Gouvernance

Usurpation de codes informatiques, détournement des systèmes de protection, introduction d’opérations fictives dans le système d’information, autant de pratiques relancées par les récents événements survenus dans le secteur bancaire. Ces agissements sont susceptibles de recevoir une qualification pénale.Ainsi, de nombreuses dispositions (1) répriment avec rigueur la fraude informatique. Articulée autour de quatre incriminations,

Expertises judiciaires ICE et Audit Gouvernance des systèmes d’information La directive protection des programmes d’ordinateur Un objectif affiché de « clarté et de rationalité » La directive européenne du 23 avril 2009 relative à la protection des programmes d’ordinateur remplace la directive du 14 mai 1991 (1) qui avait déjà été transposée dans le Code de la propriété intellectuelle (2). A première lecture, il y a peu de modification. Le nouveau texte réaffirme le principe d’une protection du logiciel par le droit d’auteur en tant qu’œuvre littéraire tout comme l’affirmait déjà la directive de 1991. Elle ne modifie pas la définition même du « programme d’ordinateur », terme qui recouvre « les programmes sous quelque forme que ce soit », ainsi que « les travaux préparatoires de conception aboutissant au développement d’un programme, à condition qu’ils soient de nature à permettre la réalisation d’un programme d’ordinateur à un stade ultérieur ». On note toutefois certains changement de terminologie. Ainsi le terme « déroulement » a été remplacé par « exécution » et ceux d’ « acquéreur légal » par « acquéreur légitime ». Les actes soumis à restriction et leurs exceptions sont aussi intégralement repris de la directive remplacée. Le principe de l’autorisation « d’une » copie de sauvegarde qui a pu faire couler tant d’encre sur la question des copies illicites reste donc inchangé. Sauf disposition contractuelle différente qu’il conviendra de prévoir, l’exploitant d’un progiciel ne devrait pas pouvoir réaliser de multiples copies de sauvegarde, ce qui est contraire à la pratique et aux exigences de sécurité et de continuité d’exploitation qui commandent la définition et la mise en place d’un plan de sauvegarde total des serveurs sur de multiples supports. L’enjeux : L’adoption de cette directive est motivée par un objectif de « clarté et de rationalité », le contenu de la directive de 1991 ayant été modifié en 1993 par la directive 93/98/CEE sur l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Peu de changement au cadre juridique La directive en vigueur depuis le 25 mai 2009, apporte relativement peu de changement au cadre juridique de la protection des programmes d’ordinateurs. Par ailleurs, elle ne prévoit toujours pas les modalités d’accès aux codes sources pour exercer les droits conférés à l’acquéreur légitime, tels que par exemple, la réalisation de l’interopérabilité de programmes. Enfin, la directive ne contient plus aucune disposition sur la durée de protection, qui couvre donc soixante-dix ans à compter du 1er janvier de l’année civile suivant l’année de la publication du programme, conformément à la directive du 29 octobre 1993 relative à l’harmonisation de la durée de protection du droit d’auteur et de certains droits voisins. Rappelons que la date de publication est déterminée par tout mode de preuve de droit commun, et notamment par le dépôt légal. Les conseils : Comme par le passé, il demeure très important d’apporter des précisions dans les contrats sur les modalités de corrections des erreurs. (1) Directive 2009/24/CE du 23-4-2009. (2) Art. L. 122-6 et s. (Mise en ligne Novembre 2009) Paru dans la JTIT n°94/2009 Autres brèves La responsabilité du DSI en matière de SI : les mesures de préventions à prendre (Mise en ligne Mars 2006) Gérer la convergence des systèmes d’information (Mise en ligne Juin 2006 ) Renforcer sa politique de sécurité : une préocupation constante de l’entreprise (Mise en ligne Mars 2006) Les implications de la SOX sur les SI (Mise en ligne Juillet 2002)

La délocalisation de tout ou partie d’un projet informatique (externalisation par une entreprise de tout ou partie de son informatique, opérations de tierce maintenance applicative, développement d’applications…) à l’étranger(Inde, Chine, Maroc, Tunisie)est de plus en plus prisée,