2014

Actualités, Contrat, Informatique

Obsolescence des applications informatiques : anticiper les risques

/

L’obsolescence des applications informatiques est une composante majeure de l’analyse des risques métier. Anticiper la fin de la maintenance des logiciels permet de maîtriser les risques opérationnels. L’évolution constante des technologies de l’information accélère l’obsolescence des systèmes d’information. Entre le « versioning » des produits par les éditeurs d’outils ou de logiciels de base (pour des produits certes plus performants mais surtout générateurs de nouveaux revenus), ou l’abandon pur et simple des produits à la suite d’opérations de concentration, la direction des systèmes d’information doit sans cesse faire face au risque d’obsolescence des applications. La DSI doit d’abord s’efforcer d’identifier les applications, systèmes, infrastructures, et machines qui risquent de devenir obsolètes à moyen terme pour l’entreprise au besoin avec le concours des directions métier concernées. Elle pourra ensuite évaluer les risques métier, prendre les décisions appropriées (migration des systèmes critiques ou retrait) et obtenir les ressources nécessaires auprès de la direction générale. L’obsolescence est également une composante majeure de l’analyse des risques juridiques. Elle impacte directement les contrats de licence de progiciels et de maintenance. L’obsolescence est une composante majeure de l’analyse des risques juridiques. Elle touche tout particulièrement les contrats de licence de progiciels et leurs contrats de maintenance associés. Ces derniers, en fonction essentiellement de la durée de la maintenance font varier le niveau de risque encouru. Voici quatre éléments permettant d’en limiter l’ampleur : Négocier un engagement de pérennité de quelques années, par exemple cinq ans, pour être assuré du maintien du produit au catalogue de l’éditeur, indépendamment des changements de versions ; Obtenir dans les contrats de maintenance, une durée initiale minimum, par exemple de 3 ans, avant de passer au système classique des contrats d’un an tacitement reconductibles ; Exiger des garanties d’évolution, en fonction de l’environnement technique. Cela évite de se trouver en possession d’un logiciel inutilisable lorsque le SGBD ou le système d’exploitation évolue ; Se préserver un délai suffisant pour migrer d’une version à une autre, ce qui signifie que la version « n-1 » doive être maintenue suffisamment longtemps. Pour minimiser l’impact de l’obsolescence sur les contrats de licences de progiciels et de maintenance. il convient de penser à obtenir (ou aménager) dès le début de la relation contractuelle, des engagements de nature à sécuriser la situation juridique de la maintenance applicative. Jean-François Forgeron Lexing Droit Informatique

Actualités, Marchés publics, Procédure de passation

Soumissionner : de nouvelles interdictions !

/

L’article 16 de la loi n° 2014-873 du 4 août 2014 pour l’égalité réelle entre les femmes et les hommes prévoit trois nouvelles interdictions de soumissionner. Ne peuvent candidater à un contrat de la commande publique, les personnes ayant été condamnées depuis moins de cinq ans : pour discrimination fondée sur le sexe, infraction prévue par l’article 225-1 du Code pénal ; pour méconnaissance des dispositions relatives à l’égalité professionnelle entre les femmes et les hommes prévues par l’article L 1142-1 et L 1142-2 du Code du travail et ayant fait l’objet d’une condamnation inscrite au bulletin n°2 du casier judiciaire. Par ailleurs, ne peuvent soumissionner à un contrat de la commande publique, les entreprises constituées d’une ou plusieurs sections syndicales n’ayant pas rempli leur obligation de négociation en matière d’égalité professionnelle entre les femmes et les hommes prévue, et ce en méconnaissant une des conditions suivantes : absence de négociation prévue à l’article L. 2242-5 du Code du travail au 31 décembre de l’année précédant celle au cours de laquelle a lieu le lancement de la procédure de passation ; les personnes n’ayant pas, à la date à laquelle elles soumissionnent, réalisé ou engagé la régularisation de leur situation au regard de l’obligation de négociation fixée par l’article L. 2242-5 du Code du travail. Contrats. Outre les marchés publics, les nouvelles interdictions de soumissionner concernent : les délégations de service public de l’Etat et de ses établissements publics ; les contrats de concession de travaux ; les contrats de partenariat de l’Etat et de ses établissements publics. Calendrier. Les nouvelles interdictions de soumissionner s’appliquent depuis le 1er décembre 2014. Formulaires. A cet effet, les acheteurs publics peuvent inviter les candidats à remplir les formulaires DC1 (modèle de lettre de candidature) et DC4 (modèle de déclaration de sous-traitance) qui ont été mis à jour afin de prendre en compte les nouvelles mesures pour l’égalité entre hommes et femmes. Plus précisément, ce sont les rubriques F des deux formulaires qui ont été mis à jour en y intégrant une attestation sur l’honneur de l’entreprise ou du sous-traitant relative au respect des obligations en matière d’égalité professionnelle. François Jouanneau Alain Bensoussan Avocats Lexing Droit Marchés publics

Actualités, Evénement, Informatique, Informatique, Informatique et libertés, Informatique et libertés Contentieux, Pénal numérique, Revue de presse, Sécurité des SI

Piratage des serveurs de Sony Pictures aux Etats-Unis

/

Piratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1. La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première. Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ? AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« . Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ? AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« . Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ? AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« . Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique. AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« . Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ? AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« . Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ? AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« . Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici. AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…) Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).

Actualités, Droits des personnes, Evénement, Informatique et libertés, Revue de presse

Experts-comptables et protection des données

/

Experts-comptables. Selon Alain Bensoussan, le monde virtuel fait entrer les entreprises dans une troisième dimension. Interrogé par Le Francilien, la revue des experts-comptables région Paris Ile-de-France, il précise les incidences de cette évolution, notamment en termes juridiques. Les nouvelles technologies modifient en effet l’organisation des entreprises, en fusionnant le temps, l’espace et le matériel. Aujourd’hui les salariés peuvent se connecter à tout moment, en tout lieu, à l’aide de tout équipement : c’est le sens de l’acronyme Atawad (Anytime, Anywhere, Any Device), inventé par le futurologue Xavier Dalloz. L’entreprise devient synchrone avec son salarié et ses équipements. Le contrat avec les salariés, dans ce contexte, devrait prendre davantage la forme d’un contrat de collaboration. L’essentiel, c’est la continuité du workflow : il suffit que le travail soit livré à la bonne date. Les experts-comptables accompagnent de nombreuses entreprises de services du numérique. L’appréhension des valeurs incorporelles semble souvent susciter de nombreuses interrogations de la part des professionnels de la comptabilité, comme de la part des professionnels de la propriété. La comptabilisation est fréquemment abordée par la valeur travail au lieu de la valeur marché. Aujourd’hui, il est pourtant de plus en plus facile de donner une valeur marché aux incorporels. Les experts-comptables devraient s’assurer en premier lieu qu’ils respectent eux-mêmes, dans leur activité, les obligations de la Cnil, s’appliquant aux utilisateurs de données personnelles : déclaration préalable et sécurité des fichiers, confidentialité des données, péremption des données personnelles, information des personnes, finalité des traitements, etc. Dans un deuxième temps, ils peuvent alerter leurs clients sur ces obligations de protection des données à caractère personnel. L’expert-comptable, par le biais de la compatibilité, peut par exemple apprendre que son client utilise un système de vidéosurveillance… et lui rappeler ses obligations légales en la matière. La protection des données peut véritablement contribuer au développement des activités des experts-comptables, en élargissant leurs compétences, pour les amener à devenir de véritables « comptables du droit ». Interview d’Alain Bensoussan pour Le Francilien, n°87, Automne 2014

Actualités, Articles, Commerce électronique, Internet conseil, Publication

Commerce électronique : interdit d’interdire aux distributeurs !

/

Commerce électronique. Naïma Alahyane Rogeon revient, pour L’Usine Nouvelle, sur l’arrêt rendu par la cour d’appel de Paris le 13 mars dernier, confirmant la condamnation de l’interdiction imposée par un fabricant aux membres de son réseau de distribution sélective de commercialiser les produits de sa marque sur internet. La décision des juges d’appel conforte la jurisprudence Pierre Fabre Dermo Cosmétique (1), la sanction appliquée  étant toutefois réduite de façon très conséquente. En effet, la cour d’appel a rappelé qu’il n’était pas juridiquement certain que l’interdiction imposée par un fabricant à son réseau de distribution sélective constituait une restriction par objet interdite, avant la décision Pierre Fabre. De ce fait, elle a décidé de réduire la sanction pécuniaire du promoteur de réseau : l’amende de 900 000 euros, qui avait été prononcée par l’Autorité de la concurrence, est passée à 10 000 euros. L’interdiction de facto par un promoteur de réseau de la commercialisation sur internet par ses distributeurs est susceptible de constituer une restriction de concurrence contraire à la réglementation européenne. Ce type de clause réduit la possibilité pour le distributeur du réseau de commercialiser des produits à des clients situés hors de sa zone d’activité et restreint donc la concurrence sur le secteur considéré. Le cas ne fait plus discussion à ce jour. Toutefois des aménagements de cette liberté de commercialiser sur internet par un distributeur intégré à un réseau sont possibles. Le promoteur de réseau a donc tout intérêt à anticiper la question en prévoyant, au sein de son contrat de distribution, la question de la vente en ligne par ses distributeurs. Néanmoins, il convient de garder à l’esprit que les critères objectifs mis en œuvre par le promoteur de réseau doivent, d’une part, être mesurés afin de ne pas être plus restrictifs que ceux prévus pour la vente en magasin physique et, d’autre part, ne pas aboutir à une prohibition de fait du commerce électronique pour les distributeurs. En toute hypothèse, cet encadrement devra reposer sur des critères objectifs et proportionnés. Au contrat pourra être utilement annexée une charte numérique permettant de fixer des « guidelines » du commerce électronique. Naïma Alahyane Rogeon pour L’Usine Nouvelle, « Interdit d’interdire aux distributeurs d’e-commerce », 11 décembre 2014 (1) Lire notre post du 11-4-2014.

Actualités, Conférences, Contrat, Evénement, Informatique

Contrat informatique : gagnez en sécurité !

/

Contrat informatique. Benoit de Roquefeuil interviendra dans le cadre d’une formation dédiée à la sécurisation juridique des contrats informatiques, organisée par Comundi, dont les prochaines sessions se dérouleront les 26-27 mars 2015, 29-30 juin 2015 et 19-20 novembre 2015 à Paris. Cette formation permettra à Benoit de Roquefeuil de partager avec les participants ses compétence et expérience en gestion de contentieux informatique en vue de leur permettre de négocier et rédiger les clauses indispensables au verrouillage sécuritaire des contrats informatiques qu’ils pourraient être amenés à rédiger. Les objectifs de la formation sont les suivants : maîtriser la spécificité des multiples contrats informatiques ; éviter les sanctions financières et pénales. Les interventions s’articulent autour des six thématiques suivantes : l’anticipation des risques et la prévention des litiges ; les clauses incontournables pour verrouiller juridiquement les contrats informatiques; les précautions à prendre pour les contrats de licence, maintenance, tierce maintenance applicative (TMA) et ASP ; les principaux pièges des contrats d’intégration ; les nouveaux schémas contractuels de l’infogérance ; les sanctions financières et pénales liées aux contrats informatiques. Consulter le programme de formation.

Actualités, Conférences, Evénement, Télécom

Applications mobiles : les aspects juridiques

/

Les applications mobiles représentent un champ d’investigation pour la Cnil  qui vient de publier les résultats de son étude menée avec l’Inria dans le cadre de son projet Mobilitics dénonçant les caractères limités et insuffisants des informations et outils mis à disposition des utilisateurs par rapport à la quantité de données collectées (1). Céline Avignon interviendra dans le cadre d’une formation dédiée aux enjeux juridiques des applications mobiles, organisée par Francis Lefebvre Formations, dont la prochaine session se déroulera le 18 décembre 2014 à Paris. Cette formation est l’occasion pour Céline Avignon de partager avec les participants ses compétences et son expérience dans le m-marketing en vue de prévenir les risques juridiques et de garantir la protection du consommateur et de ses données personnelles, conditions indispensables pour sécuriser la mise en place et l’utilisation des applications mobiles. Cette formation répond à un triple objectif : identifier, dans le cadre du processus de création d’une application, les principes qui doivent être respectés ; concevoir dans une démarche « privacy by design » ; connaître les risques juridiques associés et savoir les prévenir. Dans ce cadre, de nombreux thèmes ont vocation à être abordés : politique de confidentialité, gestion des données personnelles et information des personnes concernées, utilisation de cookies et autres traceurs, protection du consommateur et garantie de sécurité, etc. Cette formation est destinée aux responsables marketing, juristes, secrétaires généraux, avocats, et de manière plus générale à toute personne en charge de la création d’une application mobile. Les participants pourront bénéficier de l’expertise et de réponses concrètes assorties d’exemples pratiques garantissant une mise en application efficace des enseignements tirés de la formation. Consulter le programme de la formation Inscription sur le site Francis Lefebvre Formations (1) Cnil, « Mobilitics, saison 2 : nouvelle plongée dans l’univers des smartphones et de leurs applications », Actualité du 15 décembre 2014.

Actualités, Fiscalité - Société, Réglementation

Comptabilité informatisée et contrôle fiscal

/

Comptabilité informatisée. Depuis le 1er janvier 2014, les contribuables qui tiennent leur comptabilité au moyen de systèmes informatiques doivent la présenter sous forme de fichiers dématérialisés lors d’un contrôle de l’administration fiscale. Les fichiers d’écritures comptables doivent répondre aux normes codifiées à l’article A-47 A-1 du livre des procédures fiscales (LPF), notamment : Les copies doivent être transmises, sous forme de fichiers à plat, à organisation séquentielle et structure zonée remplissant certains critères (caractère de contrôle Retour chariot et/ ou Fin de ligne, longueur des enregistrements, caractère séparateur de zone, etc.) Chaque fichier remis est obligatoirement accompagné d’une description type (nom, nature et signification de chaque zone, valeurs de zone, informations techniques, etc.) Le codage des informations doit être conforme aux spécifications données (caractères ASCII, norme ISO 8859-15 ou EBCDIC, valeurs numériques en mode caractère et en base décimale, zones alphanumériques, date au format AAAAMMJJ, etc.). Les commentaires de ces dispositions sont publiés dans le BOFiP-Impôts sous la référence BOI-CF-IOR-60-40 (Contrôle des comptabilités informatisées). Les modalités de présentation de la comptabilité informatisée sont décrites dans une notice explicative est repris dans le BOFIP Impôts sous les références CF- IOR-60-40-20 (Contrôle des comptabilités informatisées – Format du fichier des écritures comptables). Afin d’accompagner les entreprises dans cette nouvelles obligation, la Direction Générale des Finances Publiques (DGFIP) met à leur disposition un logiciel (Test Compta Demat) disponible en téléchargement libre sur le site « impots.gouv.fr ». Ce nouvel outil permet aux entreprises de vérifier la validité de la structure des fichiers de leurs écritures comptables, de détecter les points d’anomalies et les mises aux normes de leurs fichiers à effectuer. Toutefois le rapport fourni par ce nouvel outil ne constitue pas une attestation de conformité des fichiers des écritures comptables de l’entreprise et ne peut engager l’administration fiscale. Pierre-Yves Fagot Lexing Droit Entreprise

Actualités, Evénement, Informatique et libertés, Revue de presse, Secteur internet

Lutter contre la fraude et les opérations illicites en e-commerce

/

Céline Avignon précise, pour E-commerce Magazine, les moyens de lutter contre la fraude et les opérations illicites à disposition des commerçants en ligne. Les moyens utilisés doivent respecter les dispositions de la loi Informatique et libertés. Pour lutter contre la fraude et les opérations illicites, nombreux sont les e-commerçants optant pour des modules de prévention et de lutte, proposés notamment par les banques ou les prestataires de paiement. Néanmoins le recours à de tels modules implique pour l’e-commerçant de tenir compte des contraintes de la loi Informatique et libertés. En effet, les éditeurs, dans la plupart des cas, concèdent un droit d’utilisation sur des modules paramétrables et entièrement administrables par les e-commerçants. Compte tenu de cette autonomie, ces derniers sont considérés comme des responsables de traitements, au sens de la loi Informatique et libertés. Cette qualification entraîne des conséquences pour les e-commerçants. En effet, le recours à ces modules leur permet, lorsqu’ils soupçonnent une fraude grâce aux critères et scores définis dans ces outils, de refuser une commande à un internaute, par exemple. Or, l’article 25 de la loi Informatique et libertés soumet les traitements automatisés susceptibles (du fait de leur nature,de leur portée ou de leurs finalités) d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toute disposition législative ou réglementaire, à une autorisation préalable de la Cnil. Par conséquent, l’e-commerçant, avant de déployer un module de lutte contre la fraude, devra obtenir une autorisation de la Cnil. De même, il devra s’assurer d’informer ses clients et prospects, conformément à l’article 32 de la loi. Pour ce faire, il devra intégrer, dans ses conditions générales et formulaires sen ligne, une mention d’information. De manière générale, pour ces traitements, il devra veiller à respecter toutes les obligations de la loi. Céline Avignon, « Lutter contre la fraude en respectant la loi », E-commerce Magazine, Septembre-Octobre 2014

Actualités, Conférences, Evénement, Mode et luxe

Les avocats, nouveaux porte-paroles des maisons de luxe ?

/

Naïma Alahyane Rogeon, directrice du département Design & Création interviendra aux côtés de Aurélie Buisson, avocat associée Atem et professeur de droit spécialisée en propriété intellectuelle au sein du MBA Luxury & Fashion Management pour présenter à l’Université de Paris II Assas une conférence sur le droit dans le secteur du luxe : « Les avocats, nouveaux porte-paroles des maisons de luxe ? ». Représentant un chiffre d’affaires global de près de 185 milliards d’euros, le secteur du luxe est un secteur présentant des spécificités propres lié à des produits de haute facture impliquant un fort capital immatériel. La conférence abordera différentes questions : La raison d’être de notion tel que le droit du luxe et de la mode ? Les problématiques juridiques majeures rencontrées par les acteurs du luxe et de la mode, notamment celle de la contrefaçon ; La nouvelle attention portée au domaine du design. La conférence est organisée par Assas Mode, association étudiante ayant pour vocation de faire découvrir l’industrie de la mode et du luxe aux étudiants de l’Université Paris II Panthéon Assas. Cette conférence s’inscrit dans le cadre des objectifs de l’association Assas mode visant à : Faire partager et partager avec les étudiants de l’Université Paris II Panthéon Assas l’attrait que représente l’univers de la mode, du luxe et de la création ; Encourager l’engagement culturel et la réunion des étudiants autour d’un centre d’intérêt commun jusque-là non exploité par les associations culturelles de l’Université ; Promouvoir et mettre à la portée des étudiants une industrie qui nous concerne tous, qui nous fait rêver, mais que personne ne connaît réellement ; Prouver aux étudiants que la mode, le droit et l’économie sont des univers compatibles ; Faire découvrir aux étudiants la fibre artistique du droit à travers ses propres codes vestimentaires. La conférence se tiendra le Jeudi 11 décembre 2014 à l’Université de Paris II Assa (Centre Assas) Salle 304 – 19h à 21h.

Actualités

Licenciement : preuve rejetée pour déclaration tardive à la Cnil

/

Licenciement. Dans un arrêt du 8 octobre 2014, la chambre commerciale de la Cour de cassation a considéré que les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la Cnil, constituent un moyen de preuve illicite. Dans cette affaire, une société avait licencié un de ses salariés sur la base d’une utilisation excessive de sa messagerie électronique professionnelle à des fins personnelles, en se fondant sur des éléments de preuve obtenus grâce à un dispositif de contrôle individuel de l’importance et des flux de messagerie électronique. Décidé à contester ce licenciement, le salarié a argué du fait que le dispositif de contrôle individuel de l’importance et des flux de messagerie électronique, n’avait pas fait l’objet des formalités préalables obligatoires auprès de la Commission nationale informatique et libertés (Cnil) au moment de son licenciement. La Cour de cassation casse l’arrêt de la cour d’appel qui avait retenu que la déclaration tardive à la Cnil de la mise en place d’un dispositif de contrôle individuel de l’importance et des flux de messagerie électronique n’a pas pour conséquence de rendre le système illicite ni davantage illicite l’utilisation des éléments obtenus, et affirme que « constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la Cnil ». De plus, la Cour de Cassation précise que l’outil doit être conforme au moment de la collecte des informations qui sont utilisées comme moyen de preuve. Il n’est donc pas possible d’effectuer une régularisation postérieurement à la collecte de celles-ci. Il résulte de cet arrêt que tout outil permettant nativement ou in fine le contrôle de l’activité des salariés ne peut pas être utilisé en tant que preuve dans le cadre d’une procédure de licenciement, sans que sa conformité à la réglementation Informatique et libertés ait été préalablement vérifiée au risque d’être rejetée. En pratique, pour être utilisé comme moyen de preuve dans le cadre d’un licenciement, deux situations peuvent se présenter : l’outil permet nativement le contrôle de l’activité des salariés (vidéosurveillance, les logiciels permettant de surveiller les connexions des salariés, etc.), il convient alors d’effectuer une déclaration préalable auprès de la Cnil et de se conformer aux autres obligations résultant de la réglementation Informatique et libertés (ex : l’information préalable des salariés), ainsi qu’aux obligations résultant du droit du travail (ex : le respect de la procédure d’information et la consultation préalable du comité d’entreprise) ; l’outil peut permettre en plus de sa finalité principale, de contrôler l’activité des salariés (un outil de gestion des flux de messagerie électronique), dans une telle situation il convient de préciser dans le cadre de la déclaration préalable du traitement auprès de la Cnil, la finalité de contrôle de l’activité des salariés, afin de ne pas se voir reprocher un détournement de la finalité du traitement, qui entraînerait en plus du rejet de la preuve dans le cadre d’une procédure de licenciement, la constitution d’un délit. De la même façon que dans la première situation, l’outil devra également se conformer aux autres obligations applicables. Dans un tel contexte, les employeurs utilisant des outils permettant nativement ou in fine le contrôle de l’activité de leurs salariés, doivent être extrêmement vigilants. A ce titre, les employeurs peuvent notamment s’assurer de la conformité de leurs outils à la loi Informatique et libertés en engageant un audit de conformité à celle-ci de leurs outils existants, ou en s’appuyant sur un cahier des spécifications Informatique et libertés pour les outils qu’ils souhaitent installer. Céline Avignon Anaïs Gimbert-Bonnal Lexing, Droit Informatique et libertés Contentieux

Retour en haut