Avril 2005)

Informatique Contrat Infogérance et plan de réversibilité Le mois de décembre, traditionnellement consacré aux budgets est souvent propice aux réflexions stratégiques, notamment en ce qui concerne l’externalisation des systèmes d’information. Mais la décision d’y mettre un terme, soit pour des raisons économiques ou de qualité de la prestation, nécessite d’anticiper le terme du contrat. Il s’agit alors de prévoir la réversibilité de la prestation d’infogérance souvent envisagée par le contrat au travers de ses composantes juridiques. Il est pourtant impératif d’associer au processus de réversibilité un document à vocation technico-économico juridique souvent désigné par le terme « plan de réversibilité », document ayant vocation à organiser de façon pratique les processus techniques et administratifs qui doivent précéder la fin du contrat. Le plan de réversibilité couramment prévu au contrat, doit être en principe élaboré dans les tous premiers mois de la relation contractuelle, et indépendamment de tout objectif précis quant à l’issue du contrat. Il doit envisager soit la « réinternalisation » de la prestation, c’est-à-dire, le rapatriement des processus et des moyens chez le client ou la « transférabilité » qui correspond au passage d’un infogérant à un autre. Articulé autour des composantes de la prestation externalisée (matériels, logiciels, ressources humaines, infrastructures…), le plan de réversibilité initial dresse d’abord l’inventaire des éléments qui seront nécessaires à la poursuite de l’exploitation à la fin du contrat d’infogérance. Il est impératif qu’il soit régulièrement mis à jour afin de tenir compte de l’évolution du périmètre de l’infogérance et des services associés. En termes techniques, il contient par exemple, le détail des procédures de désinstallation, de transport et de réinstallation alors qu’en termes économiques, il comprend l’évaluation des éventuels actifs à céder au client ou au futur infogérant et qu’en termes juridiques, il prévoit en fonction des préavis nécessaires, les éventuels transferts de contrat et autres démarches administratives. Paru dans la JTIT n°47/2005 p.2 (Mise en ligne Décembre 2005)

Informatique Contrat La « tierce recette applicative » : une tendance s’inscrivant dans une démarche qualité Nouveau-né issu de la tendance grandissante à l’externalisation, le recours à la Tierce Recette Applicative (TRA) consiste à faire appel à une entreprise tierce, en vue de la réalisation des tests des logiciels spécifiques réalisés en interne comme en externe, à l’aide d’une société extérieure. Habituellement pratiqués par la maîtrise d’ouvrage ou la maîtrise d’œuvre, les tests (en particulier fonctionnels), les problématiques d’interface et de sécurité sont de plus en plus souvent confiés à un homme de l’art. Cette tendance est apparue tout particulièrement dans les secteurs les plus habitués aux processus de contrôle qualité. Elle s’inscrit dans une démarche qualité qui va de paire avec une meilleure utilisation des applications informatiques par le public. L’autre raison d’externaliser cette fonction est de mieux la structurer par une normalisation des procédures de recette. Le contrat de TRA doit respecter les objectifs poursuivis, à savoir disposer de l’approche d’un spécialiste et d’une vision objective de la qualité des développements. C’est en effet la recette qui doit s’adapter aux objectifs. Les engagements du prestataire de TRA doivent être articulés autour des éléments majeurs suivants :        l’indispensable indépendance à l’égard des développeurs ;        une méthodologie éprouvée ;        des moyens techniques adéquats ;        les niveaux de service précis en relation avec les enjeux et le calendrier du projet. Assorti d’une obligation de résultat, le contrat peut aussi, au travers du taux d’anomalies apparues à l’usage après les tests, sanctionner les performances de la TRA. Un prix forfaitaire, le cas échéant, calculé à l’aide d’unité d’œuvre, permet à l’évidence d’éviter certaines dérives. Paru dans la JTIT n°48/2006 p.2 (Mise en ligne Janvier 2006)

Informatique Contrat La fin du mandat peut compromettre l’action en garantie… S’il peut être extrêmement tentant pour le client-utilisateur, de cesser de payer les loyers sur un matériel ou une solution qu’il n’utilise pas et pour laquelle, il a demandé la résolution soit l’anéantissement du contrat, dans les faits, il apparaît que cette option est extrêmement dangereuse. C’est l’enseignement qu’il faut tirer de la décision de la Cour de Cassation rendue le 11 juillet 2006 dans laquelle, le crédit-preneur, ayant engagé une action en résolution à l’encontre du fournisseur et une demande de résiliation du contrat de crédit-bail, a décidé de cesser de payer les loyers. Constatant ce manquement, le crédit-bailleur a fait constater la résiliation du contrat de crédit-bail, pour défaut de paiement des loyers. Dans cette situation la Cour de Cassation a jugé que la résiliation du contrat crédit-bail mettait fin au mandat donné par le crédit-bailleur au crédit-preneur. Considérant alors que le crédit-preneur n’avait plus de mandat pour agir à l’encontre du fournisseur, il a été jugé que son action en garantie devenait irrecevable et qu’il devait en conséquence payer la totalité des sommes dues tant au crédit-bailleur qu’au fournisseur. Cette situation peut paraître ubuesque pour un crédit-preneur qui se voit privé de son droit à agir contre le fournisseur d’une solution non-opérationnelle et qui, en outre, se trouve dans l’obligation de devoir payer, par exemple, pour un matériel qu’il n’utilisera jamais. Il est possible bien heureusement de remédier à cette situation en insérant dans le contrat de crédit-bail une clause stipulant le maintien du mandat et ce malgré la résiliation du contrat de crédit-bail. En effet, la Cour de Cassation constate dans cette décision, que la résiliation du contrat de crédit-bail a mis fin au mandat donné au crédit-preneur, pour l’exercice d’une action contre le fournisseur, en l’absence de stipulation contraire. A contrario, si le contrat de crédit-bail avait prévu l’hypothèse d’une poursuite du mandat, malgré la fin du contrat de crédit-bail, la situation aurait été différente pour le crédit-preneur. Autant dire aux utilisateurs signataires d’un contrat de crédit-bail, que ce type de contrat qui peut paraître extrêmement standard de prime à bord, ne doit pas être signé « les yeux fermés », en considérant qu’il s’agit d’une simple opération de financement. La logique financière doit aussi prendre en compte la logique juridique. Cass. com. 11 juillet 2006 n° de pourvoi 05-11592 (Mise en ligne Juillet 2006)

Informatique Contrat Call center externalisé : qui est responsable de la sécurité des données personnelles ? Composante essentielle de la gestion de la relation clientèle (GRC), surtout lorsqu’elle est équipée du Couplage Téléphonie et Informatique (CTI), le centre d’appel téléphonique ou centre de relation clients (ou encore Call Center) ne résiste pas à l’attrait économique de l’externalisation, surtout s’il est délocalisé. Au-delà des aspects contractuels communs à toute opération d’externalisation de cette nature, qui impose de gérer avec précaution les questions liées aux niveaux de services et indicateurs de qualité (1), à la responsabilité, à la réversibilité ou encore au droit applicable, le recours à un centre de relation clients externalisé impose de s’attarder sur le sort des données à caractère personnel collectées, source de risque. Il ne fait aucun doute qu’en sa qualité de « personne responsable du traitement » (2), l’infogéré sera tenu des formalités déclaratives imposées par la loi et du respect des obligations qu’elle contient. En plus des sanctions pénales, la loi du 6 août 2004 permet à la Cnil de prononcer des sanctions pécuniaires. L’infogérant est dans ce contexte qualifié de « sous-traitant », ce qui rend nécessaire la conclusion d’un contrat conforme aux exigences légales posées par la loi Informatique et libertés. Le contrat doit en particulier indiquer que l’infogérant agit sous l’autorité du responsable du traitement et sur instructions de ce dernier et qu’il ne peut agir sur le traitement, en dehors de ce cadre. Il doit aussi indiquer les obligations incombant à l’infogérant en matière de protection de la sécurité et de la confidentialité. Il convient en outre, toujours conformément à la loi Informatique et libertés, de vérifier que l’infogérant présente les garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité nécessaires à la préservation des données collectées et traitées dans le cadre du Call Center. Si par ailleurs, l’infogérant n’est pas situé sur le territoire national ou sur celui de l’Union européenne, la problématique d’un possible flux transfrontière de données à caractère personnel, nécessitera aussi une attention toute particulière. (1) La norme NFX50-798 spécifie les engagements de service des centres de relation clients (2) Au sens de la loi Informatique, fichiers et libertés Paru dans la JTIT n°56/2006 p.2 (Mise en ligne Septembre 2006)

Informatique Contrat La rupture d’un contrat ne met pas automatiquement fin à la cession des droits antérieurement intervenue Le concepteur d’un logiciel peut concéder l’exploitation économique de son œuvre à un éditeur, producteur ou distributeur. Il pense alors recouvrer ses droits d’exploitation sur l’œuvre dans l’hypothèse de la résiliation anticipée du contrat. La Cour de cassation vient de préciser le contraire à l’occasion d’un contentieux opposant Johnny Hallyday à son producteur Universal Music. Elle considère que sauf disposition contraire résultant de l’accord des parties, « la résiliation d’un commun accord du contrat d’enregistrement exclusif, n’y met fin que pour l’avenir de sorte qu’elle [la résiliation] n’a pas pour effet d’anéantir rétroactivement les cessions antérieurement intervenues sur les enregistrements réalisés en cours de contrat ». La Cour confirme donc la position de la cour d’appel, à savoir que « le producteur était resté cessionnaire des droits voisins de l’artiste interprète sur les enregistrements réalisés » et que le producteur n’avait pas l’obligation de restituer les bandes mères de tous les enregistrements depuis l’origine. La Cour suprême rappelle toutefois que la cession sera acquise, « sauf disposition contraire résultant de l’accord des parties ». La Cour de cassation pose ainsi le principe qu’en dépit de la résiliation d’un contrat, une cession consentie par un auteur demeure acquise. Le principe posé par la haute juridiction impacte l’ensemble des contrats qui impliquent une cession (ou une concession) de droits de propriété intellectuelle. C’est le cas d’un contrat d’éditeur ou encore d’un contrat de licence de logiciel informatique. Il convient donc de rédiger avec attention la clause de cession des droits, la clause de durée de la concession, et celle de fin de contrat. Cette précaution s’impose d’autant plus lorsque la cession intervient moyennant le prix d’une redevance forfaitaire. Les utilisateurs auraient grand intérêt à veiller en outre aux clauses de restitution de logiciels souvent insérées dans les contrats de licence, en cas de résiliation. Il est important de rédiger avec attention les clauses de cession de droits et de fin de contrat car lorsque les modalités de résiliation amiable d’un contrat quel qu’il soit (distribution, production, édition) ne prévoient rien sur la restitution du logiciel à l’expiration du contrat, l’éditeur, le producteur ou le distributeur reste cessionnaire des droits. Cette affaire concerne certes des cessions de droits d’auteur dans le milieu musical, mais il en va très certainement de même en ce qui concerne la cession de droits d’auteur sur un logiciel. Cass. soc. du 20/12/2006, n° E 05-43.057 (Mise en ligne Décembre 2006)

Informatique Contrat Nouvelle liste de termes, expressions et définitions informatiques Une nouvelle liste de termes, expressions et définitions en informatique a été adopté en avril 2007. Elle traduit le facilities management par l’expression « gérance de l’informatique » définit comme « la prise en charge contractuelle de tout ou partie de la gestion d’un système d’information d’un organisme par un prestataire extérieur » et annule et remplace la définition du Journal officiel du 10 octobre 1998. Avis de la commission générale de terminologie et de néologie, 20 avril 2007. Paru dans la JTIT n°65 p.9 (Mise en ligne Juin 2007)

Informatique Contrat La réversibilité dans les contrats : enjeux et modalités La clause de réversibilité est une clause très importante dans les contrats d’infogérance, les contrats d’ASP et plus généralement toutes les prestations de services informatiques externalisées (outsourcing). Elle vise à permettre une réinternalisation par l’entreprise ou une reprise par un tiers. Elle s’inscrit dans un dispositif global en amont du contrat d’infogérance, puisqu’elle implique en phase de négociation, des prérequis techniques, économiques, sociaux d’organisation, notamment en cas de transfert d’une partie du personnel de l’entreprise vers le prestataire. Dans la phase de mise en œuvre du contrat d’infogérance ou d’outsourcing, elle implique une gestion du transfert des droits de propriété intellectuelle et la prise en compte de modalités économiques propre à chaque situation. La réversibilité peut en effet intervenir soit lors d’une sortie aux termes du contrat, soit une sortie anticipée sans faute (moyennant contrepartie financière), soit de manière plus brutale, à la suite d’une défaillance du prestataire. Il est donc nécessaire à minima, que l’on mette en œuvre dans le cadre de cette possible réversibilité, les obligations qui vont s’exécuter non pas en période de crise uniquement, mais pendant toute l’exécution du contrat. L’ensemble des documents techniques nécessaires à l’exploitation doit être fournie tout au long de la relation contractuelle et constitue des prérequis pour la reprise en interne ou par un tiers de l’exploitation dans de bonnes conditions (dossiers d’exploitation, plan de réversibilité, etc.). Au moment où le contrat est signé, on peut au moins mettre les grands titres d’une plan de réversibilité, même si on n’en connaît pas le contenu précis, on connaît au moins des éléments qui vont apparaître comme nécessaires. La clause de réversibilité doit comporter clairement énoncée les obligations de chacune des parties, ainsi que celles de tous les tiers qui seraient impliqués (loueurs de matériels, éditeurs de logiciels, opérateurs réseaux télécoms etc.), cela pour éviter d’avoir à renégocier avec chacun d’eux, par exemple, le transfert des licences, sans complément de redevance. Il peut y avoir également la nécessité de prévoir une formation complémentaire des utilisateurs, en cas de modification entre le système qui a été externalisé chez le prestataire et celui qui sera réinternalisé ou externalisé chez un autre prestataire. Paru dans la JTIT n°66-67/2007 p.1 (Mise en ligne Juillet-Août 2007)

Informatique Contrat Responsabilité informatique : le déclin annoncé des clauses limitatives de réparation La Cour de cassation vient de rendre une décision dans le domaine informatique, sur une notion fondamentale du droit des contrats, l’obligation essentielle. En l’espèce, une entreprise avait conclu une série de contrats avec un important éditeur pour le déploiement d’un logiciel. La version commandée du logiciel n’ayant pas été livrée, l’utilisateur a cessé de régler ses redevances, ce qui a conduit la société de financement à laquelle l’éditeur avait cédé ses créances, a l’assigner en paiement. L’utilisateur appelle alors l’éditeur en garantie et assigne ce dernier en résolution des contrats de fourniture des logiciels concernés pour inexécution de ces derniers. L’éditeur se prévaut alors d’une clause limitative de réparation contenue dans le contrat de licence faisant valoir que seule une faute lourde pouvait permettre de l’écarter. La Cour d’appel fait droit à la demande de l’éditeur (1). La chambre commerciale de la Cour de cassation casse l’arrêt d’appel sur ce point, en se fondant sur la notion juridique de cause (2) constatant que la livraison du logiciel, objectif final des contrats conclus, n’avait pas été exécutée et ce, sans justifier d’un cas de force majeure. Il résulte dès lors un manquement à une obligation essentielle de nature à faire échec à l’application de la clause limitative de réparation (3). La Cour d’appel souligne que les quatre contrats conclus, licences, maintenance, formation et mise en œuvre, poursuivaient le même but et n’avaient aucun sens indépendamment les uns des autres, que les prestations de maintenance et de formation ne se concevaient pas sans les licences sur lesquelles elles portaient et que l’acquisition de ces licences n’aurait aucune raison d’être si le contrat de mise en œuvre n’était pas exécuté. La Cour de cassation a approuvé la Cour d’appel. Tous les engagements contractuels ont ainsi été résolus aux torts de l’éditeur qui a été condamné au paiement de la somme de 3 584 878 euros à l’utilisateur. Ainsi, cet arrêt vient, d’une part, confirmer le principe, appliqué en matière de contrat de transport, de mise en échec d’une clause limitative de réparation en présence d’un manquement à une obligation essentielle, en le prolongeant au domaine informatique, et, d’autre part, préciser la notion d’indivisibilité des contrats. En pratique, les contrats devraient tirer de cette nouvelle décision deux conséquences : les ensembles contractuels devraient être souvent mieux définis et les obligations essentielles seront plus fréquemment pré qualifiées. (1)CA Versailles 12e Ch. 31/03/2005 (2)Article 1131 du Code civil (3)Cass. com. 13/02/2007 Paru dans la JTIT n°66-67/2007 p.2 (Mise en ligne Juillet-Août 2007)