Actualités

Actualité Vers une remise en cause de l’interdiction des ventes liées ?   La Cour de justice des Communautés européennes (CJCE) vient de se prononcer sur l’interprétation de la directive 2005/29/CE relative aux pratiques commerciales déloyales. Cette décision fait suite à une question préjudicielle posée par une juridiction belge portant sur des affaires de ventes conjointes réalisées sur le territoire belge. La première affaire concernait une société distributrice de carburant qui proposait des prestations d’assistance gratuite au dépannage pour l’achat d’une certaine quantité de carburant. La deuxième espèce faisait intervenir une société éditrice d’un magazine qui avait publié un de ses numéros accompagné d’un carnet donnant droit à une remise sur certains produits vendus dans des boutiques partenaires. Etait en cause dans cette affaire, la loi belge qui, sauf exceptions, interdit les ventes conjointes définies comme l’acquisition, gratuite ou non, de produits, services, de tous autres avantages, ou de titres permettant de les acquérir, si elle est liée à l’acquisition d’autres produits ou services, même identiques. La question préjudicielle posée consistait à déterminer si une disposition nationale interdisant toute vente conjointe d’un vendeur à un consommateur au sens de la loi belge était contraire aux dispositions communautaires et notamment à la directive sur les pratiques commerciales déloyales ? La directive procède à une harmonisation complète des règles relatives aux pratiques déloyales au niveau communautaire et les États membres ne peuvent pas adopter des mesures plus restrictives que celles définies par la directive, même aux fins d’assurer un degré plus élevé de protection des consommateurs. Elle précise les critères de la pratique déloyale. Une pratique ne peut être considérée comme déloyale que si elle remplit les conditions cumulatives suivantes :   elle est contraire aux exigences de la diligence professionnelle ; elle altère ou est susceptible d’altérer de manière substantielle le comportement économique, par rapport au produit, du consommateur moyen qu’elle touche ou auquel elle s’adresse, ou du membre moyen du groupe lorsqu’une pratique commerciale est ciblée vers un groupe particulier de consommateurs.Il est précisé que sont déloyales, les pratiques qui sont trompeuses et agressives. Par ailleurs, la directive contient une liste des pratiques commerciales réputées déloyales en toutes circonstances ou liste noire de clauses. La Cour, pour répondre à la question qui lui était posée, rappelle tout d’abord que constitue une pratique commerciale « toute action, omission, conduite, démarche ou communication commerciale, y compris la publicité et le marketing, de la part d’un professionnel, en relation directe avec la promotion, la vente ou la fourniture d’un produit aux consommateurs ». Elle considère que les ventes conjointes répondent à cette notion de pratique commerciale. Elle précise que les seules pratiques pouvant être réputées déloyales « en toutes circonstances » sont celles énumérées à la liste de l’annexe I de la directive. Elle constate que la pratique des ventes conjointes ne figure par dans cette liste. En conséquence, elle ne peut être interdite en soi. Cette pratique doit être étudiée au cas par cas afin de déterminer si elle constitue ou non des pratiques déloyales au regard des critères définis par la directive (pratique trompeuse, agressive, contraire aux exigences de la diligence professionnelle et susceptible d’altérer de manière substantielle le comportement économique du consommateur). En conséquence, la Cour considère que « la directive doit être interprétée en ce sens qu’elle s’oppose à une réglementation nationale qui, sauf certaines exceptions, et sans tenir compte des circonstances spécifiques de l’espèce, interdit toute offre conjointe faite par un vendeur à un consommateur » sans même subordonner cette interdiction à la vérification des critères prévus par la directive. Dans la mesure où les dispositions de la loi belge sont similaires aux dispositions françaises interdisant la vente avec prime qui elles aussi prévoient une interdiction assortie d’exceptions, cette décision pourrait fournir un argument en faveur des professionnels dans le cadre des procédures actuellement en cours devant les juridictions françaises sur le fondement de l’interdiction des ventes avec prime et/des ventes subordonnées. CJCE 23 avril 2009 (Mise en ligne Mai 2009) Céline Avignon Avocate, directrice du département Publicité et Marketing Electronique Alain Bensoussan Avocats  

Actualité Le « Paquet Télécom » : un cadeau empoisonné pour Hadopi Alors que, dans le cadre de l’examen du « Paquet Télécom », le Parlement Européen vient de se prononcer, pour la deuxième fois, en faveur de la compétence d’une autorité judiciaire pour décider de toute restriction aux droits et libertés fondamentales des utilisateurs finaux, le projet de loi français « Création et Internet », octroyant compétence à l’HADOPI, Autorité Publique Indépendante, en matière de suspension d’un abonnement internet, a été adopté par les deux chambres de l’Hémicycle, le 13 mai 2009. La loi Hadopi, dans sa version définitive, semble donc incompatible avec cette future norme supranationale. En effet, si certains membres du gouvernement refusent encore d’accorder à l’accès internet la qualification de « droit fondamental », l’accord négocié le 29 avril dernier, dans le cadre de l’examen du « Paquet Télécom », entre les Etats Membres de l’Union Européenne et le Parlement Européen, permet pourtant d’affirmer que la suspension d’un abonnement internet constitue une restriction aux droits et libertés fondamentales des utilisateurs finaux, étant précisé qu’internet a été considéré comme essentiel pour l’exercice pratique de la liberté d’expression et de l’accès à la liberté d’information… Au demeurant, le texte de la loi « Création et Internet » est proche de celui voté par la Commission Mixte Paritaire, le 9 avril dernier, sous réserve de quelques nouvelles dispositions portant essentiellement sur les règles de mises en œuvre de la riposte graduée. Au rang des nouveautés, figure notamment l’obligation, pour la Commission de Protection des Droits de l’HADOPI, de : rappeler à l’abonné les recommandations dont il a déjà fait l’objet, ainsi que leurs motifs ; lui notifier les faits nouveaux qui lui sont reprochés ; lui indiquer les mesures qu’elle est susceptible de prendre à son égard ; l’informer de la possibilité de se faire assister d’un conseil, de consulter l’intégralité du dossier le concernant et de la possibilité de présenter des observations écrites et orales. Il est également précisé la faculté, pour la Commission de Protection des Droits, d’entendre toute personne dont l’audition lui paraît susceptible de contribuer à son information. En outre, est réintroduite l’obligation de motivation des décisions de la Commission, à savoir : la mention des « raisons pour lesquelles les éléments recueillis lors de la procédure contradictoire ne sont pas suffisants pour mettre en doute l’existence du manquement présumé à l’obligation de vigilance définie à l’article L. 336-3, non plus que pour retenir l’existence de l’une des causes d’exonération prévues au même article ». Probablement influencée par la position des députés européens, la dernière version du texte tend à rapprocher les garanties offertes par la Commission de Protection des Droits de celles relevant, en principe, d’une autorité juridictionnelle. Reste que l’avenir de ce texte est encore entre les mains du Conseil Constitutionnel, saisi le 19 mai dernier. Celui-ci doit se prononcer sur la conformité de ce texte dans un délai d’un mois, étant précisé que le sort futur de la loi Création et Internet dépend également de la renégociation du « Paquet Télécom » qui devrait intervenir à l’issue des prochaines élections européennes. Sénat, Dossier législatif (Mise en ligne Mai 2009) Laurence Tellier-Loniewski Avocate, Directrice du pôle Propriété intellectuelle Anne Platon Avocate, Collaboratrice du pôle Propriété intellectuelle

Actualité Les puces RFID et la protection des données personnelles et de la vie privée Les puces RFID permettent l’identification d’un produit ou d’un ensemble de produits à distance grâce à un lecteur qui capte les informations contenues dans la puce. Le transfert d’informations de la puce vers le lecteur s’effectue grâce à l’émission d’ondes radio. Il n’est donc pas nécessaire que le lecteur soit rapproché du produit pour que l’identification s’effectue. Les applications des puces RFID sont très nombreuses : grande distribution, paiements, sécurité, santé, marketing. En 2006, la Commission européenne a lancé une consultation publique sur la manière de concilier le développement de la technologie RFID et la protection des données à caractère personnel et de la vie privé. Elle préconise que les professionnels du secteur mettent en place une signalétique des puces RFID dans les produits de consommation proposés à la vente dans l’Union européenne. Pour la Commission en effet, « les puces RFID peuvent être considérées comme un moyen d’espionner les consommateurs. Il faut donc prendre des mesures pour garantir que cette technologie respecte la vie privée. Un emblème RFID sur les produits serait une première étape garantissant la transparence de l’industrie ». Elle propose, en outre, la mise en place de mécanismes de désactivation des puces RFID dans certaines situations, par exemple à la sortie des magasins, avec le libre choix des personnes. En effet, les puces RFID étant des données à caractère personnel, les individus ont un droit d’accès aux informations contenues dans la puce les concernant. Le 12 mai 2009, la Commission européenne a émis de nouvelles recommandations sur la manière de concilier la technologie RFID et la protection des données à caractère personnel et de la vie privé : les consommateurs devraient pouvoir exercer un contrôle sur les produits qu’ils achètent : lorsqu’un produit contient une puce RFID, celle-ci devrait être désactivée automatiquement, immédiatement et gratuitement dans le magasin, sauf si le consommateur demande expressément que la puce reste active ; les entreprises et les pouvoirs publics qui utilisent des puces RFID devraient informer les consommateurs du type de données collectées et de la finalité de la collecte. Ils devraient également s’assurer qu’un étiquetage clair permet d’identifier les dispositifs de « lecture » des informations stockées dans les puces ; les associations et les organisations de détaillants devraient faire mieux connaître aux consommateurs les produits équipés de puces RFID au moyen d’un signe européen commun indiquant la présence d’une puce dans un produit ; les entreprises et les pouvoirs publics devraient, avant de les utiliser, évaluer l’incidence des puces RFID sur la protection des données à caractère personnel et de la vie privée. La Commission européenne accorde aux Etats membres un délai de deux ans pour l’informer des mesures qu’ils entendent prendre pour atteindre ces objectifs. Recommandation du 12 mai 2009 Communiqué de presse du 12 mai 2009 (Mise en ligne Juin 2009) Alain Bensoussan Avocat Virginie Bensoussan-Brulé Avocate, Collaboratrice du département Concurrence

Actualité Les pouvoirs de sanction de l’Hadopi déclarés inconstitutionnels Adoptée par le Parlement, le 13 mai 2009, après bien des avatars, la loi favorisant la diffusion et la protection de la création sur internet, dite loi « Hadopi » (Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet), vient de subir la censure du Conseil constitutionnel dans plusieurs de ses dispositions phares. Dans sa décision n°2009-580 DC du 10 juin 2009, le Conseil affirme, tout d’abord, la constitutionnalité de l’obligation générale de surveillance mise à la charge de tout titulaire d’un accès à internet, qui doit veiller à ce que son accès à internet ne fasse pas l’objet d’une utilisation à des fins de contrefaçon (article 11 de la loi et premier alinéa du futur article L. 336-3 du Code de la propriété intellectuelle). En revanche, il considère qu’est inconstitutionnel le principe selon lequel le titulaire de l’accès est responsable de tout acte de contrefaçon commis grâce à sa connexion, sauf s’il démontre avoir mis en œuvre l’un des moyens de sécurisation labellisés par l’Hadopi, ou qu’il y a eu une utilisation frauduleuse de sa connexion ou encore qu’il existe un cas de force majeure. Pour le Conseil, ce renversement de la charge de la preuve induit, à l’encontre du titulaire de l’accès à internet, une présomption de culpabilité contraire à l’article 9 de la Déclaration des droits de l’homme et du citoyen de 1789. En outre, le Conseil Constitutionnel considère que la coupure de l’accès à internet, comme sanction des manquements à l’obligation de surveillance, est inconstitutionnelle, en ce qu’elle est prononcée par l’Hadopi. Selon lui, le droit à « la libre communication des pensées et des opinions », reconnu par l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789, implique la liberté d’accès aux services de communication au public en ligne. De ce fait, seule une juridiction peut se voir reconnaître le pouvoir de restreindre l’exercice de cette liberté. Le Conseil a, en revanche, validé la disposition permettant aux titulaires de droits de propriété intellectuelle, en présence d’un site contrefaisant, de saisir le tribunal de grande instance (éventuellement en référé) afin de le voir prononcer toute mesure propre à prévenir ou à faire cesser les actes de contrefaçon (article 10 de la loi et futur article L. 336-2 du Code de la propriété intellectuelle). Toutefois, cette disposition, non seulement, ne constitue pas une nouveauté, mais pourrait apparaître comme un recul par rapport aux textes existant déjà. En effet, depuis 2004, la loi pour la confiance dans l’économie numérique offre aux titulaires de droits la possibilité de saisir le tribunal pour prévenir ou faire cesser tout dommage occasionné par le contenu d’un site. Mais l’article 6 I de la loi de 2004 va plus loin que la nouvelle loi, puisqu’il autorise l’autorité judiciaire à intervenir dans le cadre d’une procédure non contradictoire (par requête). Le Conseil constitutionnel valide aussi la disposition (nouvel article L. 335-3 du CPI) selon laquelle la « captation totale ou partielle d’une œuvre cinématographique ou audiovisuelle en salle de spectacle cinématographique » est un acte de contrefaçon. A défaut, un débat aurait en effet pu s’instaurer sur le point de savoir si une telle captation relevait ou non de la copie privée. On peut seulement regretter que la loi n’ait pas étendu sa disposition à d’autres types d’œuvres et lieux de spectacles. Quoi qu’il en soit, la loi se voit vidée de l’essentiel de son contenu du fait de la censure de ses deux dispositions les plus emblématiques. Elle a, toutefois, été promulguée, pour sa partie non censurée, le 12 juin 2009, le Gouvernement ayant, par ailleurs, annoncé qu’un texte sur les sanctions devrait prochainement être proposé. En l’absence d’un tel texte qui, en vertu du principe de légalité des délits et des peines, est indispensable pour qu’une mesure de coupure d’un accès internet puisse être prononcée, y compris par des juges, à l’encontre d’un internaute qui commet des actes de téléchargement illicites, sans mettre lui-même en ligne des contenus illicites, la loi n’a qu’une portée très limitée. Décision n°2009-580 DC du 10 juin 2009 (Mise en ligne Juin 2009) Laurence Tellier-Loniewski Avocate, Directrice du pôle Propriété intellectuelle Anne Platon Avocat, Collaboratrice du département Propriété Intellectuelle

Actualité Communications électroniques : tarification des services d’itinérante communautaire Le 27 juin 2007, le Parlement européen et le conseil adoptaient le règlement n° 717/2007 concernant l’itinérance sur les réseaux publics de téléphonie mobile en Europe. L’objectif de ce règlement était d’instaurer un tarif plafond pour les appels des usagers de réseaux mobiles situés dans l’Union européenne lorsqu’ils se déplaçaient sur le territoire français et réciproquement. Ce règlement encadrait les tarifs d’itinérance jusqu’en 2010. Le 8 juin 2009, le Conseil européen a adopté un nouveau règlement, modifiant le précédent, qui prévoit de proroger le règlement de 2007 au-delà de 2010, de poursuivre la baisse des tarifs et d’étendre le plafonnement des prix aux services de SMS et de transmission de données. Les dispositions de ce nouveau règlement prennent effet dès le 1er juillet 2009. Le plafond pour l’envoi de SMS à partir de l’étranger a été fixé à 0,11 € HT, alors que le prix de l’itinérance des données sera plafonné à 1 € HT par Megaoctet téléchargé, pour passer à 0,80 € en 2010 et 0,50 € en 2011. Les plafonds tarifaires pour les appels vocaux en itinérance passeront de 0,46 € à 0,43 € pour les appels émis et de 0,22 € à 0,19 € pour les appels reçus. A compter du 1er juillet 2010, ces plafonds seront respectivement fixés à 0,15 € (1er juillet 2010) et à 0,11 € (1er juillet 2011). Enfin, le règlement prévoit l’introduction d’une facturation à la seconde à compter des 30 premières secondes écoulées pour les appels passés en itinérance et à partir de la première seconde pour les appels reçus à l’étranger. Ces dispositions feront l’objet d’un ré-examen par la Commission le 30 juin 2011 au plus tard. Communiqué du Conseil européen du 8 juin 2009 (Mise en ligne Juin 2009) Frédéric Forster Avocat, Directeur du pôle Constructeurs Informatique, Télécoms et Electronique (ITE)

Actualité Publication prochaine du CCAG dédié aux technologies de l’information et de la communication La réforme des CCAG entre enfin dans une phase opérationnelle, puisqu’après la publication du CCAG-FCS, le 19 mars dernier, les arrêtés des CCAG-MI, TIC et PI viennent d’entrer dans le circuit des signatures ministérielles. Demeure aujourd’hui une interrogation sur le futur CCAG Travaux, qui n’a pas été mentionné dans le communiqué de la Direction des affaires juridiques du ministère de l’Economie, de l’Industrie et de l’Emploi. S’agissant des nouvelles technologies, le CCAG dédié aux technologies de l’information et de la communication (CCAG-TIC), annoncé dès le premier semestre 2007, sera enfin publié fin juillet 2009. Pour mémoire, les cahiers des clauses administratives générales (CCAG) fixent un cadre général et des dispositions communes applicables à certaines catégories de marchés. Ils restent des documents facultatifs et ne s’appliquent qu’aux marchés qui s’y réfèrent. En dépit de ce caractère facultatif, ils sont un référentiel d’inspiration qu’aucun pouvoir adjudicateur ne peut négliger. Dans le secteur de l’informatique et des communications électroniques, l’absence de référentiel dédié se faisait cruellement sentir. Dans le CCAG-TIC, le secteur de l’informatique et des communications électroniques est désormais abordé en tant que domaine spécifique par la prise en compte de problématiques propres à ce domaine avec, plus particulièrement, l’ajout de clauses relatives à la cession de droits de propriété intellectuelle. De plus, en prévoyant aussi bien la maintenance sur site que la télémaintenance et l’infogérance, le CCAG-TIC donne des bases solides à tout acheteur public souhaitant y recourir. Il contient des clauses relatives aux prix, aux prestations en elles-mêmes et aux accords de qualité de service dans ce type de contrat. Ces innovations majeures ont été exposées par la Direction des affaires juridiques du ministère de l’Economie, le mercredi 10 juin 2009, lors de l’atelier organisé par l’Observatoire économique de l’achat public sur la dématérialisation des marchés publics. Outre les dispositions évoquées ci-avant, il peut être retenu la disparition du terme de « progiciel » au profit de celui de « logiciel », dont le régime des droits de propriété intellectuelle sera simplifié par rapport au CCAG-Propriété intellectuelle. Le CCAG-TIC va, en effet, permettre d’opter pour un régime de concession (option dite « A ») ou de cession (option dite « B ») de ces droits. En réalité, l’option choisie pourra être modulée par le biais du cahier des clauses administratives particulières (CCAP). Ainsi, un quasi régime de cession de la propriété des droits afférents aux résultats issus de l’exécution du marché sera obtenu par l’articulation du CCAP et du CCAG-TIC, dans lequel l’option de concession aura pourtant été retenue. Dans un souci d’efficacité, le CCAG-TIC sera allégé de toute disposition redondante avec le Code des marchés publics. Il ne s’appliquera qu’un mois après la date de sa publication au Journal Officiel, afin de laisser un temps d’ajustement pour les procédures lancées durant la période estivale, qui adopteront ce dernier né des CCAG. Communiqué du Minefe (ministère de l’Économie, de l’industrie et de l’emploi) (Mise en ligne Juillet 2009) François Jouanneau Avocat, Directeur du département Marchés publics

Actualité Le Sénat encadre l’utilisation de la base de données passager (PNR) Le Sénat a adopté, le 30 mai 2009, une résolution sur la proposition de décision-cadre relative à l’utilisation des données des dossiers passagers, dites PNR, à des fins répressives. Les données PNR sont celles recueillies par les compagnies aériennes et les agences de voyage auprès des passagers à l’occasion de la réservation d’un vol. Ce projet européen fait écho au système mis en place par les États-Unis après les attentats de 2001. La proposition de décision-cadre s’est donc efforcée de faire valoir la conception européenne de la protection des données personnelles. Cette proposition de la Commission européenne de novembre 2007 tend à faire obligation aux compagnies aériennes assurant des vols à partir de l’Europe de transmettre aux autorités compétentes les renseignements relatifs aux passagers aux fins de prévenir les infractions terroristes et la criminalité organisée. Ainsi, sur la base des observations du contrôleur européen de la protection des données, de l’Agence des droits fondamentaux de l’Union européenne et du groupe de l’article 29 soulignant les lacunes de la proposition de la Commission européenne de novembre 2007 en matière de sécurité juridique et de protection des données, le sénat, à son tour, a identifié les difficultés de ce texte et adopté une résolution. Monsieur Simon Sutour, sénateur du Gard et auteur de la résolution, précise notamment que la constitution d’une base de donnée de passagers doit se faire dans le respect des droits fondamentaux et en particulier, du droit au respect de la vie privée et à la protection des données personnelles. Dans la lignée de ce que préconise la Cnil, il est indiqué que les finalités de ce traitement « PNR » doivent être précisément délimitées et concerner exclusivement la détection, l’instruction, la poursuite et la répression du terrorisme, ainsi qu’un ensemble d’infraction graves déterminées. Cette mesure doit être appréciée au regard de la collecte de ces données, qui repose sur la seule qualité de passager. Cette collecte est indifférenciée et ne concerne donc pas une personne ciblée. La proposition du Sénat précise encore que la transmission aux autorités devra être déclenchée par les transporteurs aériens, afin qu’ils gardent le contrôle de leur données. Les destinataires de ces données appelés « unité de renseignements passagers », ainsi que d’éventuels intermédiaires devront faire l’objet de précisions et de garanties supplémentaires. Quant aux données utilisées, que le groupe de l’article 29 considère comme excessives, le Sénat estime que cette liste de données devra faire l’objet d’un examen supplémentaire, afin que l’utilité des données collectées soit avérée au regard des finalités poursuivies. Dans cette logique, une des mesures importantes de la proposition du Sénat résulte dans l’exclusion d’utilisation des données sensibles (race, origine ethnique, convictions religieuses, opinions politiques, l’appartenance syndicale, santé, orientation sexuelle). Leur utilisation pourrait être néanmoins envisagée dans des cas strictement encadrés. Egalement, la durée de conservation des données qui, dans la proposition initiale de la Commission européenne peut atteindre 13 ans, est considérée par le Sénat comme manifestement disproportionnée par rapport aux objectifs poursuivis et demande, en conséquence, que cette durée soit réduite à un délai raisonnable (estimé de 6 à 10 ans). Enfin, cette proposition insiste sur les conditions de transmission de ces données vers des Etats tiers qui n’offriraient pas les garanties suffisantes. Les transferts ne pourraient, dès lors, s’effectuer qu’au cas par cas et sous réserve que l’Etat tiers assure un niveau de protection adéquat des données et que des garanties soient prévues dans la mise en œuvre du principe de réciprocité. Sénat, Dossier législatif (Mise en ligne Juillet 2009) Emmanuel Walle Avocat, Directeur du département Informatique et libertés secteur public

Actualité Bientôt un « label informatique et libertés »   Depuis la réforme du 6 août 2004, la Cnil dispose d’un pouvoir de labellisation Informatique et libertés des produits et procédures des entreprises, dès lors qu’elle est saisie d’une telle demande par des organisations et institutions professionnelles regroupant des responsables de traitement. Ce pouvoir de la Cnil va désormais pouvoir être mis en oeuvre plus aisément, dans la mesure où la loi du 12 mai 2009 de simplification et de clarification du droit prévoit qu’en cas de difficulté d’évaluation d’un produit ou d’une procédure complexe, le président de la Cnil peut confier cette analyse à un expert indépendant. Pourront notamment faire l’objet d’une labellisation, un moteur de recherche sur Internet, un service de transaction électronique en ligne pour un site de commerce électronique, ou encore un logiciel de gestion de données de santé utilisé au sein d’un hôpital. La Cnil précise que la labellisation n’est pas une obligation puisqu’elle s’effectue sur la base du volontariat et que la Commission conserve la décision d’attribuer ou non un label à un produit, sur la base des résultats de l’évaluation. Il convient de ne pas hésiter à organiser une réunion avec la Cnil pour présenter son projet. La labellisation des produits et procédures des entreprises constitue pour ces dernières un nouvel outil de différenciation face à la concurrence et un gage de qualité et de confiance pour les particuliers. Loi 2009-526 du 12 mai 2009 (Mise en ligne Juillet 2009) Chloé Torres Avocat, Directeur du département Informatique et libertés Caroline Doulcet Avocat, Collaboratrice du département Informatique et libertés

Actualité La loi Bachelot : enfin une réglementation de la publicité en ligne pour les boissons alcoolisées   Le projet de loi sur la réforme de l’hôpital et relatif aux patients, à la santé et aux territoires (loi Bachelot) vient d’être promulgué. Ce texte comporte de nombreuses dispositions relatives à la vente de boissons alcoolisées. Il est notamment précisé que la vente et l’offre gratuite d’alcool à des mineurs est interdite (une amende pénale de 7500 euros est encourue). Ce projet de loi interdit également la vente d’alcool à emporter, entre dix-huit heures et huit heures, dans les points de vente de carburant. En outre, dans tous les commerces autres que les débits de boissons à consommer sur place, toute personne qui veut vendre des boissons alcooliques entre vingt-deux heures et huit heures devra au préalable suivre une formation spécifique.Ce texte contient également une disposition relative aux « happy hours », précisant que si un débitant d’alcool propose des boissons alcooliques à prix réduits pendant une période restreinte (par exemple, quelques heures), il doit également proposer à prix réduit des boissons non-alcooliques. En matière de publicité, la mesure phare de ce texte est une disposition relative à la publicité en faveur de l’alcool sur Internet. Depuis la loi Evin du 10 janvier 1991, la publicité en faveur de l’alcool est strictement réglementée, le support de l’Internet n’ayant toutefois pas été prévu. Des décisions de justice avaient d’ailleurs condamné la pratique de la publicité en ligne pour des boissons alcoolisées considérant que ce support ne faisait pas partie des supports exclusivement autorisés à diffuser de telles publicités en faveur de l’alcool. Or, la loi ajoute les services de communication en ligne, c’est-à-dire principalement les sites Internet, à la liste des supports autorisés à effectuer de la publicité ou de la propagande en faveur de l’alcool, « sous réserve que la propagande ou la publicité ne soit ni intrusive, ni interstitielle ». Sont toutefois exclus les sites qui, « par leur caractère, leur présentation ou leur objet, apparaissent comme principalement destinés à la jeunesse, ainsi que ceux édités par des associations, sociétés et fédérations sportives ou des ligues professionnelles au sens du code du sport ». Ce texte a donc pour intérêt d’offrir un cadre légal à la publicité pour l’alcool sur internet. Enfin, il convient de préciser que ce texte comporte également des dispositions relatives à la vente de produits du tabac, telles que l’interdiction de la vente ou de l’offre à titre gratuit de cigarettes à des mineurs ou encore l’interdiction de certaines cigarettes aromatisées. Loi portant réforme de l’hôpital et relatif aux patients, à la santé et aux territoires,JO du 22 juillet 2009 (Mise en ligne Juillet 2009) Céline Avignon Avocate, Directrice du département Publicité et Marketing Electronique Alain Bensoussan Avocats

Actualité Pandémie grippale : déployer un plan de continuité de l’activité conforme à la réglementation Informatique et libertés Par l’ampleur de ses conséquences, la grippe pandémique peut constituer une menace redoutable, non seulement sur le plan humain, mais aussi sur le plan économique. Conscientes que les perturbations susceptibles d’affecter les activités économiques, en cas de pandémie grippale, peuvent être limitées par des actions de préparation en amont, la majorité des entreprises et collectives territoriales établissement actuellement, sous l’impulsion des pouvoirs publics, un plan de continuité d’activité (PCA), afin de faire face à une épidémie grippale de grande ampleur. L’élaboration d’un PCA, ayant pour objectif de maintenir l’activité au niveau le plus élevé possible tout en protégeant les personnels exposés, est d’ailleurs imposée aux administrations de l’Etat et établissements publics placés sous sa tutelle par la circulaire du 3 juillet 2009. Dans le cadre de la préparation et de la mise en place de leur plan de continuité, en cas de passage de la France en niveau d’alerte 6 concernant le virus H1N1, ces entités vont être amenées à collecter des données à caractère personnel concernant leurs salariés. Cette collecte, bien que légitime et recommandée par la fiche technique G.1, intitulée « Recommandations aux entreprises et aux administrations pour la continuité des activités économiques et des services publics et la prévention sanitaire en période de pandémie », accompagnant la circulaire du 3 juillet dernier précitée, doit être entourée de précautions et réalisée dans le respect des exigences issues de la réglementation Informatique et libertés. La conformité du traitement ainsi déployé à la réglementation Informatique et libertés impose en effet, sous peine de sanctions pénales pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende, la mise en œuvre des sept actions suivantes : A1 : réaliser les formalités préalables nécessaires auprès de la Cnil. Si la collecte se borne à recenser les coordonnées personnelles des salariés, ainsi que le type de moyen de transport qu’ils utilisent, les fichiers ainsi constitués seront couverts par la déclaration du traitement de gestion du personnel, déposée auprès de la Cnil ou introduite dans la liste des traitements tenue par le Cil. En revanche, si le traitement opéré comporte des informations liées à la santé (nécessité d’un maintien à domicile durant la période pandémique en raison d’un handicap ou d’un facteur médical, état de santé du salarié contaminé, etc.) et/ou à la vie privée des personnes (disponibilité prévisible en cas de fermeture des crèches et des établissements scolaires, etc. ) une déclaration normale devra être réalisée auprès de la Cnil, sous réserve d’avoir recueilli le consentement exprès des personnes concernées à la collecte et au traitement de leurs données de santé. A défaut, le traitement sera soumis à autorisation préalable de la commission ; A2 : recueillir le consentement exprès des salariés à la collecte et au traitement de données à caractère personnel relatives à leur santé. La mention de recueil du consentement devra figurer en bas des formulaires papiers ou électroniques de collecte de données ou dans un document remis aux salariés en caractères apparents (8 minimum) et être précédée d’une case à cocher ; A3 : informer les salariés, notamment de la finalité du traitement, des destinataires des données (l’accès à ces données doit être exclusivement réservé aux personnes habilitées du service des ressources humaines et/ou à la cellule de crise constituée au sein de l’entreprise) et des droits qu’elles tiennent au titre de la loi Informatique et libertés ; A4 : garantir aux personnes concernées un droit d’interrogation, d’accès, de rectification et d’opposition pour motifs légitimes ; A5 : assurer la sécurité et la confidentialité des données. Toutes les mesures doivent être prises pour garantir la confidentialité des données, s’agissant en particulier de leurs modalités de recueil (renvoi direct sous pli ou par mail à la personne désignée au sein du service des ressources humaines) ; A6 : déterminer une politique de durée de conservation des données ; A7 : encadrer, le cas échéant, les flux transfrontières de données. Circulaire DGT 2009/16du 3 juillet 2009 (Mise en ligne Septembre 2009) Chloé Torres Avocate, Directrice du département Informatique et libertés

Actualité Transferts bancaires Europe – Etats-Unis La Cnil vient d’apprendre l’ouverture de nouvelles négociations entre la Commission européenne et les Etats-Unis en vue de l’adoption d’un accord, aux termes duquel les autorités américaines auraient finalement accès aux données stockées par SWIFT sur le serveur en Suisse, initialement conçu pour éviter un tel accès. Le Président de la Cnil, qui préside également le groupe des Cnil européennes (G29), s’étonne de n’être ni consulté ni informé des termes des négociations. Il craint une remise en cause des garanties négociées au printemps 2007, par la Commission et le Conseil européen avec le gouvernement américain. Cnil, Communiqué de presse du 16 septembre 2006 (Mise en ligne Septembre 2009) Emmanuel Walle Avocat, Directeur du département Informatique et libertés secteur public

Actualité Lignes directrices communautaires pour le déploiement des réseaux à haut débit   La question de la destination des sommes collectées, dans le cadre du grand emprunt voulu par le président de la République, agite actuellement le débat politique. Le financement, nécessaire à l’accélération du déploiement des réseaux à très haut débit, notamment dans les zones peu denses, afin de ne pas faire entrer la France dans une nouvelle fracture numérique, pourrait être un des grands bénéficiaires de l’affectation de ces sommes. Dans ce contexte, les lignes directrices que la Commission européenne vient d’adopter et de publier, le 17 septembre 2009, ont pour objectif d’apporter un cadre, que la Commission souhaite clair et prévisible, aux conditions dans lesquelles les Etats membres pourront apporter leur aide en matière de financement de l’accélération et de l’extension du déploiement des réseaux à haut débit. Ces lignes directrices comportent également des dispositions spécifiques, destinées à favoriser l’investissement dans le secteur des réseaux à très haut débit, dans l’optique d’éviter des distorsions de concurrence. Ces lignes directrices ont pour objectif d’exposer les conditions dans lesquelles les fonds publics peuvent être orientés, en fonction du niveau d’investissement des opérateurs privés, dans le déploiement des réseaux. Pour ce faire, ces lignes distinguent trois types de zones :   les zones blanches, qui correspondent à celles qui ne sont pas rentables et donc non desservies par un réseau de communication électronique à haut débit ; les zones grises, c’est-à-dire celles dans lesquelles un seul opérateur est présent et où les conditions de l’arrivée d’opérateurs supplémentaires ne sont pas nécessairement réunies ; et, enfin, les zones noires, correspondant aux zones dans lesquelles au moins deux fournisseurs de réseaux à haut débit sont présents.La Commission a, par sa pratique décisionnelle, établi la liste des conditions nécessaires, pour limiter l’aide d’Etat et ses effets potentiels, en matière de distorsion de la concurrence, et ce, pour les zones blanches ou les zones grises. Ainsi, la Commission a-t-elle établi une liste de huit critères, sur la base desquels elle examinerait la licéité des aides qui auront pu être apportées. Parmi ces critères figurent, par exemple :   l’identification claire des zones géographiques couvertes par l’aide financière qui pourrait être apportée, ainsi que l’analyse détaillée des conditions de concurrence et de la structure concurrentielle dans les zones concernées ; les critères d’organisation des appels d’offres, ainsi que du choix de celle des offres qui pourrait être retenue ; la neutralité technologique et les conditions d’utilisation des infrastructures existantes ou encore les mécanismes de récupération de l’aide financière apportée, afin que le bénéficiaire de celle-ci ne puisse profiter d’une surcompensation par rapport aux revenus qu’il tirera de la commercialisation de ses services.Par ailleurs, la Commission rappelle que l’intervention publique peut, aussi, revêtir d’autres formes que l’intervention purement financière. Ainsi, la Commission insiste sur le fait que les Etats membres peuvent décider, par exemple, de faciliter le processus d’acquisition de droits de passage, d’exiger que les opérateurs de réseaux coordonnent leurs travaux de génie civil et partagent leurs infrastructures ou, enfin, qu’ils imposent la mise en place de liens en fibre optique dans toutes les nouvelles constructions. De plus, la réalisation des travaux de génie civil, dont on sait qu’ils représentent une part non négligeable des coûts d’investissement dans des infrastructures très haut débit, peut être entreprise directement par les autorités publiques, de telle manière à ce que l’investissement privé soit limité au déploiement des seules liaisons filaires, optiques ou hertziennes. S’agissant des zones noires, la Commission estime qu’elle pourra éventuellement être amenée à statuer sur des aides qui pourraient être apportées à des opérateurs ayant déployé des réseaux haut débit, mais qui ne souhaiteraient pas, dans les trois années à venir, investir dans le déploiement de réseaux très haut débit. Pour apprécier la licéité des aides qui seraient apportées dans cette hypothèse, la Commission s’appuierait sur les critères évoqués ci-dessus. Communiqué CE IP/09/ 1332, 17 septembre 2009 Lignes directrices communautaires (Mise en ligne Septembre 2009) Frédéric Forster Avocat, Directeur du pôle Constructeurs Informatique, Télécoms et Electronique (ITE)  

Actualité Hadopi 2 à peine votée et déjà contestée… Récemment adoptée par la Commission Mixte Paritaire, la loi relative à la protection pénale de la propriété littéraire et artistique sur Internet (dite « Hadopi 2 »), vient compléter la loi n°2009-669 du 12 juin 2009 « favorisant la diffusion et la protection de la création sur internet » (dite « Hadopi 1 »), dont les dispositions répressives avaient fait l’objet d’une censure drastique par le Conseil Constitutionnel avant l’été. Cette dernière mouture du Parlement n’aura pas davantage échappé au contrôle de l’Institution des Sages, saisis de la question de sa constitutionnalité le 25 septembre dernier. (Mise en ligne Octobre 2009) Laurence Tellier-Loniewski Avocate, Directrice du pôle Propriété intellectuelle

Actualité La Cnil publie une dispense pour les traitements relatifs à la pandémie grippale Depuis le 10 septembre 2009, même en l’absence de Cil et de déclaration de fichier de gestion du personnel, les responsables d’un traitement mis en œuvre dans le cadre de l’établissement et du suivi du plan de continuité de l’activité permettant de faire face à un épidémie grippale de grande ampleur ne sont plus tenus d’effectuer de formalités préalables dans la mesure où leur traitement respecte toutes les dispositions de la nouvelle dispense n°14 (1). En août 2009, la Cnil publiait ses recommandations relatives aux traitements de données à caractère personnel dans le cadre de l’établissement et du suivi du plan de continuité de l’activité devant permettre de faire face à un épidémie grippale de grande ampleur. Elle indiquait que sous réserve que les données collectées ne soient pas soumises à un régime particulier, le traitement mis en œuvre dans ce cadre pouvait bénéficier d’une dispense de déclaration en cas de désignation d’un correspondant à la protection des données par l’organisme responsable du traitement ou être déjà couvert par une déclaration de fichier de gestion du personnel si une telle déclaration a déjà été effectuée par l’organisme (2). Un tel traitement est considéré comme légitime par la Cnil mais, afin de bénéficier de la dispense, il ne peut intervenir qu’à la condition que la France ait atteint le seuil d’alerte de situation 4. Lorsque le seuil d’alerte de situation 7 est atteint, les données nominatives doivent être supprimées. La dispense a ainsi un effet immédiat puisqu’à ce jour, le seuil d’alerte de situation 4 (cas groupés humains) a été dépassé, la France se trouvant en situation 5, à savoir une situation dans laquelle il existe une « transmission interhumaine d’un virus grippal dans au moins deux pays non limitrophes d’un même continent ». La dispense n°14 vise les traitements ayant pour finalités : l’élaboration d’un plan de continuité de l’activité dans le contexte d’une pandémie grippale en identifiant les personnes susceptibles d’être indisponibles en raison de leur situation familiale ou / et de leur mode de déplacement ; l’information du personnel quant aux mesures prises par l’organisme ; la réalisation de traitements statistiques non nominatifs liés à l’élaboration et à l’activation du plan dans l’entreprise. Les données traitées dans ce cadre ne peuvent en aucun cas comprendre le numéro de sécurité sociale ni aucune donnée relative à la santé des personnes. Seules pourront être traitées un nombre restreint de données énumérées par la dispense. Il s’agit, notamment, des données suivantes : données relatives à l’identité et aux coordonnées personnelles ; présence au foyer d’enfants de moins de trois ans ou d’enfants scolarisés en maternelle ou primaire et existence d’autres contraintes pouvant empêcher la personne concernée de se rendre sur son lieu de travail (sous la forme de réponse oui et non uniquement) ; caractéristiques du poste (contact avec le public, déplacements etc.) ; volontaire pour travailler à distance en cas de pandémie ; mode de transport habituel et alternatif. Ces données ne pourront être communiquées qu’aux personnes habilitées des services chargés de la gestion du personnel ou en charge de la cellule de crise si une telle cellule a été mise en place au sein de l’organisme. Quand bien même l’ensemble de ces dispositions serait respecté, la dispense ne s’appliquera pas en cas de mise en œuvre de transferts de données à caractère personnel à destination de pays tiers. La mise en œuvre de tels transferts devra faire l’objet d’une demande d’autorisation préalable. Enfin, comme tout traitement de données à caractère personnel, celui mis en œuvre dans le cadre d’un plan de continuité de l’activité destiné à lutter contre la pandémie grippale devra faire l’objet d’une information conforme à l’article 32 de la loi Informatique et libertés portée à la connaissance des personnes concernées. Cette information pourra avoir lieu via l’intranet ou la distribution d’une notice. En cas de collecte de données à l’aide d’un formulaire, celui-ci devra contenir une mention d’information spécifique. (1) Délib. Cnil 2009-476 du 10-9-2009, norme simplifiée n°14 (1) Délib. Cnil 2005-002 du 13-1-2005, norme simplifiée n°46 (Mise en ligne Octobre 2009) Céline Avignon Avocat, Directrice du département Publicité & Marketing électronique Claire Albrektson Avocat, collaboratrice du département Publicité & Marketing électronique

Actualité Marchés publics : parution du nouveau CCAG-travaux Le nouveau CCAG-travaux a vu son texte modernisé et mis en cohérence avec les évolutions du cadre législatif et réglementaire. L’actuel CCAG-travaux datait de 1976 et n’avait subi que de légères modifications en plus de 30 ans. Cette rénovation est le fruit d’une concertation qui s’est étalée sur 3 ans depuis 2007, permettant à l’ensemble des acteurs concernés de se prononcer et d’apporter des idées sur le projet de texte, le nouveau CCAG-travaux entrera en vigueur le 1er janvier 2010, facilitant ainsi la transition entre les marchés en cours, qui continueront à s’appuyer sur l’ancien CCAG-travaux, et les marchés résultant des consultations lancées à compter du 1er janvier 2010. Il reste à paraître encore trois CCAG, dont celui consacré aux technologies de l’information et de la communication attendu par l’ensemble des acteurs des nouvelles technologies. Arrêté du 8 septembre 2009 (Mise en ligne Octobre 2009) François Jouanneau Avocat, Directeur du département Marchés publics

Actualité La liquidation judiciaire des sociétés de VAD : vers une meilleure protection des consommateurs ?   Le tribunal d’instance de Riom s’est prononcé en juillet dernier sur le sort d’une marchandise achetée à distance par un consommateur auprès d’une société ayant été mise en liquidation judiciaire avant que le transporteur ait pu livrer ce bien. En l’espèce, le chèque du consommateur avait été encaissé avant la livraison du bien par la société venderesse et ce dernier réclamait donc la livraison de ce bien. Le transporteur refusait de lui livrer arguant de son droit de rétention sur ce bien dans la mesure où la société venderesse avait une dette envers lui. Le tribunal rejette cet argument estimant que l’exercice du droit de rétention par le transporteur nécessite la preuve de l’existence d’une créance de commission ou de transport dont la société expéditrice aurait dû être débitrice, cette preuve n’étant pas rapportée en l’espèce. Le transporteur est donc condamné à livrer le bien à l’acheteur. Cette décision aurait pu être toute autre en présence d’éléments de preuve en faveur du transporteur, et ainsi priver le consommateur d’un bien pourtant d’ores et déjà payé. Le transporteur, en vertu de l’article L.132-8 du Code de commerce, aurait même pu se retourner contre le consommateur pour combler la défaillance de la société expéditrice. A cet égard, il convient de préciser qu’une proposition de loi visant à renforcer la protection des droits des consommateurs dans le cadre d’une vente à distance a été enregistrée à l’Assemblée nationale le 29 septembre 2009. Alors que deux précédentes propositions de loi enregistrées à l’Assemblée nationale le 18 décembre 2008 envisageaient respectivement que les entreprises de vente à distance soient tenues d’attendre l’expédition des marchandises pour encaisser le paiement correspondant (AN n°1339), et que le délai légal de réclamation de l’acheteur à distance soit allongé (AN n°1342), ce nouveau texte propose :   d’étendre les pouvoirs de la DGCCRF lorsqu’il apparaît qu’un professionnel proposant la vente de biens ou la fourniture de services à distance n’est pas capable de les honorer ; d’octroyer à la DGCCR la possibilité de saisir le Président du tribunal de commerce afin de lui permettre de mettre en œuvre les pouvoirs de détection des entreprises en difficultés qui sont les siens ; de supprimer l’action directe du transporteur à l’encontre du destinataire de la marchandise en cas de défaillance de l’expéditeur lorsque le transport est consécutif à un contrat de vente à distance.Ce texte a été renvoyé à la Commission des affaires économiques pour une étude plus approfondie par les parlementaires. TI Riom, 6 juillet 2009 Proposition de loi n° 1940 du 29 septembre 2009 Proposition de loi n° 1339 du 18 décembre 2008 Propositions de loi n° 1342 du 18 décembre 2008 (Mise en ligne Novembre 2009) Céline Avignon Avocat, Directrice du département Publicité & Marketing électronique Alain Bensoussan Avocats    

Actualité Pôles de compétitivité : bientôt un « correspondant propriété industrielle » Un rapport d’information a été déposé à l’Assemblée nationale le 23 septembre 2009 par la Commission des finances, de l’économie générale et du contrôle budgétaire en conclusion des travaux de la mission d’évaluation et de contrôle (MEC) sur les perspectives des pôles de compétitivité. De février à septembre 2009, les évaluateurs de la mission ont entendu les principaux acteurs de la politique des pôles de compétitivité depuis 2005. Cet audit avait pour objectif de diagnostiquer et d’évaluer le dispositif national des pôles de compétitivité et de présenter des recommandations pôle par pôle. La première partie du rapport présente un diagnostic sur le fonctionnement des pôles qui affichent une véritable dynamique d’innovations avec un nombre de projets de recherche collaborative croissant. Or, des difficultés demeurent en raison notamment d’un système de financement complexe, d’insuffisances dans le pilotage de la politique nationale, d’insuffisances de mobilisation des PME et des chercheurs dans les instances de gouvernance pilotées par les grands industriels ainsi que dans la phase de valorisation des projets de recherche. Dans sa seconde partie, le rapport présente quinze propositions prioritaires assorties de recommandations pour améliorer la politique industrielle de la France par le canal des pôles de compétitivité pour la période 2009-2011. Ces propositions s’articulent autour de trois axes principaux : renforcer le rôle d’interface des pôles entre la recherche et les entreprises (assurer le passage de la recherche fondamentale à la recherche industrielle au sein des pôles, améliorer le partage et la diffusion de la recherche, promouvoir la recherche dans le domaine des éco-technologies au sein des pôles) ; optimiser les circuits de financement des pôles (simplifier l’accès aux dispositifs de financement public existants, développer les sources de financement privé au sein des pôles) ; mener des actions ciblées en direction des PME (procédure d’intégration aux pôles, procédure de financement). En matière de propriété industrielle, la situation actuelle laisse apparaître des faiblesses (pouvoir de négociation des PME face aux grands groupes dans l’établissement du contrat de consortium, absence de réflexion préalable à la répartition des droits de propriété intellectuelle…). Le rapport suggère de former un « correspondant propriété industrielle » au sein de l’équipe d’animation de chaque pôle de compétitivité en s’appuyant sur les services de l’Institut national de la propriété industrielle. Enfin, au sein du compte-rendu des auditions, il est fait état du guide de la propriété industrielle qui semble être un bon outil de base pour s’orienter de façon simple et pragmatique pour ce qui concerne des questions de propriété industrielle, les utilisateurs étant heureux de disposer d’un document de référence. Assemblée nationale, rapport n°1930, 23 septembre 2009. (Mise en ligne Novembre 2009) Nathalie Bastid Avocat, responsable du bureau secondaire de Grenoble

Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information Les implications de la SOX sur les SI C’est pour répondre aux scandales Enron et Worldcom que le Congrès américain a voté en juillet 2002, la loi Sarbanes-Oxley (SOX) qui modifie les règles de gouvernance des sociétés cotées aux Etats-Unis. La SOX oblige ces sociétés à mettre en place un contrôle interne efficace concernant la gestion de leurs données financières et à déposer un rapport auprès de la SEC (Commission américaine des opérations de bourse). Les exigences de la SOX et ses implications s’étendent à toute société française qui serait cotée aux Etats-Unis et à toute filiale française d’une société américaine cotée aux Etats-Unis. Ces dispositions obligent les sociétés à appliquer des règles strictes de gouvernance sur leurs systèmes d’information (SI). L’entreprise et notamment le directeur des systèmes d’information (DSI), dispose d’un modèle de référence en matière d’audit et de maîtrise des systèmes d’information, la norme CobiT (Control Objectives for Business and related Technology) qui s’inscrit dans la lignée des nouvelles pratiques de la gouvernance informatique. Ces « bonnes pratiques », sont proposées par l’IT Governance Institute, pour mieux gérer les risques liés à l’informatique en tenant compte notamment des contraintes liées à la mise en œuvre des dispositions de la SOX. Le DSI joue un rôle fondamental dans ce processus de mise en conformité du SI. C’est lui qui doit en garantir la sécurité et les contrôles lesquels peuvent porter notamment sur la gestion électronique et l’archivage des documents ou des courriers électroniques, l’amélioration des systèmes financiers et la conduite du changement ou encore la sécurité des bases de données et des réseaux. Ces règles peuvent conduire à exiger des prestataires qu’ils respectent les processus de production de SI définis par les « bonnes pratiques » communes, de manière à optimiser la sécurité et la conformité. (Mise en ligne Juillet 2002)

Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information Renforcer sa politique de sécurité : une préocupation constante de l’entreprise Les moyens informatiques et les réseaux de télécoms sont devenus des outils de travail indispensables à l’activité quotidienne des entreprises.Or, l’utilisation de systèmes d’information et de communication de plus en plus ouverts avec l’extérieur rend indispensable la mise en œuvre d’une politique de sécurité visant à protéger de risques variés. Face aux nombreuses menaces et compte tenu des obligations imposées notamment par l’article 35 de la loi Informatique et Libertés (1) applicables à la protection des systèmes et des données nominatives, les entreprises doivent définir des politiques globales de sécurité. Les moyens techniques même s’ils sont indispensables ne sont pas suffisants et doivent s’accompagner d’une politique d’information et de sensibilisation des utilisateurs pour éviter que ceux-ci, par un comportement inapproprié, ne compromettent la sécurité de l’entreprise.Ceci explique le succès grandissant des chartes depuis quelques années dont la généralisation répond à ces préoccupations. En complément de la charte il apparaît nécessaire de définir des procédures pour la recherche et la conservation de la preuve en cas d’utilisation déviante des systèmes d’information et de télécoms ou encore d’agissement frauduleux avérés. Ces procédures doivent permettre de concilier efficacité et fiabilité des constats pour que ceux-ci soient juridiquement recevables et probants dans le respect des dispositions édictées par le Code du travail et par la loi Informatique et Libertés qui consacrent des exigences de proportionnalité, de transparence et de loyauté. Leur mise en œuvre nécessite par conséquent une bonne connaissance des textes applicables et des jurisprudences rendues en ces matières. Par ailleurs, il ne faudra pas oublier la gestion assurantielle des risques liés à la sécurité résultant notamment de la perte de chiffre d’affaires induite par des actes frauduleux ou encore les coûts engendrés par la reconstitution des données qui seraient altérées ou perdues. (1) Loi du 06/01/1978 modifiée par la loi du 06/08/2004. Paru dans la JTIT n°50/2006 p.2 (Mise en ligne Mars 2006)

Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information Gérer la convergence des systèmes d’information Il est extrêmement fréquent, voir courant, en cas de fusion ou de rachat de sociétés, ou même tout simplement en cas d’acquisition de nouveaux sites, que les différentes entités qui se regroupent disposent de systèmes informatiques différents. La forte augmentation des ERP ou des systèmes intégrés au sein des entreprises, rend indispensable pour les entreprises qui se rassemblent la disposition d’un seul et même système d’information pour l’ensemble du groupe. Elles doivent en effet, pouvoir obtenir des remontées d’informations homogènes de l’ensemble des sociétés du groupe et disposer de données uniques et conjointes. Faire converger les SI de plusieurs entreprises constitue un véritable projet informatique. Sa mise en oeuvre peut en effet, se révéler extrêmement délicate : ce n’est pas parce qu’un système a été éprouvé au sein d’une entreprise que la migration s’effectuera facilement au sein d’une entreprise nouvellement acquise. Il s’agit pour cette dernière d’un véritable projet de changement de SI. La réalisation d’un tel projet n’est pas limitée au choix du SI qui sera privilégié, même si cela constitue un préalable à la convergence des systèmes. Encore faut-il en examiner les modalités. Toutes les étapes nécessaires à l’implémentation d’une nouvelle solution devront également être respectées, depuis la vérification des besoins jusqu’à la conduite du changement. Cette convergence peut également avoir pour effet de remettre en cause les processus et implémentations d’ores et déjà réalisées dans l’entreprise dont le système d’information a été privilégié. Lorsqu’il y a plusieurs sites, différentes démarches peuvent être adoptées : déploiement du système déjà éprouvé sur l’ensemble des autres sites et identification des écarts ; réalisation d’un site pilote sur l’un des sites, avant déploiement du système… toutes ces solutions nécessitent de : vérifier les contrats existants sur chacun des autres sites et effectuer les due diligences (licences, maintenance, propriété, CNIL, assurance, sécurité…) ; souscrire un nouveau contrat avec l’intégrateur prestataire et/ou l’éditeur qui sera chargé d’effectuer cette convergence, l’enjeu étant considérable ; gérer l’impact sur le plan social : modification des conditions de travail nécessitant une interventions des IRP, redéploiement des ressources humaines… effectuer un audit de mise en conformité avec la loi informatique et libertés. Paru dans la JTIT n°53/2006 p.4 (Mise en ligne Juin 2006)