2010

Actualités

directive TVA sur le commerce électronique

Fiscalité/Société Commerce électronique Prorogation de la directive TVA sur le commerce électronique La directive 2006/138/CE du Conseil de l’Union européenne du 19 décembre 2006 proroge jusqu’au 31 décembre 2008 le régime transitoire de TVA applicable depuis le 1er juillet 2003 aux services de radiodiffusion et de télévision et à certains services fournis par voie électronique comme : la fourniture et l’hébergement de sites informatiques, la maintenance à distance de programmes et d’équipement ; la fourniture de logiciels et la mise à jour de ceux-ci ; la fourniture d’images, de textes et d’informations et la mise à disposition de bases de données ; la fourniture de musique, de films et de jeux, y compris les jeux de hasard ou d’argent, et d’émissions ou de manifestations politiques, culturelles, artistiques, sportives, scientifiques ou de divertissement ; la fourniture de services d’enseignement à distance. Ce régime a notamment pour effet d’exonérer de TVA les prestations de services électroniques rendues à des personnes établies en dehors de l’Union européenne et de soumettre à la TVA les prestations de services électroniques rendues par des prestataires établis en dehors de l’Union Européenne à des utilisateurs établis dans un Etat membre de l’Union européenne même si cet utilisateur n’est pas assujetti à la TVA. La prorogation est effective depuis le 1er janvier 2007. Directive 2006/138/CE du Conseil du 19 décembre 2006 (Mise en ligne Décembre 2006)

Actualités

dématérialisation documents commerce international

Fiscalité/Société Commerce électronique La dématérialisation des échanges de documents liés au commerce international Les opérations de commerce international requièrent, pour chaque commande, la communication, entre les divers intervenants (acheteur, vendeur, douanes, transporteurs), de nombreux documents, comme la facture, la liste de colisage, le titre de transport, le certificat d’origine. Ces échanges de documents sont, en général, très consommateurs de temps et source d’erreurs fréquentes (adresse, nom, description des marchandises…). Dans un communiqué du 11 janvier 2007, le Ministre des PME, Monsieur Renaud Dutreil, s’est montré favorable pour une dématérialisation des échanges de documents liés au commerce international, plus couramment appelé « le commerce sans papier ». Des travaux sont actuellement menés dans le cadre de l’Aseal (Asia Europe Alliance for e-Commerce) pour s’accorder sur les normes d’échange, comme la signature électronique, la référence de date, le format des données et les compensations sur les frais de gestion. MINEFI, 11 janvier 2007, Communiqué (Mise en ligne Janvier 2007)

Informatique, Informatique, Sécurité des SI

La pratique du full disclosure

Expertises judiciaires ICE et Audit Sécurité des systèmes d’information Le «full disclosure» une pratique désormais prohibée ? Publier les moyens d’exploiter la vulnérabilité d’un système informatique peut constituer un délit. C’est ce qu’un expert en informatique, spécialisé en sécurité, a appris à ses dépends. Sous couvert d’informer et de sensibiliser le public à la sécurité informatique, il avait diffusé, sur le portail internet de sa société de conseil en sécurité informatique, des informations précises et accessibles à tous, relatives à l’existence et aux moyens d’exploiter plusieurs failles de sécurité dans un format d’image numérique fourni par Microsoft, ce avant la publication officielle des patchs correctifs. Le gérant de la société avait parallèlement informé par mail la société Microsoft de sa découverte, qui l’en avait remercié en retour. Poursuivi par Microsoft, qui estimait que le gérant n’aurait pas dû publier sur son site les scripts permettant de contourner son système avant qu’elle ne publie les correctifs, ce dernier a été condamné. La Cour de cassation a confirmé la condamnation à une peine d’amende de 1000 euros prononcée par la cour d’appel. Cette dernière l’avait jugé coupable de l’infraction incriminée par l’article 323-3-1 du Code pénal, à savoir mise à disposition sans motif légitime de programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé de données. Il y a une grande différence entre faire état de l’existence d’une vulnérabilité (full disclosure) et délivrer les moyens techniques et la procédure à suivre en vue d’exploiter cette vulnérabilité (publication d’un «exploit»). Dans cette affaire, le gérant n’avait pas seulement publié l’existence de la faille dans le système de traitement automatisé de données (STAD), mais les moyens techniques de l’exploiter, faisant ainsi courir le risque qu’un « public malveillant » utilise les moyens ainsi diffusés à des fins de piratage d’un STAD, ce risque ne pouvant d’ailleurs pas être méconnu du gérant « du fait de son expertise ». Ainsi, il apparaît que ce n’est pas la publication de la révélation de la faille de sécurité qui est visée par la condamnation de la Cour, mais bien la diffusion accessible à tous de l’exploit y étant associé. Il en résulte qu’il semble autorisé d’informer les utilisateurs sur les failles de sécurité et ainsi de diffuser des informations sur l’existence d’une vulnérabilité, la simple publication d’une vulnérabilité ne constituant pas un délit. L’article 323-3-1 du Code pénal vise, sans les nommer, la détention et/ou l’utilisation de virus informatiques, et a vocation à englober de façon plus large les programmes visant à exploiter les failles informatiques, comme c’est le cas en l’espèce. Il faut espérer que cet arrêt ne condamne pas définitivement les travaux de recherche, dans la mesure où la publication d’une vulnérabilité par un tiers constitue également un moyen de contraindre l’éditeur du programme défaillant à résoudre le problème, ce qui est bénéfique pour l’ensemble des utilisateurs. Cass. crim. 27-10-2009 n° 09-82346 Paru dans la JTIT n°97/2010(Mise en ligne Février 2010) Autres brèves   Le management de la sécurité des SI enfin normalisé par l’AFNOR !     (Mise en ligne Décembre 2007) Bientôt une norme NF sur les systèmes de management de la sécurité informatique…     (Mise en ligne Juillet 2007) Respecter l’état de l’art en matière de sécurité des systèmes d’information     (Mise en ligne Mars 2006)

Actualités

état de l’art en matière de sécurité des systèmes d’information

Expertises judiciaires ICE et Audit Sécurité des systèmes d’information Respecter l’état de l’art en matière de sécurité des systèmes d’information De la loi Sarbanes-Oxley (SOX), aux accords de Bâle II(1), en passant par la loi de sécurité financière (LSF)(2), sécurité quotidienne, sécurité intérieur, Sarkosy I et la loi sur la protection des données personnelles, on ne compte plus les dispositifs légaux et réglementaires relatifs à la sécurité des systèmes d’information. Cet afflux de textes montre que cette préoccupation est aujourd’hui prise en compte par le législateur à travers l’élaboration d’un droit de la sécurité.Il est donc nécessaire pour l’entreprise de connaître avec précision l’ensemble du référentiel légal qui s’applique en matière de sécurité aux informations qu’elle manipule dans son secteur d’activité (aéronautique, santé, banque…). Le recours aux normes peut s’avérer indispensable. Si elles ne sont souvent que des recommandations techniques sans force obligatoire, leur application devient cependant de plus en plus courante au sein des professions, leur conférant ainsi une certaines portée juridique. Elles sont considérées par le juge comme la codification écrite regroupant des « règles de l’art » ou des « usages loyaux et constants ». Aquelle norme se référer pour les SI ? Il existe depuis octobre 2005 une norme internationale concernant la sécurité de l’information, la norme ISO/CEI 27001 dont le titre est « Technologies de l’information -Techniques de sécurité -Systèmes de gestion de sécurité de l’information – Exigences »(3). Cette norme représente le premier cadre normatif en matière d’organisation et de management de la sécurité des SI. Y faire référence dans un contrat par une clause ISO/CEI 27001 ou en l’intégrant au cahier des charges permet de la rendre obligatoire entre les parties. Mais au-delà de cette référence, il s’agit d’une norme qui peut être utilisée dans le cadre d’une certification par un organisme indépendant et reconnu, qui apporte la garantie-sécurité pour l’entreprise. La certification, qui est aujourd’hui possible en France, apporte un atout compétitif. Il est clair qu’une entreprise sera plus enclin à choisir un partenaire qui a mis en place une procédure de certification, preuve de la conformité de son SI. (1) Chantier qui va réformer le système international bancaire à l’échéance de 2007 (2) La SOX a été adoptée le 30/07/2002 par le Congrès américain et la LSF (loi n°2003-706) dont le périmètre est plus large date du 01/08/2003 (3) Elle définit l’ensemble des tests et contrôles à effectuer pour s’assurer du bon respect d’ISO/CEI 17799. Paru dans la JTIT n°50/2006 p.3 (Mise en ligne Mars 2006)

Actualités

norme NF systèmes de management de la sécurité informatique

Expertises judiciaires ICE et Audit Sécurité des systèmes d’information Bientôt une norme NF sur les systèmes de management de la sécurité informatique… La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Définir une politique de la sécurité des informations, Définir le périmètre du Système de Management de la sécurité de l’information, Réaliser une évaluation des risques liés à la sécurité, Gérer les risques identifiés, Choisir et mettre en oeuvre les contrôles, Préparer un SoA ( « statement of applicability »). Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007 (Mise en ligne Juillet 2007)

Actualités

matrice des obligations contractuelles

Expertises judiciaires ICE et Audit Contrat La matrice des obligations contractuelles : un outil indispensable Dans les contrats de services informatiques, la séparation entre maîtrises d’œuvre et maîtrise d’ouvrage avec une affectation binaire des responsabilités en considération de qualifications globales est insuffisante à traduire l’imbrication des prestations et le rôle réel des parties dans la production des livrables. Il est pertinent d’avoir recours à une matrice des obligations contractuelles qui sera intégrée dans le plan qualité projet annexé au contrat et à laquelle pourra renvoyer la clause de responsabilité du contrat. Cette matrice peut se présenter sous la forme d’un tableau à quatre colonnes dans lequel figureront la liste des obligations contractuelles essentielles, le débiteur et le créancier de l’obligation ainsi qu’une quotation du poids de l’obligation en fonction du risque que les parties associent à l’inexécution ou la mauvaise exécution des obligations. En imaginant plusieurs degrés de criticité des fautes, plusieurs plafonds de responsabilité pourraient être convenus étant entendu qu’il s’agirait de plafonds et non de forfaits automatiques de réparation. Cass. 22 avril 2005 pourvoi n°03-14112 (Mise en ligne Avril 2005)

Actualités

Infogérance et plan de réversibilité

Expertises judiciaires ICE et Audit Contrat Infogérance et plan de réversibilité Le mois de décembre, traditionnellement consacré aux budgets est souvent propice aux réflexions stratégiques, notamment en ce qui concerne l’externalisation des systèmes d’information. Mais la décision d’y mettre un terme, soit pour des raisons économiques ou de qualité de la prestation, nécessite d’anticiper le terme du contrat. Il s’agit alors de prévoir la réversibilité de la prestation d’infogérance souvent envisagée par le contrat au travers de ses composantes juridiques. Il est pourtant impératif d’associer au processus de réversibilité un document à vocation technico-économico juridique souvent désigné par le terme « plan de réversibilité », document ayant vocation à organiser de façon pratique les processus techniques et administratifs qui doivent précéder la fin du contrat. Le plan de réversibilité couramment prévu au contrat, doit être en principe élaboré dans les tous premiers mois de la relation contractuelle, et indépendamment de tout objectif précis quant à l’issue du contrat. Il doit envisager soit la « réinternalisation » de la prestation, c’est-à-dire, le rapatriement des processus et des moyens chez le client ou la « transférabilité » qui correspond au passage d’un infogérant à un autre. Articulé autour des composantes de la prestation externalisée (matériels, logiciels, ressources humaines, infrastructures…), le plan de réversibilité initial dresse d’abord l’inventaire des éléments qui seront nécessaires à la poursuite de l’exploitation à la fin du contrat d’infogérance. Il est impératif qu’il soit régulièrement mis à jour afin de tenir compte de l’évolution du périmètre de l’infogérance et des services associés. En termes techniques, il contient par exemple, le détail des procédures de désinstallation, de transport et de réinstallation alors qu’en termes économiques, il comprend l’évaluation des éventuels actifs à céder au client ou au futur infogérant et qu’en termes juridiques, il prévoit en fonction des préavis nécessaires, les éventuels transferts de contrat et autres démarches administratives. Paru dans la JTIT n°47/2005 p.2 (Mise en ligne Décembre 2005)

Actualités

tierce recette applicative

Expertises judiciaires ICE et Audit Contrat La « tierce recette applicative » : une tendance s’inscrivant dans une démarche qualité Nouveau-né issu de la tendance grandissante à l’externalisation, le recours à la Tierce Recette Applicative (TRA) consiste à faire appel à une entreprise tierce, en vue de la réalisation des tests des logiciels spécifiques réalisés en interne comme en externe, à l’aide d’une société extérieure. Habituellement pratiqués par la maîtrise d’ouvrage ou la maîtrise d’œuvre, les tests (en particulier fonctionnels), les problématiques d’interface et de sécurité sont de plus en plus souvent confiés à un homme de l’art. Cette tendance est apparue tout particulièrement dans les secteurs les plus habitués aux processus de contrôle qualité. Elle s’inscrit dans une démarche qualité qui va de paire avec une meilleure utilisation des applications informatiques par le public. L’autre raison d’externaliser cette fonction est de mieux la structurer par une normalisation des procédures de recette. Le contrat de TRA doit respecter les objectifs poursuivis, à savoir disposer de l’approche d’un spécialiste et d’une vision objective de la qualité des développements. C’est en effet la recette qui doit s’adapter aux objectifs. Les engagements du prestataire de TRA doivent être articulés autour des éléments majeurs suivants :        l’indispensable indépendance à l’égard des développeurs ;        une méthodologie éprouvée ;        des moyens techniques adéquats ;        les niveaux de service précis en relation avec les enjeux et le calendrier du projet. Assorti d’une obligation de résultat, le contrat peut aussi, au travers du taux d’anomalies apparues à l’usage après les tests, sanctionner les performances de la TRA. Un prix forfaitaire, le cas échéant, calculé à l’aide d’unité d’œuvre, permet à l’évidence d’éviter certaines dérives. Paru dans la JTIT n°48/2006 p.2 (Mise en ligne Janvier 2006)

Actualités

Les progiciels

Expertises judiciaires ICE et Audit Contrat Les progiciels : des produits standards paramétrables avec des droits à géométrie variable Selon la définition juridique de tout logiciel, il s’agit d’un ensemble de modules comportant des programmes qui correspondent à des suites d’instructions permettant de faire réaliser une ou plusieurs tâches par un ordinateur, mais cette définition ne rend pas compte du caractère essentiellement évolutif des solutions progicielles. Dans les contrats d’exploitation des progiciels, on distingue traditionnellement des contrats de licence qui ont pour objet principal de définir les droits d’exploitation de l’utilisateur et les contrats de maintenance qui définissent les services de maintenance corrective, évolutive ou adaptative associés à ces mêmes progiciels. Or les progiciels sont par nature très évolutifs et font l’objet de nombreuses modifications techniques et fonctionnelles livrées dans des versions successives ou dans des patchs correctifs. Ce qui pose une problématique juridique particulière lorsqu’on sait que l’une des conditions essentielles de validité d’une convention en droit français est qu’elle doit avoir un objet certain qui forme la matière de l’engagement. L’existence d’un objet certain dans un contrat de licence pourrait être discutée s’il s’avérait que ce contrat ne désigne pas une version précise du progiciel en cause mais seulement sa dénomination « générique » qui en réalité, ne correspond à aucun produit existant ou ayant existé. Pour que le contrat soit valide, il doit porter sur une version du progiciel correspondant à la version disponible au moment de l’entrée en vigueur de la licence. Or, il s’avère que la version objet du contrat de licence a une durée de vie très limitée et sans commune mesure avec la durée de la licence d’exploitation concédée à l’utilisateur. Ceci ne pose pas de difficulté pratique dans la mesure où l’utilisateur se voit livrer les versions successives du progiciel dans le cadre de l’exécution du contrat de maintenance. Mais qu’on ne s’y trompe pas, ces versions successives constituent en réalité des œuvres dérivées par rapport à la version visée dans la licence et sont donc sources de droits distincts que la licence initiale ne couvre généralement pas ! Art. 1108 du Code civil (Mise en ligne Juillet 2006)

Actualités

action en garantie

Expertises judiciaires ICE et Audit Contrat La fin du mandat peut compromettre l’action en garantie… S’il peut être extrêmement tentant pour le client-utilisateur, de cesser de payer les loyers sur un matériel ou une solution qu’il n’utilise pas et pour laquelle, il a demandé la résolution soit l’anéantissement du contrat, dans les faits, il apparaît que cette option est extrêmement dangereuse. C’est l’enseignement qu’il faut tirer de la décision de la Cour de Cassation rendue le 11 juillet 2006 dans laquelle, le crédit-preneur, ayant engagé une action en résolution à l’encontre du fournisseur et une demande de résiliation du contrat de crédit-bail, a décidé de cesser de payer les loyers. Constatant ce manquement, le crédit-bailleur a fait constater la résiliation du contrat de crédit-bail, pour défaut de paiement des loyers. Dans cette situation la Cour de Cassation a jugé que la résiliation du contrat crédit-bail mettait fin au mandat donné par le crédit-bailleur au crédit-preneur. Considérant alors que le crédit-preneur n’avait plus de mandat pour agir à l’encontre du fournisseur, il a été jugé que son action en garantie devenait irrecevable et qu’il devait en conséquence payer la totalité des sommes dues tant au crédit-bailleur qu’au fournisseur. Cette situation peut paraître ubuesque pour un crédit-preneur qui se voit privé de son droit à agir contre le fournisseur d’une solution non-opérationnelle et qui, en outre, se trouve dans l’obligation de devoir payer, par exemple, pour un matériel qu’il n’utilisera jamais. Il est possible bien heureusement de remédier à cette situation en insérant dans le contrat de crédit-bail une clause stipulant le maintien du mandat et ce malgré la résiliation du contrat de crédit-bail. En effet, la Cour de Cassation constate dans cette décision, que la résiliation du contrat de crédit-bail a mis fin au mandat donné au crédit-preneur, pour l’exercice d’une action contre le fournisseur, en l’absence de stipulation contraire. A contrario, si le contrat de crédit-bail avait prévu l’hypothèse d’une poursuite du mandat, malgré la fin du contrat de crédit-bail, la situation aurait été différente pour le crédit-preneur. Autant dire aux utilisateurs signataires d’un contrat de crédit-bail, que ce type de contrat qui peut paraître extrêmement standard de prime à bord, ne doit pas être signé « les yeux fermés », en considérant qu’il s’agit d’une simple opération de financement. La logique financière doit aussi prendre en compte la logique juridique. Cass. com. 11 juillet 2006 n° de pourvoi 05-11592 (Mise en ligne Juillet 2006)

Actualités

Call center externalisé

Expertises judiciaires ICE et Audit Contrat Call center externalisé : qui est responsable de la sécurité des données personnelles ? Composante essentielle de la gestion de la relation clientèle (GRC), surtout lorsqu’elle est équipée du Couplage Téléphonie et Informatique (CTI), le centre d’appel téléphonique ou centre de relation clients (ou encore Call Center) ne résiste pas à l’attrait économique de l’externalisation, surtout s’il est délocalisé. Au-delà des aspects contractuels communs à toute opération d’externalisation de cette nature, qui impose de gérer avec précaution les questions liées aux niveaux de services et indicateurs de qualité (1), à la responsabilité, à la réversibilité ou encore au droit applicable, le recours à un centre de relation clients externalisé impose de s’attarder sur le sort des données à caractère personnel collectées, source de risque. Il ne fait aucun doute qu’en sa qualité de « personne responsable du traitement » (2), l’infogéré sera tenu des formalités déclaratives imposées par la loi et du respect des obligations qu’elle contient. En plus des sanctions pénales, la loi du 6 août 2004 permet à la Cnil de prononcer des sanctions pécuniaires. L’infogérant est dans ce contexte qualifié de « sous-traitant », ce qui rend nécessaire la conclusion d’un contrat conforme aux exigences légales posées par la loi Informatique et libertés. Le contrat doit en particulier indiquer que l’infogérant agit sous l’autorité du responsable du traitement et sur instructions de ce dernier et qu’il ne peut agir sur le traitement, en dehors de ce cadre. Il doit aussi indiquer les obligations incombant à l’infogérant en matière de protection de la sécurité et de la confidentialité. Il convient en outre, toujours conformément à la loi Informatique et libertés, de vérifier que l’infogérant présente les garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité nécessaires à la préservation des données collectées et traitées dans le cadre du Call Center. Si par ailleurs, l’infogérant n’est pas situé sur le territoire national ou sur celui de l’Union européenne, la problématique d’un possible flux transfrontière de données à caractère personnel, nécessitera aussi une attention toute particulière. (1) La norme NFX50-798 spécifie les engagements de service des centres de relation clients (2) Au sens de la loi Informatique, fichiers et libertés Paru dans la JTIT n°56/2006 p.2 (Mise en ligne Septembre 2006)

Actualités

rupture d’un contrat informatique

Expertises judiciaires ICE et Audit Contrat La rupture d’un contrat ne met pas automatiquement fin à la cession des droits antérieurement intervenue Le concepteur d’un logiciel peut concéder l’exploitation économique de son œuvre à un éditeur, producteur ou distributeur. Il pense alors recouvrer ses droits d’exploitation sur l’œuvre dans l’hypothèse de la résiliation anticipée du contrat. La Cour de cassation vient de préciser le contraire à l’occasion d’un contentieux opposant Johnny Hallyday à son producteur Universal Music. Elle considère que sauf disposition contraire résultant de l’accord des parties, « la résiliation d’un commun accord du contrat d’enregistrement exclusif, n’y met fin que pour l’avenir de sorte qu’elle [la résiliation] n’a pas pour effet d’anéantir rétroactivement les cessions antérieurement intervenues sur les enregistrements réalisés en cours de contrat ». La Cour confirme donc la position de la cour d’appel, à savoir que « le producteur était resté cessionnaire des droits voisins de l’artiste interprète sur les enregistrements réalisés » et que le producteur n’avait pas l’obligation de restituer les bandes mères de tous les enregistrements depuis l’origine. La Cour suprême rappelle toutefois que la cession sera acquise, « sauf disposition contraire résultant de l’accord des parties ». La Cour de cassation pose ainsi le principe qu’en dépit de la résiliation d’un contrat, une cession consentie par un auteur demeure acquise. Le principe posé par la haute juridiction impacte l’ensemble des contrats qui impliquent une cession (ou une concession) de droits de propriété intellectuelle. C’est le cas d’un contrat d’éditeur ou encore d’un contrat de licence de logiciel informatique. Il convient donc de rédiger avec attention la clause de cession des droits, la clause de durée de la concession, et celle de fin de contrat. Cette précaution s’impose d’autant plus lorsque la cession intervient moyennant le prix d’une redevance forfaitaire. Les utilisateurs auraient grand intérêt à veiller en outre aux clauses de restitution de logiciels souvent insérées dans les contrats de licence, en cas de résiliation. Il est important de rédiger avec attention les clauses de cession de droits et de fin de contrat car lorsque les modalités de résiliation amiable d’un contrat quel qu’il soit (distribution, production, édition) ne prévoient rien sur la restitution du logiciel à l’expiration du contrat, l’éditeur, le producteur ou le distributeur reste cessionnaire des droits. Cette affaire concerne certes des cessions de droits d’auteur dans le milieu musical, mais il en va très certainement de même en ce qui concerne la cession de droits d’auteur sur un logiciel. Cass. soc. du 20/12/2006, n° E 05-43.057 (Mise en ligne Décembre 2006)

Actualités

termes, expressions et définitions informatiques

Expertises judiciaires ICE et Audit Contrat Nouvelle liste de termes, expressions et définitions informatiques Une nouvelle liste de termes, expressions et définitions en informatique a été adopté en avril 2007. Elle traduit le facilities management par l’expression « gérance de l’informatique » définit comme « la prise en charge contractuelle de tout ou partie de la gestion d’un système d’information d’un organisme par un prestataire extérieur » et annule et remplace la définition du Journal officiel du 10 octobre 1998. Avis de la commission générale de terminologie et de néologie, 20 avril 2007. Paru dans la JTIT n°65/2007 p.9 (Mise en ligne Juin 2007)

Actualités

réversibilité dans les contrats

Expertises judiciaires ICE et Audit Contrat La réversibilité dans les contrats : enjeux et modalités La clause de réversibilité est une clause très importante dans les contrats d’infogérance, les contrats d’ASP et plus généralement toutes les prestations de services informatiques externalisées (outsourcing). Elle vise à permettre une réinternalisation par l’entreprise ou une reprise par un tiers. Elle s’inscrit dans un dispositif global en amont du contrat d’infogérance, puisqu’elle implique en phase de négociation, des prérequis techniques, économiques, sociaux d’organisation, notamment en cas de transfert d’une partie du personnel de l’entreprise vers le prestataire. Dans la phase de mise en œuvre du contrat d’infogérance ou d’outsourcing, elle implique une gestion du transfert des droits de propriété intellectuelle et la prise en compte de modalités économiques propre à chaque situation. La réversibilité peut en effet intervenir soit lors d’une sortie aux termes du contrat, soit une sortie anticipée sans faute (moyennant contrepartie financière), soit de manière plus brutale, à la suite d’une défaillance du prestataire. Il est donc nécessaire à minima, que l’on mette en œuvre dans le cadre de cette possible réversibilité, les obligations qui vont s’exécuter non pas en période de crise uniquement, mais pendant toute l’exécution du contrat. L’ensemble des documents techniques nécessaires à l’exploitation doit être fournie tout au long de la relation contractuelle et constitue des prérequis pour la reprise en interne ou par un tiers de l’exploitation dans de bonnes conditions (dossiers d’exploitation, plan de réversibilité, etc.). Au moment où le contrat est signé, on peut au moins mettre les grands titres d’une plan de réversibilité, même si on n’en connaît pas le contenu précis, on connaît au moins des éléments qui vont apparaître comme nécessaires. La clause de réversibilité doit comporter clairement énoncée les obligations de chacune des parties, ainsi que celles de tous les tiers qui seraient impliqués (loueurs de matériels, éditeurs de logiciels, opérateurs réseaux télécoms etc.), cela pour éviter d’avoir à renégocier avec chacun d’eux, par exemple, le transfert des licences, sans complément de redevance. Il peut y avoir également la nécessité de prévoir une formation complémentaire des utilisateurs, en cas de modification entre le système qui a été externalisé chez le prestataire et celui qui sera réinternalisé ou externalisé chez un autre prestataire. Paru dans la JTIT n°66-67/2007 p.1 (Mise en ligne Juillet/Août 2007)

Actualités

clauses limitatives de réparation

Expertises judiciaires ICE et Audit Contrat Responsabilité informatique : le déclin annoncé des clauses limitatives de réparation La Cour de cassation vient de rendre une décision dans le domaine informatique, sur une notion fondamentale du droit des contrats, l’obligation essentielle. En l’espèce, une entreprise avait conclu une série de contrats avec un important éditeur pour le déploiement d’un logiciel. La version commandée du logiciel n’ayant pas été livrée, l’utilisateur a cessé de régler ses redevances, ce qui a conduit la société de financement à laquelle l’éditeur avait cédé ses créances, a l’assigner en paiement. L’utilisateur appelle alors l’éditeur en garantie et assigne ce dernier en résolution des contrats de fourniture des logiciels concernés pour inexécution de ces derniers. L’éditeur se prévaut alors d’une clause limitative de réparation contenue dans le contrat de licence faisant valoir que seule une faute lourde pouvait permettre de l’écarter. La Cour d’appel fait droit à la demande de l’éditeur (1). La chambre commerciale de la Cour de cassation casse l’arrêt d’appel sur ce point, en se fondant sur la notion juridique de cause (2) constatant que la livraison du logiciel, objectif final des contrats conclus, n’avait pas été exécutée et ce, sans justifier d’un cas de force majeure. Il résulte dès lors un manquement à une obligation essentielle de nature à faire échec à l’application de la clause limitative de réparation (3). La Cour d’appel souligne que les quatre contrats conclus, licences, maintenance, formation et mise en œuvre, poursuivaient le même but et n’avaient aucun sens indépendamment les uns des autres, que les prestations de maintenance et de formation ne se concevaient pas sans les licences sur lesquelles elles portaient et que l’acquisition de ces licences n’aurait aucune raison d’être si le contrat de mise en œuvre n’était pas exécuté. La Cour de cassation a approuvé la Cour d’appel. Tous les engagements contractuels ont ainsi été résolus aux torts de l’éditeur qui a été condamné au paiement de la somme de 3 584 878 euros à l’utilisateur. Ainsi, cet arrêt vient, d’une part, confirmer le principe, appliqué en matière de contrat de transport, de mise en échec d’une clause limitative de réparation en présence d’un manquement à une obligation essentielle, en le prolongeant au domaine informatique, et, d’autre part, préciser la notion d’indivisibilité des contrats. En pratique, les contrats devraient tirer de cette nouvelle décision deux conséquences : les ensembles contractuels devraient être souvent mieux définis et les obligations essentielles seront plus fréquemment pré qualifiées. (1)CA Versailles 12e Ch. 31/03/2005 (2)Article 1131 du Code civil (3)Cass. com. 13/02/2007 Paru dans la JTIT n°66-67/2007 p.2 (Mise en ligne Juillet/Août 2007)

Actualités

La saisie-contrefaçon de logiciel

Expertises judiciaires ICE et Audit Administration de la preuve La saisie-contrefaçon de logiciel Ayant concédé des licences d’utilisation, conclu avec une société spécialisée un contrat de distributeur détaillant et conclu des contrats de maintenance portant sur des logiciels d’exploitation avec un certain nombre d’autres sociétés, une entreprise avait vu son distributeur détaillant commercialiser ses logiciels grâce à des copies illicites et fournir des prestations de maintenance auprès de ses clients au-delà de la durée des contrats de licence. La société, accompagnée de l’Agence pour la Protection des Programmes (APP), a procédé à des saisies-contrefaçon dans les locaux de ses anciens clients, qui ont permis d’assigner les contrefacteurs et d’obtenir gain de cause devant la cour d’appel. Se pourvoyant en cassation, les délinquants reprochèrent quelques vices à la procédure de saisie qui avait été menée. Certes, selon l’article L.332-4 du Code de la propriété intellectuelle, l’huissier instrumentaire ou le commissaire de police peut être assisté d’un expert désigné par le requérant, mais la cour a rappelé, dans un arrêt du 2 décembre 1997, que l’impartialité des opérations de saisie excluait la désignation, en qualité d’expert, de tout salarié des parties saisissantes, mais également de toute personne qui ne lui serait pas indépendante, même en l’absence de contrat de travail. Dans cette affaire, l’expert était le représentant légal en exercice de l’APP, partie à l’instance. Risquant de bafouer le principe du droit à un procès équitable, la cour de cassation cassa l’arrêt d’appel. La nullité de la saisie-contrefaçon n’empêche cependant pas la victime de contrefaçon de prouver l’existence de l’infraction par d’autres moyens. (1)Cass. civ. 1re ch., 6 juillet 2000 (2)Article L.332-4 du Code de la propriété intellectuelle (Mise en ligne Juillet 2000)

Actualités

la preuve de la contrefaçon de logiciel

Expertises judiciaires ICE et Audit Administration de la preuve La contrefaçon de logiciel : une question de preuve avant tout ! En matière de propriété intellectuelle, toute contrefaçon de logiciel suppose que soient démontrées des ressemblances touchant à l’écriture, aux instructions et algorithmes, aux schémas de base de données, à la conception d’ensemble etc. Ces ressemblances ne pourront être déterminées qu’après analyse du programme contrefaisant, laquelle ne sera valablement effectuée qu’après mise en oeuvre d’une procédure judiciaire de saisie contrefaçon permettant de conserver auprès du tribunal les éléments indispensables à la détermination de l’infraction. L’expert judiciaire dispose, pour pouvoir établir la contrefaçon d’un certain nombre de moyens. Outre la comparaison entre les instructions des deux programmes, il pourra identifier une éventuelle contrefaçon par le biais d’empreinte (1). La contrefaçon ne peut être établie qu’au vu des similitudes entre les deux programmes. Elle ne résulte pas exclusivement d’une copie servile ou quasi-servile, mais aussi de modifications ou d’évolutions du code original. Le Code de la propriété intellectuelle n’impose aucun dépôt à l’auteur pour lui permettre de faire valoir ses droits. Toutefois, un dépôt chez un tiers (Agence pour la Protection des Programmes, Logitas, etc.) permet de rapporter la preuve d’une antériorité. Le procès-verbal de dépôt fait généralement état de la date et l’heure de dépôt et un descriptif succinct du programme peut être effectué sur la demande de dépôt conservée par l’organisme. Il est également possible de pré constituer des preuves en définissant des procédures internes permettant d’assurer la traçabilité des cycles de développements d’un logiciel. Ce dispositif permet de se protéger contre d’éventuelles allégations de contrefaçon de tiers et a contrario, d’assurer une protection opérationnelle de ses propres développements. Enfin, il peut être intéressant de faire réaliser un diagnostic de propriété intellectuelle que ce soit dans le cadre de l’activité courante de l’entreprise ou dans les cas plus spécifiques d’acquisition ou de fusion afin d’établir la consistance du patrimoine intellectuel de l’entreprise, notamment lorsque des codes « Open source » ont été utilisés à l’excès. Paru dans la JTIT n°54-55/2006 p.2 (Mise en ligne Juillet/Août 2006)

Actualités

réalisation d’un constat sur internet

Expertises judiciaires ICE et Audit Administration de la preuve La réalisation d’un constat sur internet obéit à des règles très strictes Qu’il soit réalisé par un huissier ou un agent assermenté, un constat sur internet obéit à des règles très strictes définies par les tribunaux depuis déjà quelques années maintenant. La Cour d’appel de Paris vient ainsi de rejeter un constat d’huissier pour ne pas les avoir respectées. Une société proposant des formules d’abonnement haut débit (ADSL) sous la marque « Netpratique » a fait constaté par huissier que la saisie de sa marque comme mot clé sur le moteur de recherche Google faisait apparaître une annonce « adwords » incitant les internautes à se diriger vers un site qui proposait la souscription d’abonnements internet auprès de sociétés concurrentes comme AOL. Après avoir protesté auprès de Google France, un nouveau constat d’huissier sur la recherche Google du même mot clé révèle que l’annonce « adwords » est faite au nom d’AOL. Elle décide donc d’assigner la société AOL France pour contrefaçon de marques et concurrence déloyale. Le tribunal a refusé d’accorder la moindre valeur probante au constat établi dès lors que l’huissier n’a pas précisé l’existence d’un serveur proxy ni indiqué avoir vidé ses « caches » afin d’être certain que la page affichée était réellement celle qui était en ligne à la date et à l’heure du constat et non une page présente dans la mémoire du serveur proxy. La Cour d’appel de Paris vient de confirmer le jugement en considérant qu’elle ne rapportait pas la preuve que sa concurrente utilisait son nom pour attirer sa clientèle, le procès-verbal de l’huissier n’établissant pas que la page litigieuse était réellement en ligne au jour où il a été rédigé. Elle a donc refusé d’engager la responsabilité d’AOL. CA Paris 17 novembre 2006 (Mise en ligne Novembre 2006)

Actualités

Le recours à des mesures d’instruction

Expertises judiciaires ICE et Audit Administration de la preuve Le recours à des mesures d’instruction Quels que soient la matière ou encore le domaine (contractuel ou délictuel), celui qui souhaite engager un contentieux quelle qu’en soit la raison, se heurtera à un problème de preuves : soit il n’existe aucune preuve des faits ou du préjudice et il est plus sage de renoncer à faire valoir ses droits pour ne pas engager de frais en pure perte ; soit des preuves existent, mais elles se situent chez un tiers ou, situation encore plus délicate, chez son futur adversaire. Dans cette dernière hypothèse, celui qui souhaite engager un procès devra donc préalablement à toute action directe contre son adversaire, recourir à des mesures d’instruction, afin de pouvoir obtenir ces preuves nécessaires à son action. Il devra alors solliciter l’autorisation préalable du juge, par voie de requête non contradictoire, afin d’obtenir les preuves nécessaires à son action, avant que celles-ci ne soient détruites par son adversaire. Sous réserve que soit démontré l’intérêt légitime des mesures d’instruction sollicitées, ces dernières seront le plus souvent autorisées. Leur mise en œuvre se fera généralement par l’intermédiaire d’un huissier de justice, désigné par le juge. Un arrêt rendu par la Cour d’appel de Paris montre qu’il convient d’être particulièrement vigilant tant sur la mission confiée par le juge à l’huissier, que sur les conditions dans lesquelles la mesure d’instruction sera réalisée. C’est généralement sur les ordinateurs des personnes qui détiennent les preuves recherchées, que devra être exécutée la mesure. Or, qu’il s’agisse d’ordinateurs à usage privé ou professionnel, ceux-ci sont susceptibles de contenir une multitude d’informations, dont certaines font l’objet d’une protection particulière (vie privée, secret des correspondances, secret professionnel, secret des affaires…). La nécessité de se pré-constituer des preuves avant l’exercice d’une action judiciaire ne justifie pas qu’il y soit porté atteinte. C’est ce qu’a considéré la Cour d’appel de Paris, dans l’arrêt précité. L’enjeu est important dans la mesure où si de telles mesures d’instruction sont, dans un premier temps, ordonnées de manière non contradictoire, les personnes concernées peuvent toujours, dans un second temps, demander la rétractation de l’ordonnance qui les a autorisées et obtenir ainsi la restitution, voir même la destruction des éléments saisis.4Il est donc impératif d’être particulièrement attentif à la rédaction de la mission sollicitée (s’agissant d’une procédure non contradictoire, les juges auront tendance à reprendre ou du moins à s’inspirer fortement de la mission rédigée par le demandeur). Il est recommandé de proposer, le cas échéant, le nom d’un huissier spécialisé dans la réalisation des constats en informatique. CA Paris, 26 avril 2006 Paru dans la JTIT n°61/2007 p.4 (Mise en ligne Février 2007)

Actualités

préjudice écologique

Environnement Responsabilité environnementale La notion de préjudice écologique enfin reconnue par la justice La décision rendue le 16 janvier 2008 par le tribunal correctionnel de Paris est novatrice en ce qu’elle accorde pour la première fois un droit à réparation d’une « atteinte effective des espaces naturels sensibles » aux collectivités dont le territoire a été souillé par la pollution induite du naufrage du pétrolier Erika le 12 décembre 1999. Le tribunal reconnaît également que les associations de défense de l’environnement sont fondées à agir en réparation d’un préjudice résultant d’une « atteinte portée à l’environnement ». Un droit strictement encadré puisque seule la Ligue pour la protection des oiseaux (LPO) a obtenu réparation. TGI Paris Corr. 16 janvier 2008 n°9934895010 aff. Erika (Mise en ligne Janvier 2008)

Actualités

Reach : vers la fin du régime transitoire de pré-enregistrement

Environnement REACH Reach : le régime transitoire de pré-enregistrement s’achève le 30 novembre 2008 ! Le règlement REACH pour l’industrie traitant des liquides chimiques en vigueur depuis un an, a prévu la possibilité pour les fabricants et importateurs de substances chimiques, de procéder à un pré-enregistrement des substances qu’ils fabriquent ou commercialisent, durant une période transitoire allant jusqu’au 30 novembre 2008. Passé cette période, ils ne pourront plus bénéficier du régime transitoire et devront obligatoirement enregistrer leurs substances en fournissant un certain nombre d’informations avant leur commercialisation en Europe. Les substances bénéficiant du régime transitoire sont les substances mentionnées dans l’inventaire EINECS, ou qui ont été fabriquées dans l’Union européenne ou l’un des pays y ayant adhéré avant 2004 mais n’ayant pas (encore) été mises sur le marché de l’Union, au moins une fois après le 1er juin 1992, ou sont les « ex-polymères » (communément qualifiées de substances existantes). Toute personne pouvant bénéficier du régime transitoire sont les fabricants et les importateurs de substances, les producteurs et importateurs d’articles contenant des substances ainsi que les représentants exclusifs de fabricants établis en dehors de l’UE. L’enregistrement préalable permet aux entreprises de poursuivre leur fabrication, importation et utilisation des substances bénéficiant d’un régime transitoire qui peut aller jusqu’au 31 mai 2018 selon les propriétés des substances et le volume annuel produit. En effet, selon leurs propriétés et les quantités mises sur le marché communautaire, les substances pré-enregistrées peuvent bénéficier de périodes transitoires variant entre 2 et 10 ans (2008-2018), précédent leur procédure d’enregistrement. L’enregistrement préalable accorde également aux entreprises du temps supplémentaire pour organiser la collecte et la sélection des données disponibles, le partage des données existantes, et la production collective des informations manquantes. Les informations relatives à l’enregistrement préalable doivent être communiquées à l’AEPC (agence européenne des produits chimiques) entre le 1er juin 2008 et le 1er décembre 2008. Cette communication peut se faire par voie électronique. Règlement (CE) 1907/2006 du 18 décembre 2006 (Mise en ligne Octobre 2008)

Actualités

Le système REACH

Environnement REACH Le système REACH : une nouvelle réglementation pour l’industrie traitant des liquides chimiques Le Parlement européen a adopté, en première lecture le 17 mars 2005, la proposition de résolution portant sur deux propositions d’actes communautaires relatives au « système REACH » encore dénommé « paquet REACH ». Le système REACH repose sur trois axes stratégiques mettant en oeuvre les procédures : d’enregistrement des substances chimiques fabriquées ou importées dans des quantités supérieures à une tonne par an dans une base de données européenne ; d’évaluation de toute substance en raison de risques pour la santé humaine et l’environnement ; d’autorisation ou de restriction des substances chimiques particulièrement dangereuses.       paru dans Le Journal des fluides, Cahier juridique n°13 – 2007 (Mise en ligne Mai 2007)

Actualités

REACH accès à l’information confidentialité et voies de recours

Environnement REACH REACH : accès à l’information, confidentialité et voies de recours Dès le 1er juin 2007, date d’entrée en vigueur du règlement REACH, les fabricants et importateurs de substances chimiques seront tenus de transmettre à l’Agence européenne des produits chimiques (AEPC) les informations sur les substances mises sur le marché jusqu’en 1981 qu’ils fabriquent ou importent.Le déclarant qui souhaite bénéficier du régime transitoire d’enregistrement (pendant 18 mois à compter de l’entrée en vigueur du règlement) des substances fabriquées ou commercialisées, est tenu de procéder à un pré-enregistrement. Ce dernier suppose la collecte d’informations sur l’identité de la substance et les études sur les propriétés intrinsèques des substances chimiques, aucune substance chimique soumise à l’enregistrement ne pouvant être ni fabriquée ni importée si elle n’a pas été enregistrée par le producteur ou l’importateur. Les exigences d’information à la charge des producteurs sont fonction du tonnage et des caractéristiques de danger des substances. REACH introduit un renversement de la charge de la preuve sur les producteurs de substances qui devront faire la preuve de la maîtrise des risques liés aux substances, notamment par l’évaluation de la sécurité chimique. Les informations et données susceptibles d’être protégées par la confidentialité sont aux termes de l’article 118 du règlement : les précisions sur la composition complète de la préparation, la quantité exacte de la substance qui est fabriquée ou mise sur le marché,les liens existant entre un fabricant ou un importateur et ses distributeurs. Il existe des voies de recours à la suite d’un rejet partiel ou total d’une demande de confidentialité. Pour les substances pour lesquelles l’AEPC impose au déclarant de soumettre une demande d’enregistrement matérialisée par la remise d’un dossier technique : le déclarant peut faire une demande en précisant les informations qu’il estime ne pas devoir être publiées sur Internet et les raisons pour lesquelles la publication de ces informations risque d’être préjudiciable à ses intérêts commerciaux ou à ceux d’autres parties intéressées. Le déclarant pourra exercer l’une des voies de recours ouvertes à l’encontre d’une décision de rejet partiel ou total d’une demande de confidentialité insérée dans son dossier technique d’enregistrement. Toutefois, ces voies de recours doivent être déterminées d’ici le 1er juin 2008 par le Conseil d’administration de l’AEPC. REACH : Règlement 19/07/2006 du 18/12/2006. Paru dans la JTIT n°64/2007 p.4 (Mise en ligne Mai 2007)

Retour en haut