L’année 2014 aura été riche en décisions de nature à préciser le régime juridique des clauses de conciliation préalable, devenue monnaie courante, notamment en matière de contrat informatique, ce qui justifie de s’y pencher et d’en tirer les conséquences qui s’imposent en termes de technique rédactionnelle.
Cybersécurité : comment l’optimiser au service du business ? Telle était la thématique de l’événement « INSIGHTS by ALTEN » organisé le mardi 9 décembre 2014 à Paris,
La clause de conciliation préalable obligatoire, traduisant conventionnement la volonté des parties de donner la priorité au règlement amiable et négocié de leur litige, reçoit les faveurs de la Cour de cassation, comme en témoigne l’examen de sa jurisprudence récente, applicable et pertinente en matière de contrat informatique.
La Cour de cassation confirme, à l’occasion d’un projet impliquant un contrat informatique, la règle selon laquelle les contrats concomitants ou successifs qui s’inscrivent dans une opération incluant une location financière, sont interdépendants et, partant, que doivent être réputées non écrites les clauses des contrats inconciliables avec cette interdépendance (1).
Analyse prédictive et big data, Alain Bensoussan précise pour MyDSI-Tv les nouvelles règles juridiques.
La Cour de cassation, par arrêt du 4 novembre 2014, apporte une précision importante concernant la notion de caducité dans les contrats interdépendants. En l’espèce, un pharmacien a commandé, en octobre 2005, une animation publicitaire comprenant la fourniture du matériel nécessaire à la mise en œuvre de cette animation et d’un CD-Rom contenant les messages mensuels permettant sa diffusion. Cette opération a nécessité la souscription d’un contrat de location financière auprès d’une société de financement pour une durée de 5 ans. Au motif qu’il ne recevait plus les CD-Rom mensuels du fait de la procédure de liquidation judiciaire dont a fait l’objet le fournisseur, il cesse d’acquitter les loyers prévus dans le contrat de location financière. C’est pourquoi, la société de financement l’assigne en paiement des mensualités restant dues. En réponse à cette assignation, le pharmacien lui oppose la caducité du contrat de location financière en raison de l’inexécution, par le fournisseur, de ses obligations contractuelles. Saisie de ce litige, la Cour d’appel de Paris condamne le pharmacien à verser à la société de financement les mensualités restant dues au titre du contrat de location financière et ordonné la restitution du matériel pris à bail (1). Estimant, notamment, que dans le cadre de contrats interdépendants, l’impossibilité d’exécution de l’un des contrats entraîne de facto, à défaut de résolution judiciaire, à tout le moins la caducité de l’autre, le pharmacien a formé un pourvoi au visa de l’article 1108 du Code civil. La Cour de cassation rejette le pourvoi au motif que lorsque les contrats incluant une location financière sont interdépendants, l’anéantissement du contrat principal est un préalable nécessaire à la caducité du contrat de location (2). Dans cet arrêt, la Cour de cassation impose une hiérarchie entre les contrats faisant partie d’une seule et même opération économique. Le contrat de prestations serait le contrat principal sans lequel le contrat de location financière, considéré comme accessoire, ne pourrait subsister. Autrement dit, l’anéantissement du contrat principal de prestations justifie, a lui seul, la caducité du contrat de location financière, celui-ci se retrouvant alors dépourvu de cause. Ce principe n’est pas nouveau et a été affirmé et rappelé de nombreuses fois par la cour de cassation. Ce qui est nouveau, c’est la subtilité apportée par la Cour de cassation concernant la notion d’anéantissement du contrat principal, conséquence de la résolution/résiliation de celui-ci. En l’espèce, le contrat de prestations n’avait pas été résilié mais simplement inexécuté. Faute d’anéantissement de ce dernier, il ne pouvait entraîner la caducité du contrat de location financière. La caducité du contrat accessoire ne peut donc rétroagir au fait générateur de l’anéantissement du contrat principal dans la mesure où l’anéantissement de celui-ci doit être un préalable à la caducité. Dès lors, l’inexécution de ses obligations par le débiteur du contrat principal de prestations ne justifie pas l’arrêt du paiement de loyers issu du contrat de location financière. Benoit de Roquefeuil Alexandra Massaux Lexing Contentieux informatique (1) CA Paris 21-6-2013. (2) Cass. com., 4-11-2014 n°13-24270
Stipuler une clause de conciliation préalable, très présente en matière de contrat informatique, peut avoir de
Le projet de loi pour la croissance, porté par Emmanuel Macron, ne comportera pas de volet sur le secret des affaires.
Alain Bensoussan a été interviewé sur l’offre d’emploi antisémite qui a fait scandale sur la Toile. «Si possible pas juif», c’est en effet la mention incroyable figurant sur une offre d’emploi diffusée sur internet.
Quel est le régime juridique des failles de sécurité ? Chloé Torres répond aux questions de la rédaction de La Semaine
Le devoir de conseil de l’assureur face à un professionnel est réaffirmé par la cour de Cassation.
Après un peu plus de deux ans de travaux, les organismes de normalisation UIT-T et ISO ont approuvé trois nouvelles normes sur le cloud computing (1). La norme ISO 17788 définit les cinq types d’intervenant sur le marché du cloud computing (auditeurs, partenaires, clients, fournisseurs, intermédiaires), les trois types de services proposés (infrastructure as a service ou « IaaS », platform as a service ou « PaaS » et Software as a Service ou « SaaS »). La norme ISO 17789 s’attache à définir l’architecture fonctionnelle de référence, c’est-à-dire la façon de construire une plateforme de services cloud computing, dans un souci d’interopérabilité. La norme ISO 27018 fixe les règles de sécurité à appliquer pour les fournisseurs de cloud public afin d’assurer la protection des données personnelles, garantir la transparence et se conformer à leurs obligations réglementaires. Aucune de ces normes ne présente de caractère obligatoire. Elles ne peuvent en soi être opposables en justice, comme cela a déjà été jugé à l’occasion de la norme NFZ67-147 sur l’établissement de constats internet d’huissier (2). En l’absence de clause spécifique. Sans référence aux normes précitées dans les contrats du cloud computing, ces normes ne sont pas opposables entre les parties. Certains grands acteurs anglo-saxons du marché du cloud computing, entendent d’ailleurs tout faire pour ne pas s’y soumettre et faire prévaloir leur seul contrat. Une telle attitude ne doit empêcher de pouvoir permettre la comparaison entre les contrats de ces prestataires réfractaires et lesdites normes, lesquelles vont constituer ni plus ni moins que l’état de l’art dans le domaine du cloud computing. Les opérations de benchmark vont ainsi être simplifiées. En présence d’une clause spécifique. Il est possible par contrat de donner une valeur contraignante aux normes concernées. Tout l’intérêt est alors de pouvoir faire du contrat l’outil opérationnel mettant en œuvre les grands concepts de ces normes internationales. Particulièrement face à des prestataires étrangers avec des contrats soumis à une législation hors Union européenne, ces normes constituent un socle réduisant l’aléa juridique. Dans le cadre d’une clause d’audit, faire référence à de telles normes permet d’éviter des discussions sur les standards applicables. Nul doute que ces normes devraient lever, certaines des réserves qui pouvaient encore freiner certains projets de migration dans le cloud (3). Même si d’autres normes sont attendues sur les engagements de service, l’interopérabilité et la traçabilité des données, seul le contrat reste l’outil le plus adapté pour encadrer rigoureusement la relation client-prestataire. Eric Le Quellenec Lexing Droit Informatique (1) Elles sont disponibles gratuitement sur www.itu.int/. (2) CA Paris 27-2-2013 RG n°11/02928. (3) JTIT n°111 – avril 2011, p. 3.
L’algorithme s’est imposé comme un outil incontournable pour cibler au mieux le consommateur par des
La faute lourde peut être assimilée à la faute dolosive en fonction du comportement de l’assuré. Elle peut donc empêcher l’application de la clause contractuelle limitative de responsabilité au même titre que la faute dolosive.
Alain Bensoussan a animé le premier atelier de présentation du pack juridique EBEN le 6 novembre 2014. Diriger une entreprise numérique est un métier à risques : Mes conditions générales de vente priment-elles sur les conditions générales d’achat de mon client ? Quels risques pour mon entreprise si je perds les données de mon client ? Pourquoi faire signer un PV de recette plutôt qu’un bon de livraison ? Quels risques pour mon entreprise en cas d’interruption du service rendu à mon client ? Dans quelle mesure mes conseils au client m’engagent-ils ? Quels risques pour mon entreprise si je ne suis pas en conformité avec la CNIL ? Quelles sont mes responsabilités liées à l’utilisation des matériels de communication mis à la disposition de mes collaborateurs ? Comment actualiser le prix de mes contrats chaque année ? Comment se protéger face au piratage téléphonique ? Ce pack juridique élaboré par Alain Bensoussan pour les adhérents de la Fédération EBEN comprend notamment des conditions générales prestations de service et matériel, des conditions particulières vidéosurveillance, impression, prestations intellectuelles, câblage, mais également bien d’autres documents tels qu’un devis type, une facture type, n procès-verbal de recette type, un kit informatique et libertés, une charte des systèmes d’information ainsi qu’un indice EBEN pour l’actualisation des prix des contrats. Les ateliers juridiques sont réservés aux adhérents EBEN (renseignements) Visionnez la vidéo sur notre chaîne Lexing Alain Bensoussan Avocats sur YouTube
L’hébergeur au sens classique du terme ou en environnement cloud est juridiquement le dépositaire des données incorporelles du client au sens de l’article 1915 du Code civil. L’hébergeur en a à ce titre la garde et a une obligation de restitution en fin de contrat. Il peut être condamné s’il ne procède pas à cette restitution dans des délais normaux (1). En cas de frais exposés par l’hébergeur pour la restitution des données, il peut prévoir une facturation spécifique pour cette prestation. D’ailleurs même si cela n’est pas une obligation légale, la plupart des contrats d’hébergement comprennent en pratique une clause de réversibilité laquelle encadre les modalités technique, économique et juridique de restitution des données. En présence ou pas d’une telle clause, la question se pose pour l’hébergeur de pouvoir « retenir » les données si le client n’est pas à jour de ses paiements. En l’absence de clause spécifique. Le droit de rétention peut s’appliquer même sans clause spécifique. Il faut préciser le lien de connexité entre l’objet de la prestation et le prix impayé conformément à l’article 2286 du Code civil. Le droit de rétention bien connu dans l’hypothèse du garagiste impayé à l’égard de la voiture réparée n’a pas été aussi facilement transposé dans le monde de l’immatériel. La première jurisprudence le consacrant ne date que de 2010 (2). En présence d’une clause spécifique. Le client débiteur pourra plus difficilement contester une clause clairement stipulée avec des cas de rétention bien bornés. Cependant, il existe de nombreuses hypothèses où un tel droit de rétention soit n’est pas possible, par exemple en cas de procédure collective (3), soit exposerait le client dont les données sont hébergées à de graves difficultés par exemple dans le domaine médical (4). L’hébergeur doit donc se garder d’appliquer systématiquement un droit de rétention en cas d’impayé, au risque de voir sa propre responsabilité engagée. Pour l’hébergeur qui souhaiterait donc se réserver une telle garantie sur les données dont il a la garde, il convient donc : de travailler au périmètre et aux modalités de mise en œuvre de la clause de rétention avec la plus grande rigueur ; de fixer par un livret d’implémentation à destination des équipes marketing et juridique, le scénario par escalade justifiant un tel droit de rétention. Eric Le Quellenec Lexing Droit Informatique (1) TC Paris Ord. Réf. 20-3-2002. (2) CA Toulouse 12-10-2010, RG n°08-05858. (3) Article L. 622-13 Code de commerce. (4) Décret 2011-246 du 4-3-2011.
L’édito de la Lettre Juristendances Informatique et Télécoms du premier mois de l’année est consacré à l’impact des nouvelles normes ISO en matière de cloud computing sur les contrats.
L’obsolescence des applications informatiques est une composante majeure de l’analyse des risques métier. Anticiper la fin de la maintenance des logiciels permet de maîtriser les risques opérationnels. L’évolution constante des technologies de l’information accélère l’obsolescence des systèmes d’information. Entre le « versioning » des produits par les éditeurs d’outils ou de logiciels de base (pour des produits certes plus performants mais surtout générateurs de nouveaux revenus), ou l’abandon pur et simple des produits à la suite d’opérations de concentration, la direction des systèmes d’information doit sans cesse faire face au risque d’obsolescence des applications. La DSI doit d’abord s’efforcer d’identifier les applications, systèmes, infrastructures, et machines qui risquent de devenir obsolètes à moyen terme pour l’entreprise au besoin avec le concours des directions métier concernées. Elle pourra ensuite évaluer les risques métier, prendre les décisions appropriées (migration des systèmes critiques ou retrait) et obtenir les ressources nécessaires auprès de la direction générale. L’obsolescence est également une composante majeure de l’analyse des risques juridiques. Elle impacte directement les contrats de licence de progiciels et de maintenance. L’obsolescence est une composante majeure de l’analyse des risques juridiques. Elle touche tout particulièrement les contrats de licence de progiciels et leurs contrats de maintenance associés. Ces derniers, en fonction essentiellement de la durée de la maintenance font varier le niveau de risque encouru. Voici quatre éléments permettant d’en limiter l’ampleur : Négocier un engagement de pérennité de quelques années, par exemple cinq ans, pour être assuré du maintien du produit au catalogue de l’éditeur, indépendamment des changements de versions ; Obtenir dans les contrats de maintenance, une durée initiale minimum, par exemple de 3 ans, avant de passer au système classique des contrats d’un an tacitement reconductibles ; Exiger des garanties d’évolution, en fonction de l’environnement technique. Cela évite de se trouver en possession d’un logiciel inutilisable lorsque le SGBD ou le système d’exploitation évolue ; Se préserver un délai suffisant pour migrer d’une version à une autre, ce qui signifie que la version « n-1 » doive être maintenue suffisamment longtemps. Pour minimiser l’impact de l’obsolescence sur les contrats de licences de progiciels et de maintenance. il convient de penser à obtenir (ou aménager) dès le début de la relation contractuelle, des engagements de nature à sécuriser la situation juridique de la maintenance applicative. Jean-François Forgeron Lexing Droit Informatique
Piratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1. La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première. Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ? AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« . Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ? AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« . Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ? AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« . Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique. AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« . Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ? AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« . Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ? AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« . Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici. AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…) Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).
Contrat informatique. Benoit de Roquefeuil interviendra dans le cadre d’une formation dédiée à la sécurisation juridique des contrats informatiques, organisée par Comundi, dont les prochaines sessions se dérouleront les 26-27 mars 2015, 29-30 juin 2015 et 19-20 novembre 2015 à Paris. Cette formation permettra à Benoit de Roquefeuil de partager avec les participants ses compétence et expérience en gestion de contentieux informatique en vue de leur permettre de négocier et rédiger les clauses indispensables au verrouillage sécuritaire des contrats informatiques qu’ils pourraient être amenés à rédiger. Les objectifs de la formation sont les suivants : maîtriser la spécificité des multiples contrats informatiques ; éviter les sanctions financières et pénales. Les interventions s’articulent autour des six thématiques suivantes : l’anticipation des risques et la prévention des litiges ; les clauses incontournables pour verrouiller juridiquement les contrats informatiques; les précautions à prendre pour les contrats de licence, maintenance, tierce maintenance applicative (TMA) et ASP ; les principaux pièges des contrats d’intégration ; les nouveaux schémas contractuels de l’infogérance ; les sanctions financières et pénales liées aux contrats informatiques. Consulter le programme de formation.
Petit-déjeuner du 10 décembre 2014 « Big data » – Jean-François Forgeron a animé un petit-déjeuner débat consacré à la
L’édito de la Lettre Juristendances Informatique et Télécoms du mois de décembre appelle l’attention du lecteur sur la difficile maîtrise des risques opérationnels induits de l’obsolescence des applications informatiques.
Confiance numérique. Polyanna Bigle a participé, le 20 novembre 2014, à un petit-déjeuner débat organisé par CCM Benchmark, en partenariat avec Dictao, sur le thème « Confiance numérique et transformation digitale ». Les thématiques d’intervention étaient les suivantes : l’identité numérique professionnelle au cœur de la digital workplace ; l’Imprimerie Nationale et l’identité professionnelle ; la sécurité et la confiance des services numériques. Ces interventions ont permis d’apporter des réponses concrètes aux questions suivantes : Quels sont les services liés à l’identification et l’authentification des utilisateurs ? Comment établir une relation sécurisée et « de confiance » ? Quel est le contexte juridique ? Comment déployer un tel système ? Quels sont les facteurs clés de succès ? Des échanges avec les participants ont ponctué ce petit-déjeuner débat sous forme de questions-réponses.
La maintenance des applications est souvent un poste de dépense important qui n’est pas toujours optimisé faute d’être bien maîtrisé. Comment organiser au mieux les activités de maintenance applicative ?
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |