Actualités

Evénement – Petit-déjeuner débat COMMENT DEVENIR « R.E.A.C.H » ? DEBUT DU PRE-ENREGISTREMENT DES SUBSTANCES CHIMIQUES LE 1ER JUIN 2008 : COMMENT SE PREPARER A LA MISE EN ŒUVRE DE REACH ? Le petit-déjeuner débat a eu lieu le 21 novembre 2007 dans nos locaux. Il a été animé par Didier Gazagne. La nouvelle réglementation européenne sur les substances chimiques a été adoptée en décembre 2006. Malgré les craintes que suscitent l’application de REACH, REACH est incontestablement une avancée considérable en matière de gestion des produits chimiques dans l’Union européenne. Le système européen unique d’Enregistrement, d’Evaluation et d’Autorisation des Substances Chimiques – REACH (1) qui est entré en vigueur le 1er juin 2007 touche un très grand nombre d’industriels. Il nécessitera l’enregistrement sur une période de 11 ans d’environ 30 000 substances chimiques. En effet, les entreprises qui produisent ou importent plus d’une tonne d’une substance chimique par an devront l’enregistrer dans la base de donnée qui sera gérée par l’Agence européenne des produits chimiques (ECHA). Dès lors, les conditions d’application de REACH en font une nouvelle condition à la commercialisation d’une substance sur le marché européen puisque sans enregistrement, pas de commercialisation possible. Au delà des fabricants de substances chimiques qui sont les premiers impactés par REACH, l’application de REACH concernent également les importateurs, metteurs sur le marché, utilisateurs en aval de substances telles qu’elles ou contenues dans des préparations ou des articles, représentants exclusifs d’un fabricant de substances chimiques. A l’aube du démarrage de la phase de pré-enregistrement qui débutera le 1er juin 2008 et se terminera le 31 décembre 2008, c’est l’occasion de définir les premières orientations pour la mise en œuvre des dispositions issues du règlement REACH et les enjeux de l’application du règlement, tels que : le périmètre, les échéances et les modalités du pré-enregistrement ; les formes juridiques de coopération à adopter pour parvenir à une mutualisation des coûts des tests tout en limitant les risques liés à la protection du secret de fabrique et du secret industriel ; les conséquences sur le plan juridique résultant de la désignation d’un représentant tiers ou exclusif ; le fonctionnement des forums d’échange d’information sur les substances (FEIS) et l’organisation des partages d’information ; le suivi et la maîtrise du remplacement d’une substance. Connaissez-vous vos obligations envers la réglementation REACH ? Avez-vous commencé à vous préparer à REACH ? (1)L’acronyme de R.E.A.C.H. signifie « Registration Evaluation Autorisation and Restriction of Chimicals Substances » correspond en français à « enregistrement, évaluation, autorisation et restrictions relatifs aux substances chimiques ». (Lire le compte rendu)

Evénement – Petit-déjeuner débat Loi de finances 2008 et TIC Le petit-déjeuner débat aura lieu le 16 janvier 2008 de 9h00 à 11h00 (accueil à partir de 8 h 30), dans les locaux de ALAIN BENSOUSSAN, 29 rue du Colonel Avia 75015 Paris Pierre-Yves Fagot animera un petit-déjeuner débat consacré à la loi de finances pour 2008 et à ses nombreuses innovations en faveur des PME. Afin d’atteindre les objectifs de croissance que le gouvernement s’est fixé et répondre aux besoins d’un marché toujours plus concurrentiel, la loi de finances pour 2008 comporte de nombreuses innovations en faveur des PME. A l’occasion de ce petit-déjeuner, il est proposé de faire le point sur l’état de ces mesures concernant plus précisément les trois grands volets suivants : la refonte du crédit d’impôt recherche ; la création des Jeunes Entreprises Universitaires après celle des Jeunes Entreprises Innovantes ; l’assouplissement du traitement fiscal des cessions et apports de brevets et droits associés. Nous vous remercions de bien vouloir confirmer votre présence avant le 10 janvier 2008 par courrier électronique en indiquant vos coordonnées et le nombre de personnes qui assisteront au petit-déjeuner débat à l’adresse suivante : invitation-conference@alain-bensoussan.com ou par fax au 01 41 33 35 36.

  Le Ministère de l’Intérieur vient de présenter un plan de lutte contre la cybercriminalité du web qui devrait être intégré à la loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPSI) pour être présenté au printemps prochain. Ce plan vise à améliorer les dispositifs de signalement des sites illicites à l’aide d’une plate-forme de signalement qui sera opérationnelle dès septembre 2008. Les méthodes d’investigation vont être modernisées. Les dispositions de la loi du 23 janvier 2006 concernant l’obligation de conserver à la disposition des autorités judiciaires les données de connexion pendant un an, jusque là réservées aux cybercafés, seront étendues à l’ensemble des acteurs d’internet. Cette obligation s’appliquera aux bornes d’accès Wifi, aux éditeurs de messagerie électronique et aux points d’accès dans les lieux publics. La captation à distance de données numériques se trouvant dans un ordinateur ou transitant par celui-ci sera autorisée sous contrôle du juge. Elle interviendra en matière de criminalité organisée. Il est également prévu de nouvelles formes d’incrimination concernant l’usurpation d’identité sur internet, alors que le piratage pourra faire l’objet de sanctions spécifiques. En matière internationale, il sera proposé la mise en place d’accords internationaux permettant la perquisition à distance informatique sans qu’il soit nécessaire de demander préalablement l’autorisation du pays hôte du serveur. Cette procédure serait mise en œuvre sous contrôle du juge. Enfin, une Commission nationale de déontologie des services de communication au public en ligne est en cours d’élaboration. Elle sera chargée de formuler des recommandations d’ordre déontologique afin de garantir la protection des consommateurs et pourra délivrer des labels de confiance. Intervention de Michèle ALLIOT-MARIE du 14 février 2008 Claude-Michel Corcos Avocat, Directeur du département Numérique et Droit pénal claude-michel-corcos@alain-bensoussan.com

Le transport et la distribution d’électricité. Accès aux réseaux publics >> ACTUELLEMENT EN CONSTRUCTION

Contacts

Le cahier des charges, une notion dépassée, à l’occasion de la mise en place d’un ERP ? Un ERP est sur le plan strictement juridique, un progiciel (1). En dehors des textes régissant les droits respectifs des auteurs de logiciels et des utilisateurs dans le cadre de licences d’utilisation de progiciels, aucune loi spécifique ne régit les relations entre les parties à un contrat d’intégration de progiciels dans un système d’informations. Ce type de contrat relève du droit commun contractuel et la jurisprudence est venue préciser les responsabilités respectives du client et du fournisseur. L’inadéquation de la notion traditionnelle de cahier des charges Deux grands principes (2) se sont dégagés de manière constante au fil des années, à savoir qu’en matière de progiciel, il appartient au client de vérifier l’adéquation de celui-ci à ses besoins, la documentation du progiciel lui servant de cadre de référence (3). e plus, le client doit exprimer ses besoins réels et ses objectifs dans un cahier des charges (4). A cet égard, il a été jugé que les résultats à attendre sont ceux qui sont définis dans le cahier des charges (5). La jurisprudence a, également de manière constante, rappelé que le fournisseur avait de son côté une obligation de conseil et de mise en garde vis-à-vis de son client. Dans le cadre de cette obligation de conseil et de mise en garde, il a été jugé qu’il devait exiger de son co-contractant qu’il formule le plus précisément possible ses objectifs, les torts étant souvent partagés lorsque le cahier des charges réalisé par le client n’est pas suffisamment précis mais que le fournisseur de son côté n’a pas mis en garde le client et n’a pas sollicité de précisions (6). Cette jurisprudence, constante et ancrée dans les esprits n’est cependant pas vraiment adaptée en matière d’ERP même si ces derniers demeurent juridiquement des progiciels. En effet, leurs ampleur et richesse fonctionnelle d’une part, leur potentiel de paramétrage d’autre part, ne permettent pas à un client de vérifier préalablement à la souscription du contrat de licence et au contrat d’implémentation et de mise en œuvre, son adéquation parfaite à ses besoins. La vérification d’une telle adéquation précise et exhaustive, s’inscrit dans le cadre d’un véritable projet nécessitant : – d’analyser les besoins et procédures internes au client ; – d’identifier les écarts par rapport à l’ERP ; – de vérifier si ces écarts peuvent être traités par un paramétrage ou s’ils doivent être traités par des développements spécifiques. Une telle démarche constitue un projet à lui tout seul qui s’inscrit dans la durée et ne peut être réalisé préalablement au choix. Par ailleurs, en décidant de s’équiper d’un ERP, le client choisit essentiellement un concept, celui de progiciel de gestion intégrée, plutôt qu’un produit particulier. Bien entendu, il choisira l’ERP qui lui paraît globalement le mieux adapté à ses besoins parmi ceux offerts sur le marché, mais il sait par avance qu’aucun de ces produits ne sera strictement conforme à ses besoins et qu’il devra soit s’adapter au progiciel et modifier ses propres procédures internes, soit combler les écarts par des développements spécifiques. La réalisation d’un cahier des charges précis, exhaustif et détaillé n’est donc plus un élément moteur dans le choix du produit lui-même, mais le deviendra lors de son implémentation. Le cahier des charges tel qu’il était entendu par la jurisprudence dans le cadre des progiciels plus classiques, devenant en réalité l’analyse réalisée conjointement par les parties au cours du projet d’intégration de l’ERP. Demander en effet au client de réaliser un cahier des charges complet exhaustif et détaillé de l’ensemble de ses besoins, sachant que l’ERP est destiné à couvrir tous les domaines de l’entreprise, n’est pas plus réaliste que de lui demander de valider l’adéquation de la totalité du produit à ses besoins avant de s’engager contractuellement. Le recentrage du cahier des charges aux besoins fondamentaux du client Dans ces conditions, le cahier des charges peut être recentré sur les besoins fondamentaux du client. Il peut prendre diverses formes telles qu’un questionnaire ou un appel d’offres. Ainsi, les éditeurs peuvent se voir demander d’identifier les écarts de leurs produits par rapport aux fondamentaux du client aux fins de lui permettre d’opérer un choix suffisamment éclairé. Il reste bien entendu important pour le client de bien cerner et de bien définir les besoins fondamentaux, la réponse de l’éditeur ne l’engageant que dans le cadre de ce périmètre. C’est au client qu’il appartient donc de vérifier si les process et les modalités d’organisation interne, auxquels il n’entend pas renoncer pour s’adapter au progiciel, sont clairement mentionnés. Pour autant, il ne peut pas lui être reproché de ne pas avoir décrit l’ensemble de ses besoins y compris ses besoins non fondamentaux. L’analyse précise des besoins sera réalisée dans le cadre du prototypage. En effet, seul un prototype ou une maquette permettent au client et au fournisseur d’identifier la totalité des écarts, ceux à combler et ceux auxquels il faut renoncer. Lors de la conclusion du contrat, les parties sont généralement d’accord sur la démarche de l’implémentation de l’ERP et sur ses contraintes. Néanmoins en cas d’échec et de litige, il n’est pas rare de voir resurgir les vieux démons, chacune des parties tentant de s’abriter derrière la jurisprudence classique et reprochant à l’autre soit un cahier des charges incomplet ou non exhaustif, soit de ne pas avoir validé préalablement le progiciel à ses besoins, soit un manquement à l’obligation de mise en garde et de conseil. En l’absence de jurisprudence adaptée à ces nouveaux produits, il est donc impératif de préciser de manière expresse, dans le contrat, la démarche d’implantation de l’ERP sur laquelle les parties sont généralement d’accord, et le renvoit à de plus amples développements dans le cadre d’un plan assurance qualité (PAQ) ultérieur. Or, si le PAQ intègre souvent des considérations juridiques, qui n’y ont d’ailleurs pas toujours leur place, il n’a pas vocation à gérer le périmètre des responsabilités. Il est donc indispensable que soit par exemple clairement précisé que

  Les chartes intranet et règles d’éthiques : quelles limites ? Un tribunal de grande instance a ordonné en référé une interdiction de diffusion sur l’intranet de l’entreprise de règles de conduite définissant la politique du groupe  » sur les conflits d’intérêts entre la vie professionnelle et la vie personnelle « . Le tribunal a fait droit à la demande du comité d’établissement au motif que ces règles portaient atteinte à la vie privée des salariés et constituaient une modification indirecte du règlement intérieur (*). Il a considéré qu’en demandant à être informée par les collaborateurs et les membres de sa famille de tout type d’occupation  » gouvernementale, politique, bénévole ou civique  » afin d’autoriser lesdites activités, la société portait atteinte à la vie privée du personnel dans la mesure où elle entendait gérer indirectement les activités des autres membres de la famille des collaborateurs. En outre, ces règles violaient les dispositions du Code du travail relatives à la consultation du CE en modifiant indirectement le règlement intérieur. Il a enjoint à la société de faire cesser la diffusion de ces informations sur son site intranet, jusqu’à consultation du CE, du CHSCT et communication préalable de l’inspection du travail et ce sous astreinte de 10 000 € par jour de retard passé 24 heures de l’ordonnance (*) TGI Nanterre, ord. réf. 6 octobre 2004 L’enjeu Assurer une diffusion licite des chartes du personnel, règles de conduite, code éthique ou déontologique à destination des salariés sur l’intranet de l’entreprise. Les règles encadrant la modification du règlement intérieur Les règles qui édictent des prescriptions générales et permanentes doivent être assimilées au règlement intérieur lorsqu’il existe un tel document dans l’entreprise. Par exemple, une charte qui énonce et décrit les principes généraux et permanents relatifs à la sécurité peut constituer une adjonction au règlement intérieur. Les dispositions légales applicables au règlement intérieur doivent alors être respectées (art. L. 122-39 C. trav.) : communication préalable auprès de l’inspection du travail et consultation du comité d’entreprise (CE) et du comité d’hygiène, de sécurité et des conditions de travail (CHSCT). L’entreprise doit se montrer vigilante et procéder à des audits avant toute mise en ligne de tout type de documents à destination des salariés. L’audit préalable contribue à l’entretien d’une une bonne gestion des relations sociales dans l’entreprise. Le conseil Auditer au préalable tout document destiné à être mis en ligne (charte du personnel, code de conduite, règle d’éthique ou de déontologie, note de service…).

Knowledge management : Quatre étapes de valeur Paru dans l’Informatique Professionnelle en mars 2004 Chloé Torres La mise en place et l’utilisation d’un outil de Knowledge Management ne peuvent se faire hors de toute considération juridique. La valeur de l’outil dépendra aussi : des contrats initiaux, des cessions de droits, du respect du Code du travail et de la sécurisation de l’outil et de son contenu. Il faut un encadrement juridique fort pour que l’outil de Knowledge Management (KM) permette : de créer de la valeur de manière effective ; de diffuser en continue et avec efficacité du savoir-faire et du savoir-agir au sein de l’entreprise ; de constituer un véritable outil d’aide à la production intellectuelle. Cet encadrement juridique passe par quatre étapes : avoir de bons contrats ; gérer les droits sur les contenus ; déployer dans le respect de la Loi et du Code du travail ; maintenir et sécuriser l’outil. Avoir de bons contrats Il y a quatre contrats fondamentaux : le contrat de conseil, celui de licence d’utilisation, celui de formation et celui pour les développements spécifiques. Il existe sur le marché une gamme très étendue d’outils de KM. Il peut donc être utile, en amont, de faire appel à un prestataire chargé de conseiller le client sur les produits qui paraissent les plus adaptés à ses besoins. Le contrat de conseil aura donc pour objet de définir les conditions et les modalités selon lesquelles le prestataire s’engage à exécuter les prestations d’étude et de conseil demandées par le client sur la base d’un cahier des charges. Une fois l’étude réalisée, le client va entrer dans une phase de sélection des produits et des prestataires. Il est alors recommandé d’adresser aux prestataires présélectionnés des prérequis techniques et juridiques. La formulation de prérequis juridiques permettra, ainsi, au client de connaître les engagements que son futur cocontractant sera prêt à prendre, par exemple en matière de responsabilité. Cela permettra également au client, au vu des réponses, de mettre en place une stratégie de négociation contractuelle. Les prérequis juridiques pourront, en effet, être présentés comme faisant partie des principes substantiels du client et figurer à ce titre dans le contrat qui sera signé avec l’entreprise retenue. Ce contrat de licence d’utilisation de l’outil de KM devra notamment comporter une clause « étendue de la licence » qui déterminera l’étendue des droits concédés au licencié ainsi qu’une clause « garantie de jouissance paisible » par laquelle l’éditeur garantit le licencié contre toutes les actions en contrefaçon dirigées contre l’outil. Un contrat de formation définissant les conditions dans lesquelles le prestataire fournit au client des prestations de formation pourra également être conclu. Enfin, la conclusion d’un contrat de développements spécifiques s’avérera souvent nécessaire. Il s’agira de définir, au sein de ce contrat, les relations entre le client et l’éditeur pour les développements adaptés aux besoins spécifiques du client. Parmi les clauses essentielles de ce contrat figurent celles relatives au calendrier, au comité de suivi, à la recette des développements spécifiques, aux droits d’utilisation des développements spécifiques ainsi qu’à la garantie de jouissance paisible. Gérer les droits sur le contenu Le contenu de l’outil de KM peut être constitué d’oeuvres protégées par le droit du producteur de base de données et/ou par le droit d’auteur. En effet, toute oeuvre originale, c’est-à-dire reflétant la personnalité de son auteur (à condition qu’elle soit un minimum formalisée), est protégée par le droit d’auteur. L’ensemble des droits sur l’oeuvre originale appartient à l’auteur qui détient sur celle-ci l’intégralité des droits moraux et des droits patrimoniaux. Toute utilisation d’une oeuvre non autorisée par son auteur constitue une contrefaçon, délit civil et pénal. Or, il arrive que le contrat de licence d’utilisation de l’outil de KM prévoie que le contenu est “ libre de droits “. Une telle stipulation n’est pas sans danger car il peut arriver que le salarié de l’entreprise de KM qui a crée les contenus soit licencié et revendique ses droits sur le contenu au motif que l’exploitation de ce contenu constituerait une contrefaçon. Hormis l’hypothèse du logiciel, les droits de l’employé sur l’oeuvre créée par lui dans l’exercice de ses fonctions lui appartiennent, sauf si son contrat de travail prévoit une cession des droits au profit de l’employeur. Le client doit donc s’assurer que le contenu de son outil est “ propre “ et qu’il dispose bien d’une cession de droits en bonne et due forme. Le Code de la propriété intellectuelle exige en effet, pour que la cession d’un droit de propriété intellectuelle puisse s’opérer valablement, que : – chacun des droits cédés fasse l’objet d’une mention distincte dans l’acte de cession ; – le domaine d’exploitation des droits cédés soit délimité quant à son étendue, sa destination, son lieu et sa durée. Le client devra également s’assurer que l’éditeur lui garantit la jouissance paisible du contenu. En outre, l’éditeur va souvent devoir intégrer, au sein de l’outil, des contenus fournis par le client. Le mécanisme s’inverse alors. L’éditeur devra en effet, demander au client de le décharger de toute responsabilité sur ce contenu. Le client devra lui garantir qu’il dispose bien des droits sur ce contenu et l’éditeur devra vérifier que le client lui a donné les droits nécessaires à l’intégration de ce contenu. Il conviendra, enfin, de gérer la question des oeuvres composites, c’est-à-dire créées par le client sur la base des éléments intégrés dans l’outil et fournis par l’éditeur. L’oeuvre créée par le client sera alors une oeuvre nouvelle à laquelle est incorporée une oeuvre préexistante sans la collaboration de l’auteur de cette dernière. L’exploitation de l’oeuvre composite implique l’accord du titulaire des droits sur l’oeuvre préexistante. Déployer l’outil dans les règles Ce déploiement nécessite le respect des dispositions issues de la loi « Informatique et libertés » si un traitement de données nominatives est mis en oeuvre dans le cadre de cet outil (par exemple : diffusion au sein du produit du « trombinoscope » de l’entreprise). Ce déploiement implique également le respect des dispositions du Code du travail. Celui-ci prévoit la consultation et

  Le financement des Déchets d’Equipements Electriques et Electroniques (D3E) Le projet de décret (*) de transposition des directives européennes (**) fixe les modalités de mise sur le marché des équipements électriques et électroniques (EEE) et impose aux producteurs de concevoir et de fabriquer des équipements interdisant ou limitant l’utilisation de substances dangereuses. Un marquage devra être apposé afin de déterminer le producteur et la date de mise sur le marché avec un pictogramme pour ceux mis sur le marché après le 13 août 2005, ces derniers faisant l’objet d’une collecte sélective différente. Le financement du traitement des D3E diffère selon qu’il s’agit de déchets professionnels ou ménagers. Sauf accord avec les producteurs, le financement de l’élimination des déchets professionnels de produits mis sur le marché avant le 13 août 2005 (déchets historiques), sera assuré par les producteurs lors de la fourniture de produits neufs remplaçant des produits de type équivalent ou assurant les mêmes fonctions. En l’absence de remplacement, le financement des coûts restera assuré par les détenteurs des équipements. Le financement des coûts de collecte, traitement, valorisation et élimination des D3E professionnels mis sur le marché après le 13 août 2005 sera assuré par les producteurs. Les producteurs seront aussi tenus de faire apparaître sur la facture de vente de tout nouvel équipement, le prix HT et le coût unitaire des opérations de collecte et d’élimination des D3E mis sur le marché avant le 13 août 2005. L’enjeu : Adapter sa politique contractuelle sur le financement et la collecte des déchets d’équipements électriques et électroniques sans attendre le 13 août 2005. (*) Projet de décret du 25 novembre 2004. (**) Dir. 2002/96/CE et 2002/95/CE du 27 janvier 2003. Les actions pour éviter la mise en jeu de la responsabilité pénale Le non-respect pour un producteur ou un distributeur des obligations résultant du projet de décret sera puni d’une amende prévue pour les contraventions de 3ème (jusqu’à 450 €) ou de 5ème classe (jusqu’à 1 500 €). Ainsi, le fait pour un producteur de ne pas faire apparaître sur la facture, le coût unitaire de collecte pourra être sanctionné de 1 500 €. Le fait pour un producteur de ne pas communiquer aux exploitants d’installations chargées du traitement et de la valorisation des D3E pourra être sanctionné de 450 €. En outre, pour s’assurer du respect des obligations qui leur incombent en matière de financement du traitement des D3E, les producteurs doivent contractualiser des accords avec leurs distributeurs. Le producteur peut aussi convenir avec le détenteur de l’équipement dans le contrat de vente de l’équipement, les conditions dans lesquelles le détenteur assure pour tout ou partie l’élimination du déchet issu de cet équipement. Le conseil : Auditer vos documents contractuels et notamment vos générales de vente ainsi que vos contrats de distribution.

Archive : Loi du mois Internet bientôt accessible par les Courants Porteurs en Ligne (CPL) L’Autorité de régulation des télécommunications (ART) met fin au statut transitoire des expérimentations de réseaux filaires utilisant la technologie des Courants Porteurs en Ligne (CPL). Les acteurs souhaitant déployer des projets haut débit à partir des réseaux filaires CPL s’inscrivent donc maintenant pleinement dans le cadre réglementaire de la déclaration auprès de l’ART au titre de l’article L. 33-1 CPCE. Communiqué de presse de l’ART du 20 avril 2005

Centre d’arbitrage et de médiation de l’OMPI DECISION DE LA COMMISSION ADMINISTRATIVE ZEBANK c. Romain F. Litige N° D2000-1703 1. les parties Le requérant est la société française Zebank, représentée par Monsieur Henri Casadeus et par Monsieur Guillaume MARCHAIS, avocat. Le défendeur est Monsieur Romain F., domicilié à Levallois-Perret, représenté par Madame Delphine MOUKARZEL, avocat. 2. les noms de domaine et l’unite d’enregistrement Les noms de domaine objet de la plainte sont « zebanques.com », « zebanques.net », « zeloans.com », « zeloans.net », « zepret.com », « zepret.net », « zeprets.com », « zeprets.net ». L’unité d’enregistrement est Gandi. 3. historique de la procedure L’administration de l’OMPI et le Centre d’arbitrage t de médiation, ci-après désigné « le Centre » ont reçu la plainte le 6 décembre 2000. L’unité d’enregistrement a vérifié les données concernant les noms de domaine le 12 février 2001. Le paiement a été effetué, la plainte a été notifiée et la procédure a été ouverte le 13 février 2001. Le mandataire de la société Zebank, Monsieur Guillaume MARCHAIS, avocat, a sollicité la suspension de la procédure, le 28 février 2001 jusqu’au 12 mars 2001, cette demande ayant été suivie le 15 mars 2001 d’une demande de reprise de la procédure. Le défendeur a répondu à la plainte le 26 mars 2001 et l’expert unique a été désigné le 28 mars 2001. La date fixée pour la décision est le 11 avril 2001. 4. les faits La plainte est fondée sur les marques suivantes déposées au nom de la société IFP devenue la société Zebank, suite à un changement ed dénomination sociale : – la marque française ZE BANK n° 99 818 443 déposée le 19 octobre 1999 dans les classes 9, 35, 36, 38 et 42, – la marque française ZE PROJECT n° 99 820 052 déposée le 27 octobre 1999 dans les classes 9, 35, 36, 38 et 42, – la marque française ZE CREDIT n° 99 824 651 déposée le 23 novembre 1999 dans les classes 9, 35, 36, 38 et 42, – la marque française ZE LOAN n° 99 824 641 déposée le 23 novembre 1999 dans les classes 9, 35, 36, 38 et 42, – la marque française ZE BANQUE n° 003 001 433 déposée le 14 janvier 2000 dans les classes 9, 35, 36, Aucun justificatif de l’enregistrement de la marque française ZE PROJECT n° 99 820 052 déposée le 27 octobre 1999 dans les classes 9, 35, 36, 38 et 42 n’a été communiqué. Les marques françaises ZE BANK, ZE CREDIT et ZE LOAN ont fait l’objet d’une extension à l’étranger dans le délai de priorité de six mois, sous la forme de marques internationales dont les certificats d’enregistrement ont été communiqués, sans que cette protection soit revendiquée dans la plainte. Les marques sont enregistrées au nom de la société IFP, présentée comme étant devenue la société Zebank. 5. la position des parties 5.1 A. Le requérant 5.1.1 Les noms de domaine sont identiques ou semblables aux marques, au point de prêter à confusion Les noms de domaine sont identiques ou semblables au point de prêter à confusion avec les diverses marques de la société Zebank, marques devenues notoires en raison de la forte médiatisation de cette dernière. S’agissant des noms de domaine « zepret.com », « zepret.net », « zeprets.com » et « zeprets.net », ils constituent la traduction française de la marque ZE LOAN. 5.1.2 Le défendeur n’a pas de droit ni d’intérêt légitime sur les noms de domaine Le défendeur n’exploite aucun des noms de domaine et, par conséquent, n’a aucun intérêt légitime. Il doit être considéré come n’ayant aucun droit sur les noms de domaine qui font l’objet de la plainte, ni aucun intérêt légitime s’y rapportant. 5.2 Les noms de domaine ont été enregistrés et sont utilisés de mauvaise foi Les noms de domaine doivent être considérés comme ayant été enregistrés et étant utilisés de mauvaise foi. Le requérant fait valoir que : – dès le 8 novembre 1999, la société IFP, devenue Zebank communiquait dans la presse pour recruter du personnel, en utilisant la dénomination ZE PROJECT, que cette communication s’est poursuivie en novembre pour annoncer le développement du projet ZE PROJECT consacré à l’offre de services financiers aux consommateurs, avec l’appui du groupe Bernard ARNAULT, – la société Ze Bank a enregistré de nombreux noms de domaine correspondant aux services proposés sur son site « ze-bank.com » et, par exemple « zebank.net », « ze-bank.com », « ze-fond.com », – le 19 octobre 2000, la société Ze Bank recevait un e-mail du défendeur dans lequel il exposait : Je suis propriétaire des noms de domaine suivants : zebanques.com, zebanques.net, zebond.net, zebonds.com, zebonds.net, zejeux.con, zejeux.net, zeloans.com, zeloans.net, zemarche.com, zemarche.net, zemarches.com, zemarches.net, zenewsletter.com, zenewsletter.net, zeplacement.com, zeplacement.net, zeplacements.com, zeplacements.net, zepret.com, zepret.net, zeprets.com, zeprets.net , zeshare.com, zeshare.net, zeshares.com, zeshares.net. Seriez-vous intéressé par tous ou par certains de ces noms ? Je suis à votre disposition pour tout renseignement complémentaire… ». Le 6 novembre 2000, le requérant répondait en demandant le transfert des noms de domaine contrefaisants. En réponse à cette lettre, le défendeur réitérait sa proposition de cession à titre onéreux des noms de domaine. Le défendeur a très récemment, fin septembre et début octobre 2000, procédé au dépôt de ces noms de domaine aux fins de les revendre au titulaire des marques, qui est la société Zebank. Le requérant considère que le défendeur a eu l’intention de revendre les noms de domaine à un prix supérieur au coût de leur enregistrement. 5.3 Le défendeur Le défendeur a répondu le 26 mars 2001, pour contester la demande de transfert en faisant valoir : – qu’il est intéressé par le domaine informatique et par l’internet et qu’il a créé une société FR Systems en mai 2000, dont l’activité est la création de sites web, raison pour laquelle il a enregistré les noms de domaine, – que « c’est par hasard qu’il a eu connaissance de la société Zebank (qui prélablement se dénommait IFP), – que, compte tenu de l’activité de la société FR Systems, « il s’est rapproché de la société Zebank en lui indiquant qu’il était propriétaire des noms de domaine sus-visés et afin de savoir si cette société pouvait être intéressée

Informatique et libertés Loi du mois Norme simplifiée n° 46 : gestion du personnel Une norme de déclaration adoptée par la Cnil simplifie la déclaration obligatoire des traitements et fichiers des personnels. La norme simplifiée n° 46 concerne les organismes publics et privés. Son périmètre est extrêmement large et son utilisation doit être appréciée au cas par cas.

Edito Août Le cadre réglementaire actuel en matière de protection des informations confidentielles La récente actualité nous confirme qu’il faut aujourd’hui protéger les informations stratégiques (mais pas seulement) (1) de l’entreprise. Dans l’affaire Valéo, une plainte a été déposé contre une salariée pour abus de confiance et intrusion dans un STAD (système de traitement automatisé de données) parce qu’on a trouvé à son domicile, des CD contenant des informations stratégiques de cette entreprise. . Cette préoccupation n’est pas nouvelle. Elle a inspiré l’année dernière, une proposition de loi visant à introduire dans le Code pénal de nouvelles infractions réprimant le détournement d’informations à caractère économique protégées (2). Celles-ci sont définies comme « les informations ne constituant pas des connaissances générales (…) pour la protection desquelles leur détenteur légitime a pris, après consultation du comité d’entreprise et information des salariés de l’entreprise, des mesures substantielles conformes aux usages ». L’enjeu : Assurer la protection des informations confidentielles en sanctionnant pénalement leur « piratage ». La charte AFAI d’utilisation des systèmes de bases de connaissances Pour protéger les informations de l’entreprise diffusées au sein d’outils de gestion des connaissances, l’Association Française de l’Audit et du Conseil en Informatique (AFAI) a réalisé une charte (*). Cette charte vise à sensibiliser le personnel sur le caractère stratégique des informations diffusées et partagées par l’entreprise. Elle limite l’utilisation des bases de connaissances mises à disposition du personnel à un cadre strictement professionnel et définit les règles de partage et de mutualisation des connaissances (traçabilité des activités, Identification du contenu, coopération, responsabilité, droits de propriété intellectuelle, accès et sécurité, confidentialité et cryptologie…). Cette charte peut acquérir une valeur plus importante si elle est annexée au règlement intérieur de l’entreprise. Elle devra alors impérativement être soumise pour avis au comité d’entreprise. Enfin, il sera également judicieux que les prestataires amenés à intervenir signent un engagement de confidentialité. Le conseil : sensibiliser le personnel à la protection du patrimoine intellectuel de l’entreprise par une utilisation respectueuse des outils de gestion des connaissances ; définir dans une charte, les règles de partage et de mutualisation des connaissances de l’entreprise. Notes : (1) Cf. l’interview de Mr Denis Meingan, p.10 ci-après. (2) Proposition de loi Carayon n° 1611 du 13/05/2004. (*) Charte réalisée par le groupe de travail animé par Alain Bensoussan et disponible sur l’espace privé du site de l’AFAI, www.afai.fr ainsi que sur notre site, www.alain-bensoussan.com/ espace « Publication » « Alain Bensoussan » Avocat alain-bensoussan@alain-bensoussan.com « Chloé Torres » Avocate chloe-torres@alain-bensoussan.com

Edito de Décembre 2005 La gouvernance des systèmes d’information (SI) : une nécessité ! Les implications de la SOX sur les SI C’est pour répondre aux scandales Enron et Worldcom que le Congrès américain a voté en juillet 2002, la loi Sarbanes-Oxley (SOX) qui modifie les règles de gouvernance des sociétés cotées aux Etats-Unis. La SOX oblige ces sociétés à mettre en place un contrôle interne efficace concernant la gestion de leurs données financières et à déposer un rapport auprès de la SEC (Commission américaine des opérations de bourse). Les exigences de la SOX et ses implications s’étendent à toute société française qui serait cotée aux Etats-Unis et à toute filiale française d’une société américaine cotée aux Etats-Unis. Ces dispositions obligent les sociétés à appliquer des règles strictes de gouvernance sur leurs systèmes d’information (SI). Les enjeux Limiter les catastrophes financières en accroissant la responsabilité des dirigeants et en renforçant le contrôle interne. La norme CobiT : un référentiel de gouvernance des SI L’entreprise et notamment le directeur des systèmes d’information (DSI), dispose d’un modèle de référence en matière d’audit et de maîtrise des systèmes d’information, la norme CobiT (Control Objectives for Business and related Technology) qui s’inscrit dans la lignée des nouvelles pratiques de la gouvernance informatique. Ces «bonnes pratiques», sont proposées par l’IT Governance Institute, pour mieux gérer les risques liés à l’informatique en tenant compte notamment des contraintes liées à la mise en œuvre des dispositions de la SOX. Le DSI joue un rôle fondamental dans ce processus de mise en conformité du SI. C’est lui qui doit en garantir la sécurité et les contrôles lesquels peuvent porter notamment sur la gestion électronique et l’archivage des documents ou des courriers électroniques, l’amélioration des systèmes financiers et la conduite du changement ou encore la sécurité des bases de données et des réseaux. Ces règles peuvent conduire à exiger des prestataires qu’ils respectent les processus de production de SI définis par les «bonnes pratiques» communes, de manière à optimiser la sécurité et la conformité. Les conseils – De nombreuses entreprises utilisent la norme CobiT pour l’audit de leur système d’information. – L’IT Governance Institute (MC) a lancé en 2004, une version interactive de CobiT en ligne qui regroupe plus de 300 objectifs détaillés pour la gouvernance des TI. Benoit de Roquefeuil benoit-de-roquefeuil@alain-bensoussan.com

Informatique et libertés Jurisprudence du mois Les blogs sont dispensés de déclaration à la Cnil mais restent soumis à l’application de la loi Le développement considérable des blogs et les risques présentés par ce nouvel outil de communication en termes de protection des données à caractère personnel a conduit la Commission nationale de l’informatique et des libertés à mener une réflexion approfondie sur ce sujet. Ainsi, dans une recommandation du 22 novembre 2005 publiée le 30 janvier 2006, la Cnil a précisé que les blogs sont dispensés de déclaration à la Cnil mais restent soumis à l’application de la loi. Les règles applicables aux blogs et, dans le même temps, a décidé de les dispenser de déclaration à la Cnil. Parallèlement à cette dispense de déclaration, la Cnil a lourdement insisté sur le fait que les règles de la loi de 1978 s’appliquent aux blogs diffusant ou collectant des données à caractère personnel. Ainsi, la diffusion sur les blogs d’informations personnelles n’est possible qu’avec le consentement préalable de la personne concernée, qui pourra ultérieurement s’opposer à toute diffusion d’information la concernant. De la même manière, la Cnil attire l’attention sur le fait que les données dites sensibles ( comme par exemple sur les orientations sexuelles, la religion ou la santé ) ne peuvent être diffusées sur les blogs. La Cnil recommande aux auteurs de blogs diffusant des photographies de personnes de restreindre l’accès à ces images à leur seul entourage, compte tenu des risques de captation d’image. Enfin, la Cnil rappelle que la diffusion d’images de mineurs ne peut s’effectuer qu’avec leur accord et l’autorisation express de leurs parents ou représentant. Concernant la collecte de données à caractère personnel qui peut être réalisée au moyen d’un blog, la Cnil considère que les droits des personnes sur leurs données doivent être respectées par les responsables de blog procédant à de telle collecte. En conséquence, les auteurs de blogs n’ont pas à déclarer leurs sites à la Cnil et leur responsabilité ne pourra être engagée du fait de cette non-déclaration. Cependant, les auteurs de blogs devront être particulièrement vigilants quant au respect de la législation Informatique et libertés dans l’utilisation de leur blog. En effet, la Cnil ayant dispensé les blogs de déclaration, il est très probable qu’elle exerce un contrôle a posteriori particulièrement approfondi sur les blogs. Recommandation CNIL du 22 novembre 2005

Economie juridique Jurisprudence La difficulté de rapporter la preuve d’un gain qui n’a pas été réalisé Promotion de moyens de fraude à la télévision payante(1) Un site internet a proposé, de juin à décembre 2001, des informations, des logiciels et des cartes permettant d’accéder gratuitement et frauduleusement aux programmes de plusieurs chaînes de télévision à péage et notamment de TPS. L’opérateur de télévision par satellite a poursuivi devant la juridiction pénale le particulier ayant créé et exploité ce site. Celui-ci a été condamné pour promotion publicitaire de moyens de captation frauduleuse de programmes télédiffusés réservés à un public d’abonnés, mais le tribunal a débouté TPS de sa demande de réparation au titre d’un préjudice économique. La décision de première instance a été confirmée par la Cour d’appel de Paris (2), l’arrêt ayant considéré que les préjudices économiques invoqués avaient un caractère purement éventuel et qu’il n’était pas démontré qu’ils découlent de l’infraction. L’enjeu Il est généralement difficile de justifier le montant d’un manque à gagner. Les preuves matérielles sont inexistantes puisqu’il s’agit d’un événement qui ne s’est pas produit (un gain qui n’a pas été réalisé). Le juge du fond qui constate un préjudice doit le réparer TPS avait évalué ce préjudice à partir du nombre, connu, de visites effectuées sur le site frauduleux (80 000). Elle considérait ensuite que 5% de ces visiteurs (soit 4 000 personnes) avaient dû effectivement accéder gratuitement à ses programmes, pendant 6 mois (durée de fonctionnement du site), qu’elle proposait alors pour 25 euros par mois. Elle chiffrait son préjudice à 600 000 euros (4 000 X 25 € X 6 mois). Pour écarter la réparation de ce préjudice, la cour d’appel avait relevé que son évaluation reposait sur une double hypothèse : celle du nombre de visiteurs ayant effectivement mis en œuvre les moyens proposés, fixé arbitrairement à 5% des visiteurs, et le fait que ces fraudeurs auraient souscrit un abonnement à ses programmes. La cour de Cassation souligne que l’arrêt d’appel, en constatant que de nombreuses personnes avaient eu accès au site promouvant les moyens de captation des programmes, avait lui-même reconnu l’existence du préjudice invoqué. Dès lors, rappelant qu’il appartient aux juges du fonds de réparer, dans les limites des conclusions des parties, le préjudice dont ils reconnaissent l’existence, la cour casse l’arrêt en considérant qu’il appartenait à la cour d’appel de rechercher l’étendue de ce préjudice et d’en prononcer la réparation, dans le cadre de son pouvoir souverain d’appréciation. Les conseils La Cour de cassation rappelle régulièrement qu’il découle de l’article 1382 du Code civil que tout préjudice dont l’existence est reconnue doit être réparé. La demande de réparation doit donc d’abord s’attacher à : démontrer que les faits sont nécessairement à l’origine d’un gain manqué, puis fournir à la juridiction les informations permettant d’en estimer l’étendue le plus précisément possible. Notes (1) Cass. crim. 8 mars 2005, TPS c. L.V (2) CA Paris 13eme Ch., 14 mai 2004 Bertrand Thoré Directeur du Département Economie juridique bertrand-thore @alain-bensoussan.com Paru dans la JTIT n°39/2005 p.7

Biométrie Edito Mise en place en France de passeports électroniques biométriques Le décret du 30 décembre 2005 permet la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Il a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Le décret prévoit un titre 2 concernant les traitements automatisés de données à caractère personnel relatifs à délivrance du passeport électronique. Dans un souci de respect de la loi Informatique et libertés du 6 janvier 1978, le décret précise les catégories de données qui pourront être traitées par le Ministre de l’intérieur. Les destinataires de ces données sont également prévus. Il s’agit de certains fonctionnaires du Ministère de l’intérieur et du Ministère des affaires étrangères, des agents des préfectures et des sous-préfectures chargés de la délivrance des passeports, des agents diplomatiques et consulaires chargés de la délivrance des passeports et également des personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité de l’authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes. Le décret précise également les possibilités d’interconnexion entre ce système de traitements automatisés et les systèmes d’information Schengen et Interpol. La durée de conservation de ces données est fixée à quinze ans pour les passeports délivrés au majeurs et de dix ans lorsqu’ils sont délivrés à des mineurs. Enfin, le décret précise les conditions de l’exercice du droit d’accès et de rectification des titulaires des passeports auprès des autorités de délivrance, étant précisé que les titulaires de passeport n’ont pas de droit d’opposition conformément à l’article 38 de la loi du 6 janvier 1978. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». La Cnil considère que la mise en place de ces nouveaux passeports biométriques, faisant suite au règlement européen du 13 décembre 2004, prévoit des mesures de sécurité satisfaisantes pour garantir l’authentification, la confidentialité et l’intégrité des données. Ainsi, les données ne pourront être lues que si le passeport est présenté ouvert les échanges de données entre la puce sans contact et le lecteur seront cryptés et le contenu de la puce sera limité aux informations figurant déjà sur le passeport. La Cnil relève également que la production des passeports sera centralisée et prend acte des précautions particulières prises par le Ministère de l’intérieur quant à l’externalisation de la production des nouveaux titres. La Cnil note enfin que le Ministère de l’intérieur n’envisage pas pour l’heure que la photographie numérisée du titulaire du passeport soit utilisée dans le cadre de dispositifs automatisés de reconnaissance faciale en France, même si une telle reconnaissance faciale pourrait intervenir à l’étranger. La Cnil émet cependant deux souhaits.Elle demande à être informée dans un délai de trois mois du renforcement des mesures prises pour assurer le contrôle des accès au fichier national des passeports, une personne devant être désignée pour assurer le contrôle effectif des consultations de ce fichier. Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Note Le décret n° 2005-1726 relatif au passeport électronique et paru le 30 décembre 2005

Simplification des formalités déclaratives de dispositifs biométriques Trois autorisations uniques ont été adoptées le 27 avril 2006 par la CNIL pour mieux encadrer les modalités d’utilisation et simplifier les formalités déclaratives des dispositifs biométriques suivants : – le contour de la main pour le contrôle d’accès, la gestion des horaires et de la restauration sur les lieux de travail ; – l’empreinte digitale exclusivement enregistrée sur un support individuel pour le contrôle de l’accès aux locaux sur les lieux de travail ; – le contour de la main pour l’accès au restaurant scolaire. Dès lors que les dispositifs biométriques respectent les prescriptions définies dans l’une de ces autorisations, ils peuvent faire l’objet d’une déclaration en ligne sous la forme d’un engagement de conformité à l’autorisation unique adéquate. En revanche, les dispositifs reposant sur un enregistrement de l’empreinte digitale dans une base de données centralisée ou située sur le lecteur restent soumis à la procédure d’autorisation au cas par cas. Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006 Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006 Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006 Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com

Projet de loi sur le droit d’auteur : La Commission mixte paritaire rend son rapport La Commission mixte paritaire a tenté de trouver un compromis sur les thèmes les plus controversés du texte : l’interopérabilité des supports de lecture avec les mesures techniques de protection des oeuvres d’une part et le régime gradué de sanctions pénales d’autre part. Sur l’intéropérabilité, le nouvel article L. 331-5 inséré dans le code de la propriété intellectuelle prévoit notamment que « Les mesures techniques ne doivent pas avoir pour effet d’empêcher la mise en oeuvre effective de l’interopérabilité, dans le respect du droit d’auteur. Les fournisseurs de mesures techniques donnent l’accès aux informations essentielles à l’interopérabilité dans les conditions définies aux articles L. 331-5-1 et L. 331-5-2 ». Sur le régime gradué de sanctions pénales, la nouvelle rédaction de l’article L. 335-2-1 du CPI exclue du champ de la responsabilité pénale l’édition et l’utilisation des « logiciels destinés au travail collaboratif, à la recherche ou à l’échange de fichiers ou d’objets non soumis à la rémunération du droit d’auteur ». Malgré les cinquante-cinq propositions de rédactions communes présentées par les deux rapporteurs, des divergences demeurent à l’issue du travail de la CMP, qu’il s’agisse de l’interopérabilité (notion non définie par la loi et risquant d’entraîner de nombreux contentieux), des montants de la contravention en matière de téléchargement illicite (cette infraction serait-elle constituée pour chaque fichier téléchargé ou comptabilisée par téléchargement quel que soit le nombre de fichiers concernés ?), ou encore à la responsabilité pénale des éditeurs de logiciels. Sur ce dernier point, bien qu’il soit sensé mettre à l’abri de la responsabilité pénale les seuls éditeurs et fournisseurs de logiciels non susceptibles d’être utilisés pour porter atteinte au droit d’auteur, l’article L. 335-2-1 risque du fait de son imprécision sur la notion de travail collaboratif, d’être la source de nombreuses contestations qui compromettraient l’efficacité du dispositif adopté. Seuls les parlementaires de l’UMP ont approuvé le texte amendé par la CMP dit texte de « compromis ». Ce texte sera présenté le 30 juin 2006 aux parlementaires, députés et sénateurs, qui seront amenés à se prononcer pour son adoption définitive. Rapport n°4191 du 22 juin 2006 Isabelle Pottier, Avocate isabelle-pottier@alain-bensoussan.com

Biométrie La CNIL adopte trois autorisations uniques relatives aux techniques biométriques L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre. En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel. Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil. Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif. Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr. Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006 Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006 Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006

Interview M. Jean-Pierre Bigot, Président de EsaLab (*) et Expert près la Cour d’Appel de Versailles Un outil détectant les contrefaçons qui permet d’objectiver les conflits… Pouvez-vous nous présenter l’innovation qui est à la base de la création de votre société ? Ayant été confronté à des dossiers de contrefaçon de logiciels en tant qu’expert, j’ai fait le constat qu’il y avait une véritable carence d’outils et de méthodes et une vraie difficulté technique pour déterminer les similitudes de formes d’un logiciel. Mon rapprochement avec des chercheurs spécialistes de l’algorithmique du texte et des langages informatiques de l’Institut Gaspard-Monge (laboratoire de recherche universitaire de Marne la Vallée) a alors abouti à la conception et au développement d’une méthodologie et d’un outil, l’atelier logiciel SIMILE, qui permet d’effectuer l’analyse comparative de logiciels. Notre outil peut détecter des similitudes « non fortuites » entre codes source, en procédant à leur analyse selon des procédés que nous avons développés, notamment la comparaison d’empreintes de leurs structures et la détection de chaînes textuelles similaires. L’outil est également capable de détecter certaines similitudes à partir des codes exécutables sans procéder à leur décompilation. Il permet ainsi de dire quel est le pourcentage de code qui a été contrefait, d’identifier et de caractériser les similitudes.Notre innovation a été de réaliser un outil de comparaison conforme à la méthode américaine AFC-test (Abstraction, Filtrage, Comparaison) (**) en la transposant à des outils logiciels. Ainsi EsaLab produit des analyses comparatives scientifiques et objectives par le traitement systématique et exhaustif de codes présentant des volumes et des variétés importants. Y a-t-il un seuil de préjudices à partir duquel, ce type d’outil s’avère indispensable ? Je ne suis pas sûr qu’on puisse vraiment raisonner en terme de préjudice car les motivations vont bien au-delà de ces questions dans les affaires de contrefaçon de logiciel. Souvent, ce sont des collaborateurs accusés d’être partis avec le code source et de l’avoir transformé pour créer leur propre activité. Parfois, ce sont des sous-traitants qui s’estiment plagiés. L’affaire est alors vécue comme une véritable trahison qui génère parfois des comportements d’une telle agressivité, d’une telle rancœur entre les parties qu’il devient difficile de diriger le débat contradictoire. Le recours à un tel outil permet alors d’apaiser le conflit en le plaçant sur une base technique objective, comme j’ai pu le constater à plusieurs reprises. Par ailleurs, dans ce type d’affaire, le plaignant a souvent une capacité de nuisances qui va très au-delà des préjudices dont il pourrait obtenir réparation, surtout si le produit en cause a coûté cher et qu’il est installé en de multiples exemplaires. L’outil permet de répondre au souhait des parties d’une expertise rapide face aux conséquences commerciales qu’ils subissent. Avez-vous le sentiment que cela peut faire évoluer le comportement des parties ? Oui, cela peut amener les parties plus facilement vers la négociation. Notre outil permet en effet d’établir objectivement la présence – ou l’absence – de similitudes, de les qualifier et de les quantifier par une méthode et un outil de comparaison systématique. Cela permet alors aux parties de négocier en toute connaissance de cause. (*) Créée fin 2004, Esalab (European Software Analysis Laboratory) bénéficie du soutien de l’ANVAR et de la Région Ile-de-France et a le statut de Jeune Entreprise Innovante (JEI). www.esalab.com (**)La Cour d’appel du 2ème circuit fédéral a eut recours à cette méthode en 1992, dans l’affaire Computer Associate v. Altai, en rendant un jugement qui s’est fondé sur le rapport d’expertise du professeur qui avait élaboré la méthode. Elle fait jurisprudence devant les cours fédérales américaines. Interview réalisée par Isabelle Pottier, avocat. Parue dans la JTIT n°54-55/2006 p.10

Flash Info Un accord EU-USA a été signé pour les transferts des données des dossiers de passagers aux autorités américaines Le 5 octobre, l’Union européenne et les Etats-Unis ont conclu un accord autorisant le transfert aux autorités américaines, des données personnelles des passagers (« Passenger Name Records » dit PNR) par les compagnies aériennes. Il s’agit d’un compromis dans lequel l’UE a concédé que les données collectées par le Département à la sécurité intérieure américain (DHS), puissent être transmises à d’autres agences gouvernementales américaines en charge de la lutte anti-terroriste (FBI, CIA, notamment) en contrepartie d’un engagement de la part de l’administration américaine, à ce que tous les nouveaux destinataires de ces données PNR garantissent les mêmes conditions et niveau de protection des données que l’autorité des douanes américaines. Cet accord doit encore être entériné par les ministres européens de la justice. Il fixera donc le nouveau cadre légal du transfert de telles données. « Passenger Name Records » dit PNR Isabelle Pottier, Avocate, Directrice du département Etudes & Publications isabelle-pottier@alain-bensoussan.com