Des membres de l’ANDSI ont participé au premier sommet Chine-Europe des DSI sur les thèmes de la coopération, de la globalisation de l’économie et du « green IT ».

Durant la semaine, ont alternés  conférences, débats et visites d’entreprises et d’instituts académiques chinois, à Wuhan, Beijing & Shangaï.

D’autres occasions d’échange avec des acteurs de l’économie chinoise sont prévus dans les mois prochain, pour toute information (réservé aux membres) sec.general@andsi.fr.

A notre réunion de septembre, Justin Ziegler, CTO & co-fondateur de Price Minister, membre de l’ANDSI a présenté ses utilisations du Cloud et sa vision sur son développement.

Sa conférence, pratique et visionnaire, a suscité un débat fourni entre les membres, débat qu’il a animé avec pertinence et humour.

Sa présentation est disponible (membres uniquement) auprès de sec.general@andsi.fr.

L’Association des Anciens Elèves de l’ENSIMAG en association avec l’Ae-SCM, l’ANDSI, l’E.O.A., l’itSMF France et le club SI de Grenoble Ecole de management réalise actuellement la troisième édition du benchmark SI.
Cette étude menée auprès des grandes entreprises porte sur le thème «Comment valoriser et piloter les services de la DSI ? ».
Le comité de pilotage chargé d’analyser les résultats est composé d’experts et d’opérationnels.

L’objectif est de pouvoir comparer les services proposés par les Directions des Systèmes d’Information au travers d’une centaine de questions, sur les axes structurants suivants : Catalogue, Mesure, Engagement, Qualité de service, Organisation, Urbanisation, Communication, Sourcing, Cycle de vie et Réglementation.

Les entreprises peuvent  participer jusqu’au 30 juin 2010. Elles bénéficieront alors du rapport de synthèse de l’étude distribué au moment de la conférence-débat. Une dizaine de grandes entreprises ont déjà répondu au questionnaire (Banque Assurance, Transport, Industrie, Secteur Public)

L’étude prévoit de rassembler plus d’une centaine d’entreprises.
Les participants seront cordialement invités à la conférence-débat au cours de laquelle seront commentés les résultats complets de cette étude. Elle aura lieu le mardi 21 septembre 2010 à l’auditorium de la SACEM, à Neuilly/seine.

 La soirée ANDSI du 12 janvier 2010 avait pour thème :IT Gouvernance: le point sur la mise en œuvre

 Que contiennent les récentes évolutions de COBIT ?

Quels sont les éléments structurants de la mise en œuvre d’une gouvernance d’un SI ?

Comment utiliser au mieux les nombreux standards qui émergent dans le monde des SI ?

Quel déploiement de l’IT Gouvernance en général et de COBIT en particulier dans le monde ?

Les intervenants :Jean-Pierre Delvaux (ingénieur conseil certifié CGEIT*,) Thomas Germain (DSI Omya) et Philippe Martinet (DSI Eutelsat) sont des membres de l’ANDSI et ont bien voulu partager leurs experiences, connaissances autour de ce theme .

Poiur ceux qui n’ont pas pu participer , voici la presentation  JP-DELVAUX-Presentation-ANDSI-12012010

Si vous avez des questions, Jean-Pierre Delvaux se fera un plaisir de vous repondre .

Au mois de Novembre , L’ANDSI sous l’impulsion de sa presidente Marie-Claude Poelman-Fargeot a organisé une petite fête entre membres de l’ANDSI sur les toits de PARIS  ( tour Eiffel ) un endroit magique et idéal pour fêter dignement les 20 ans de  cette association de DSI !  Cette fête a été une occasion unique de pouvoir se remémorer les enjeux d’un DSI il y a 20 ans et ceux d’aujourd’hui  et  même si évidemment beaucoup de paramètres techniques ont changé et evolué , les questions de fond , sur la gouvernance d’un SI , le positionnement du DSI (!) semblent ne pas avoir trouvées de reponses certaines et évidentes 20 ans après !!

Merci encore au conseil d’administration d’avoir organisé cette sortie !!

Voici quelques photos qui marquent l’instant ….

Le 17 novembre 2009,  la réunion ANDSI avait pour thème

La lutte contre la fraude

Ce thème a été développé par la société EDIFIXIO  presentation EDIFIXIO

Voici la présentation dans son ensemble : Lutte contre la Fraude-ANDSI- Novembre 2009

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION

Le 12 octobre 2009, la Cnil a publié sur son site internet un article intitulé « 10 conseils pour sécuriser votre système d’information » suite aux constats qu’elle a effectués lors de contrôles sur place.

Pour mémoire, l’article 34 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés stipule que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La Cnil indique que l’exigence de sécurité se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique » :

1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail
4. Identifier précisément qui peut avoir accès aux fichiers
5. Veiller à la confidentialité des données vis-à-vis des prestataires
6. Sécuriser le réseau local
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés »

Ainsi, les mots de passe des postes informatiques doivent contenir au minimum 8 caractères alphanumériques et spéciaux. Les comptes utilisateurs permettant d’accéder à des données personnelles doivent être nominatifs et non génériques. Les postes informatiques doivent se verrouiller automatiquement au-delà d’une courte période d’inactivité. Les données sensibles, telles que les données de santé ou les numéros de carte bancaire, doivent faire l’objet d’un chiffrement.

L’article 35 de la loi Informatique et Libertés doit être strictement respecté et les sous-traitants qui interviennent sur des systèmes d’information contenant des données personnelles doivent présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité et avoir signé une clause relative à la protection de la sécurité et de la confidentialité des données.

Les salles d’hébergement des serveurs et des éléments réseau doivent faire l’objet d’une sécurité physique renforcée, les systèmes d’information doivent quant à eux être soumis à des systèmes de sécurité logique, notamment en ce qui concerne les connexions à distance ou les réseaux wifi. Les données doivent être sauvegardées régulièrement et les supports de sauvegarde stockés dans un local distinct.

Enfin, le facteur humain doit naturellement être pris en compte, il est donc recommandé aux entreprises de former leur personnel aux règles contenues au sein de la loi informatique et libertés, et d’adopter des politiques de sécurité des systèmes d’information et des chartes informatiques règlementant les usages des technologies dans l’entreprise.
2. RESPONSABILITE POUR FAUTE DE L’AFNIC

Après le jugement du Tribunal de Grande Instance de Paris du 26 août 2009 qui avait précisé le régime de responsabilité applicable à l’Afnic et aux bureaux d’enregistrement des noms de domaine, c’est au tour du Tribunal de Grande Instance de Versailles de condamner l’Afnic pour faute en raison de son inactivité suite à une mise en demeure.

La société Francelot, titulaire du nom de domaine www.francelot.com, ayant constaté que le nom de domaine www.francelot.fr avait été réservé par un tiers, dont les nom et coordonnées n’était pas accessible en raison de l’option « diffusion restreinte » activée par défaut pour les enregistrements réalisés par une personne physique, a mis en demeure I’Afnic de communiquer les coordonnées du déposant et de rendre inactive l’adresse www.francelot.fr.

A défaut pour l’Afnic de s’être exécuté, la société Francelot assignait (a) le titulaire du nom de domaine www.francelot.fr, identifié suite à une ordonnance sur requête autorisant la levée de l’anonymat du déposant, et (b) l’Afnic, en concurrence déloyale par détournement de clientèle et parasitisme.

Dans un jugement du 6 octobre 2009, le TGI de Versailles a considéré qu’aucune faute ne pouvait être reprochée à l’Afnic sur le terrain de la levée de l’anonymat, l’article 30 de la Charte de nommage applicable à l’époque des faits prévoyant expressément que les coordonnées personnelles ne peuvent être communiquées par I’Afnic que sur réquisition judiciaire ou après mise en œuvre d’une procédure alternative de résolution des conflits. Le tribunal juge donc qu’en « l’absence de mise en œuvre d’une telle procédure, l’Afnic était fondée à refuser la levée de l’anonymat du déposant du nom de domaine litigieux, dans l’attente de l’ordonnance présidentielle du 14 juin 2007. »

Toute autre est la décision du tribunal quant à la demande de blocage du nom de domaine francelot.fr formulée par la société Francelot dans sa mise en demeure. En effet, l’article 23 de la Charte de nommage, rédigée par I’Afnic, lui impose de procéder au blocage d’un nom de domaine chaque fois qu’elle a identifié une violation des termes ou de l’esprit de la charte. Or, la mise en demeure adressée à l’Afnic devait lui permettre d’identifier une violation de la charte. L’Afnic devait donc procéder au blocage conservatoire du nom de domaine francelot.fr, « le cas échéant après s’être assurée de la pertinence des droits invoqués par la société Francelot, invitée à produire tous justificatifs utiles ».

Ainsi le tribunal considère que « En s’abstenant de toute initiative de blocage, l’Afnic a contribué à la persistance de l’impact parasitaire du site francelot.fr et à la perte d’image de la société Francelot, préjudices qu’il convient d’arbitrer à la somme de 4500 euros ».

Cette décision, va à l’encontre de la politique de l’Afnic, qui consiste à considérer qu’elle ne saurait être tenue « par l’envoi de lettres, de sommations ou copies d’assignation » , et pourrait donc contraindre l’association à être plus attentive aux demandes – justifiées – qui lui sont adressées. Ce d’autant que l’article R20-44-49 du Code des postes et des communications électroniques stipule que « Les offices sont tenus de bloquer, supprimer ou transférer, selon le cas, des noms de domaine :

– lorsqu’ils constatent qu’un enregistrement a été effectué en violation des règles fixées par la présente section du code des postes et des communications électroniques ;

– en application d’une décision rendue à l’issue d’une procédure judiciaire ou extrajudiciaire de résolution des litiges ».
3. PROJET DE LOI RELATIF A L’OUVERTURE A LA CONCURRENCE ET A LA REGULATION DU SECTEUR DES JEUX D’ARGENT ET DE HASARD EN LIGNE

Aujourd’hui, la législation française pose le principe selon lequel les jeux d’argent et de hasard sont interdits, avec des exceptions notamment en ce qui concerne les casinos, le PMU et la Française des jeux.

Sous la pression européenne, un projet de loi relatif à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne a été déposé le 25 mars 2009. Le 13 octobre 2009, l’Assemblée nationale a d’adopté ce projet, modifié par de nombreux amendements, qui doit désormais être examiné par le Sénat.

Ce projet de texte prévoit notamment l’ouverture à certains types de jeux et paris en ligne qui remplissent deux critères cumulatifs : faire appel au savoir-faire des joueurs et faire intervenir plusieurs joueurs (tel que par exemple, les paris hippiques, les paris sportifs ou encore le poker en ligne). La règlementation du hors-ligne reste donc inchangée.

Les opérateurs qui souhaitent proposer des jeux ou paris en ligne autorisés par le texte devront obtenir un agrément, délivré par la nouvelle Autorité de régulation des jeux en ligne(ARJEL), pour une durée de cinq ans renouvelable.

A cette fin, les opérateurs devront se conformer à un cahier des charges dont le contenu sera proposé par l’ARJEL puis approuvé par le ministre de l’intérieur, le ministre chargé du budget, le ministre chargé de l’agriculture et le ministre chargé des sports.

Enfin, on peut noter que le projet de loi encadre strictement la publicité en faveur d’un opérateur de jeux d’argent et de hasard légalement autorisé, celle-ci devant être assortie d’un message de mise en garde contre l’addiction au jeu. En outre, cette publicité sera interdite dans les publications à destination des mineurs, durant les périodes au cours desquelles sont programmées des émissions à destination des mineurs sur les services de télévision et de radio, dans les services de communication au public en ligne à destination des mineurs, et dans les salles de cinéma lors de la diffusion d’œuvres à destination des mineurs.

4. PARASITISME ET SITE INTERNET

La Cour d’appel de Paris vient de condamner, une fois encore, un site internet en raison d’agissements parasitaires à l’encontre d’un autre site web concurrent.

Par un arrêt du 30 septembre 2009, la Cour rappelle que « le parasitisme est un ensemble de comportements par lequel, un agent économique s’immisce dans le sillage d’un autre afin de tirer profit sans rien dépenser de ses efforts et de son savoir-faire ; que cet agissement qui consiste à “vivre aux crochets” d’un autre, n’implique pas nécessairement un risque de confusion, ni même une situation de concurrence ; qu’il suppose une faute, un préjudice et un lien de causalité entre les deux ; que la faute est, en la matière, tout acte contraire aux usages du commerce, ou a fortiori déloyal ».

En l’espèce, le site internet la société éditant le site www.mylittleparis.com avait assigné la société qui édite le site www.doitinparis.com en raison de « troublantes similitudes » entre leur site, notamment quant aux illustrations.

Après avoir écarté certaines similitudes en raison notamment de la banalité de ces éléments au regard de l’activité de ces deux sites, la Cour retient néanmoins la faute de la société éditrice du www.doitinparis.com, considérant que les ressemblances dans les illustrations ne saurait provenir du hasard, mais d’une démarche délibérée. Ainsi, par exemple, se retrouvait sur ces deux sites les dessins d’une conductrice qui passe la tête par la fenêtre de sa voiture décapotable, d’une parisienne à la terrasse d’un café avec un serveur en arrière plan dans une posture strictement semblable, ou encore d’une femme blonde assise devant son ordinateur.

Les juges ont condamné la société éditrice du www.doitinparis.com à supprimer les illustrations litigieuses de son site internet et à verser 5000 euros à titre de provision sur dommages et intérêts. En outre, la Cour ordonne la publication d’une partie de l’arrêt sur la page d’accueil du site www.doitinparis.com pendant une durée de six mois.

Les décisions de ce type ont tendance à se multiplier. Les éditeurs de site web doivent donc de plus en plus être vigilants quant aux actes de leurs salariés « créatifs » ou de leurs prestataires, et prendre soin de former les uns au respect des règles du commerce et notamment de la propriété intellectuelle, et de signer avec les autres des clauses de garantie d’originalité et de jouissance paisible.

5. SFR PERD SA MARQUE TEXTO

La société SFR, qui avait enregistré en mars 1998 la marque « Texto, Dites le en toutes lettres, dites le texto », puis en janvier 2001 la marque « Texto », a assigné la société One Texto et son gérant en contrefaçon de la marque Texto et en concurrence déloyale, en raison notamment du dépôt par celui-ci de la marque semi-figurative « One Texto » et de la réservation du nom de domaine « OneTexto.com ».

Par un jugement en date du 29 janvier 2008, le Tribunal de Grande Instance de Paris avait déclaré la nullité des marques « Texto, Dites le en toutes lettres, dites le texto » et « Texto », pour défaut de distinctivité et débouté la société SFR de ses demandes fondées sur ces marques.

La Cour d’appel de Paris vient de confirmer le défaut de distinctivité de ces marques, la première en raison de son caractère descriptif, et la seconde du fait de son emploi dans le langage courant pour désigner ce service .
En effet, aux termes du Code de la propriété intellectuelle, seul peuvent être enregistré à titre de marque, un signe distinctif par rapport aux produits ou services qu’il désigne. Ainsi, l’article L.711-2 du Code de la propriété intellectuelle stipule que sont dépourvus de caractère distinctif :
« a) Les signes ou dénominations qui, dans le langage courant ou professionnel, sont exclusivement la désignation nécessaire, générique ou usuelle du produit ou du service ;
b) Les signes ou dénominations pouvant servir à désigner une caractéristique du produit ou du service, et notamment l’espèce, la qualité, la quantité, la destination, la valeur, la provenance géographique, l’époque de la production du bien ou de la prestation de service ;
c) Les signes constitués exclusivement par la forme imposée par la nature ou la fonction du produit, ou conférant à ce dernier sa valeur substantielle ».
Une marque doit donc être arbitraire ou fantaisiste, ce qui s’apprécie par rapport au public visé ou au produit à la date du dépôt. Elle ne peut donc consister en une simple description du produit.

Alice COLLIN Françoise COLLIN
alice.collin@collin-avocats.fr
f.collin@collin-avocats.fr

Avocats
www.collin-avocats.fr
15 rue Margueritte 75017 PARIS
TEL : 01 44 29 26 60

1.       Une adresse IP est-elle une données à caractère personnel ?

Dans un jugement du 24 juin 2009, le Tribunal de Grande Instance de Paris a jugé qu’une adresse IP est une donnée à caractère personnel :

–         « Le tribunal considère que l’adresse IP est une donnée personnelle puisqu’elle correspond à un numéro fourni par un fournisseur d’accès à internet identifiant un ordinateur connecté au réseau ; elle permet d’identifier rapidement à partir de services en ligne gratuits le fournisseur d’accès du responsable du contenu qui détient obligatoirement les données nominatives du responsable du contenu, c’est-à-dire son adresse et ses coordonnées bancaires. Au regard de la technique existante, cette adresse apparaît être le seul élément permettant de retrouver la personne physique ayant mis en ligne le contenu. Si effectivement, cette adresse peut être usurpée grâce à des outils logiciels spécialement développés, ces détournements en nombre très limité à ce jour ne sauraient disqualifier cette adresse comme donnée permettant l’identification personnelle des fournisseurs de contenu ».

La question de la qualification, ou non, de données à caractère personnel d’une adresse IP est substantielle dès lors qu’elle détermine si la loi Informatique et Libertés de 1978 doit s’appliquer à la collecte et au traitement de ces informations. Ce d’autant que les opérateurs de communication électronique (opérateurs télécom, Fai, et personnes assimilées telles que les cybercafés ou les hôtels offrant une connexion)[1] et les hébergeurs[2] ont l’obligation légale de collecter et de conserver les adresses IP.

Rappelons que cette loi Informatique et Libertés dispose en son article 2 que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Si la Cnil affirme depuis longtemps que l’adresse IP est une donnée à caractère personnel, la jurisprudence est en revanche plus hésitante. Ainsi,  deux arrêts de 2007, rendus par la Cour d’appel de Paris[3]considéraient que l’adresse IP ne pouvait pas être assimilé à une donnée personnelle.

Au regard de l’enjeu de la question, un rapport d’information déposé au Sénat le 27 mai 2009 relatif à « La vie privée à l’heure des mémoires numériques »[4] préconise que la loi Informatique et Liberté soit modifiée afin d’affirmer sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel.

2.       adoption de la loi favorisant la diffusion et la protection de la création sur internet

La loi favorisant la diffusion et la protection de la création sur internet, dite loi Hadopi du nom de la « Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet » qu’elle instaure, a été adoptée le 12 juin 2009.

Après censure du Conseil constitutionnel[5], la version de la loi adoptée ne prévoit plus de « riposte graduée » en cas de téléchargement illégal d’œuvres protégées par le droit d’auteur, mais uniquement le mécanisme suivant :

Aux termes de l’article L. 336-3 du Code de la propriété intellectuelle, la personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits, lorsqu’elle est requise[6]. Cependant, le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.

La Haute Autorité a notamment pour mission de veiller à la protection, sur internet, des œuvres et objets auxquels est attaché un droit d’auteur ou un droit voisin[7]. La Haute Autorité est composée d’une commission de protection des droits[8].

La commission de protection des droits peut, une fois saisie, pour mettre un terme au manquement à l’obligation pesant sur le titulaire d’un accès internet définie ci-dessus :

–       envoyer à l’abonné, par voie électronique et  par l’intermédiaire de son FAI, une recommandation lui rappelant les dispositions de l’article L. 336-3 et lui enjoignant de respecter l’obligation qu’elles définissent[9] ;

–       en cas de renouvellement, dans un délai de six mois, adresser une nouvelle recommandation comportant les mêmes informations[10].

La commission de protection des droits peut être saisie par des agents assermentés désignés par les organismes de défense professionnelle régulièrement constitués, les sociétés de perception et de répartition des droits et le Centre national de la cinématographie. Elle peut également agir sur la base d’informations qui lui sont transmises par le procureur de la République.

Ce dispositif n’entrera en vigueur à la date de la première réunion de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet et au plus tard le 1er novembre 2009.

Après la censure du conseil constitutionnel, un nouveau texte complémentaire est en préparation. Le 8 juillet 2009, le Sénat a ainsi adopté un projet de loi en première lecture[11], lequel sera examiné par les députés en septembre.

3.       nouvelles modalités d’informations relatives aux prix des appels téléphoniques à des services à valeur ajoutée

Au titre des principes essentiels du droit de la consommation figure l’obligation d’information due par le professionnel au consommateur.

Ainsi, l’article L113-3 du code de la consommation stipule que :

–       « Tout vendeur de produit ou tout prestataire de services doit, par voie de marquage, d’étiquetage, d’affichage ou par tout autre procédé approprié, informer le consommateur sur les prix, les limitations éventuelles de la responsabilité contractuelle et les conditions particulières de la vente, selon des modalités fixées par arrêtés du ministre chargé de l’économie, après consultation du Conseil national de la consommation. »

Un nouvel arrêté du ministre de l’économie du 10 juin 2009 est venu préciser les modalités de l’information relative au prix des appels téléphoniques aux services à valeur ajoutée.

Les services à valeur ajoutée sont des services accessibles via des numéros à dix chiffres commençant par 08 (sauf les 087), les numéros à quatre chiffres commençant par 3 ou par 1, ou encore des numéros 118 utilisés pour les services de renseignements, permettant l’accès à différents types de services tels que des informations préenregistrées (météo, trafic, horoscope), ou personnalisées (renseignements, achats de billets, services administratifs…), mais aussi l’accès à l’Internet bas débit.

A compter du 1er janvier 2010 pour les numéros dont la tarification depuis un poste fixe est supérieure à 0,15 € par minute ou par appel, et à compter du au 1er janvier 2011 pour les autres numéros concernés, tout consommateur devra être informé du prix global susceptible de lui être facturé au moyen d’un message gratuit en début d’appel, d’une durée qui ne peut être inférieure à 10 secondes.

L’arrêté prévoit également qu’un signal sonore matérialise la fin de cette information et la mise en application des conditions de prix annoncées, et que le consommateur pourra renoncer à entre l’annonce en appuyant sur la touche « # » par exemple.

Enfin, il convient de noter que le texte, réservé à la protection des consommateurs, ne s’applique pas à des appels passés par des non consommateurs ou vers des services réservé à un usage professionnel, pas plus qu’à des appels sans intervention humaine, dits « de machine à machine », tels que les opérations de télésurveillance (sous réserve que ces services aient donnés lieu à un contrat écrit préalable et dont l’information quant aux prix est conforme à la réglementation en vigueur).

4.       Réseaux sociaux sur internet et protection des données personnelles

Le 12 juin dernier, le Groupe de l’article 29[12] a adopté un avis relatif aux réseaux sociaux dans le but de fournir des lignes de conduite aux éditeurs de ces sites sur les mesure à mettre en place afin d’assurer le respect du droit européen sur la protection des données personnelles[13].

Le Groupe de l’article 29 définit les réseaux sociaux comme des sites de communication en ligne qui permettent à quiconque de rejoindre ou de créer un réseau d’utilisateurs liés entre eux, et recense un certain nombre de caractéristiques communes à ces sites : profil descriptif des personnes, possibilité de mise en ligne de contenus personnels (photo, agenda, music, vidéo, etc.) et liste des contacts sur le réseau de chacun des utilisateurs.

Après avoir rappelé que la directive relative à la protection des données personnelles est applicable aux sites de réseaux sociaux, y compris lorsque leur siège social est situé hors de l’Europe, en se référant à son avis sur les aspects de la protection des données liés aux moteurs de recherche[14], le Groupe de l’article 29 recherche qui porte la responsabilité des traitements de données à caractère personnel effectués dans le cadre des réseaux sociaux.

En effet, la définition des personnes responsables des traitements est essentielle dans la mesure où la règlementation fait peser sur eux le respect des dispositions applicables aux traitements des données personnelles (formalités préalables, informations des personnes, confidentialité, sécurité, etc.).

Pour mémoire, l’article 3 de la loi de française du 6 janvier 1978, transposant la directive de 1995, dispose que : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

Dans son avis, le Groupe de l’article 29 considère qu’il existe trois types de responsable de traitements : les « prestataires des services de réseaux sociaux » (i.e. les sites internet), les développeurs d’applications utilisées sur les réseaux en plus de celle fournies par les sites eux-mêmes, voire les utilisateurs des réseaux lorsque l’utilisation qu’ils en font sort de la sphère privée et familiale par exemple.

Le Groupe de l’article 29 conclu donc son avis par un résumé des droits et obligations des acteurs des réseaux en ligne. Les sites de réseaux sociaux doivent notamment :

–         informer les internautes de leur identité et leur fournir des informations claires et compréhensibles sur les moyens et les objectifs des traitements de données qu’ils réalisent ;

–         définir des paramètres par défaut limitant la diffusion des données des internautes ;

–         informer les internautes des risques liées à la mise en ligne de données personnelles en termes de vie privée ; les informer également que toutes photos ou informations relative à une autre personne ne peut être mise en ligne qu’avec l’accord de cette personne ;

–         mettre en ligne, sur leur page d’accueil accessible aux membres et aux non membres, un lien permettant à tous de signaler des abus relatifs à la vie privée.

5.       Quelle protection en cas de copie servile de tout ou partie du contenu d’un site internet ?

Le contenu d’un site internet, ainsi que son apparence ou son architecture, peut être protégé par le biais de plusieurs fondements, permettant  à la victime de tels agissements d’agir sur le terrain de la contrefaçon de droit d’auteur ou encore sur celui de la concurrence déloyal ou du parasitisme.

En effet, l’action en contrefaçon de droit d’auteur prévue par le Code de la propriété intellectuelle est parfaitement applicable dans le cadre de la reproduction d’un site internet dès lors que le code protège les droits des auteurs sur toutes les œuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination[15].

Cependant, pour qu’une œuvre soit protégée par le droit d’auteur, il est nécessaire que celle-ci soit originale, c’est-à-dire porte l’empreinte de la personnalité de son auteur. Et c’est là que réside tout l’enjeu du débat en cas de contentieux relatif à la reproduction de sites internet dans la mesure où ces « œuvres » ont par nature des contraintes techniques fortes et répondre le plus souvent à des standards de lisibilité et de présentation conforme aux habitudes des internautes.

Ainsi, dans une affaire où un site de vente en ligne avait reproduit quasi intégralement les conditions générales de vente en ligne d’un site internet concurrent, la Cour d’appel de Paris[16] a rejeté leur  protection par le droit d’auteur jugeant que lesdites conditions générales étaient certes, le produit d’un travail intellectuel qui dénotait une compétence technique et un savoir-faire, mais ne révèleraient en rien l’effort créatif qu’aurait accompli son auteur pour le marquer du sceau de sa personnalité.

Plus récemment, le Tribunal de Grande instance de Paris[17] rejetait également des demandes fondées sur la contrefaçon de site internet en l’absence de preuve de l’originalité du site : « faute pour Monsieur S. de démontrer que son site est révélateur de sa personnalité et dépasse la mise en œuvre d’un savoir-faire d’informaticien, il n’y a pas lieu de faire application des règles de la propriété intellectuelle et de considérer que la reproduction de certains de ses éléments par le site www.parole-experts.com porte atteinte à des droits patrimoniaux et moral d’auteur ».

Dans cette espèce, le demandeur reprochait la contrefaçon de son par reproduction du plan, de la structure, de l’agencement des rubriques, et du contenu, et le tribunal avait effectivement constaté que certaines pages du site du demandeur étaient sont la copie exacte du site du défendeur tant dans la forme que dans le contenu.

Néanmoins, en l’absence de protection par le droit d’auteur, la personne à l’origine de la copie peut être poursuivie sur le fondement de la concurrence déloyale, si les sociétés sont en situation de concurrence, ou du parasitisme.

Ces deux notions ne sont pas définies par les textes, mais sont issues du droit commun de la responsabilité délictuelle. Les deux décisions récentes précédemment citées en donnent des définitions intéressantes.

Concernant la concurrence déloyale, l’élément essentiel est, outre l’état de concurrence, la confusion dans l’esprit de la clientèle entre les entreprises en concurrence :

–         « le principe de la liberté du commerce implique qu’un produit qui ne fait pas l’objet de droits de propriété intellectuelle, puisse être librement reproduit, sous certaines conditions tenant, notamment, à l’absence de faute par la création d’un risque de confusion dans l’esprit de la clientèle sur l’origine du produit, préjudiciable à l’exercice paisible et loyal du commerce » ;

–         « la copie du site vww.experts-univers.com par le site www.parole-experts.com crée un risque de confusion dans la mesure où l’internaute qui se trouve face à des pages absolument identiques, ne sera plus en mesure de faire de distinction. Un tel risque de confusion entraîne nécessairement une diminution du caractère attractif du site conçu par Jérôme S. ».

Quant au parasitisme, il est caractérisé en cas d’appropriation du travail et du ce savoir-faire d’un tiers, sans autorisation et sans frais :

–         « lorsqu’une personne physique ou morale, à titre lucratif et de façon injustifiée, s‘inspire ou copie une valeur économique d’autrui, individualisée et procurant un avantage concurrentiel, fruit d’un savoir-faire, d’un travail intellectuel et d’investissements ».

Dans les deux espèces précitées, les défendeurs ont ainsi été condamnés sur le fondement du parasitisme à payer pour l’un 10.000 euros et pour l’autre 20.000 euros à titre de dommages et intérêts.

6.       Projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure

Un projet de loi  d’Orientation et de Programmation pour la Sécurité Intérieure (dit LOPSI 2 ou

LOPPSI) a été présenté en conseil des ministres le 27 mai 2009.

Ce projet de loi comporte des dispositions relatives à la cybercriminalité et notamment[18] :

–         une nouvelle incrimination d’utilisation frauduleuse de données à caractère personnel de tiers sur un réseau de télécommunication (art. 2). Le nouvel article 222-16-1 due code pénal serait rédigé comme suit : « Le fait d’utiliser, de manière réitérée, sur un réseau de communication électronique l’identité d’un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Est puni de la même peine le fait d’utiliser, sur un réseau de communication électronique, l’identité d’un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération » ;

–          une obligation à la charge des fournisseurs d’accès à Internet d’empêcher l’accès à une liste de site internet établie par arrêté du ministre de l’intérieur. Ces interdictions viseraient notamment les contenus liés à la pornographie enfantine (article 4) ;

–          un aménagement du régime de la vidéosurveillance, appelée vidéoprotection, en étendant les finalités pour lesquelles les personnes privées peuvent recourir à la vidéoprotection : pour prévenir des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression ou de vol (article 17 et 18) ;

–          la possibilité de procéder, sans le consentement des intéressés, à la captation de données informatiques à distance en permettant aux enquêteurs de capter en temps réel les données informatiques telles qu’elles s’affichent à l’écran d’un ordinateur ou telles qu’elles sont introduites lors d’une saisie de caractères (article 23).

Alice COLLIN [alice.collin@collin-avocats.fr]

Françoise COLLIN [f.collin@fcollin-avocat.com]

Avocats

Notre diner debat du 14 avril 2009 avait pour theme l’architecture d’entreprise par le CEISAR . Ce theme nous a eté developpé par Pierre-Frederic Rouberties membre de l’ecole centrale Paris,Ancien DSI de AstraZeneca France, Il rejoint le CEISAR en 2007 ( CEISAR= Center of Excellence in EnterprISe ARchitecture).

La presentation etait complexe ,et il fallait s’accrocher à son siege pour suivre , mais cela fait aussi du bien de se voir presenter une reflexion aussi  poussée sur l’architecture d’entreprise .

Notre president , Jean-Claude Lebois s’est prêté au jeu de l’enregistrement Video pour Mydsi-tv !

Ecoutez le  , Jean-claude y parle avec decontraction, calme et sympathie de notre association .

Merci Jean-Claude ……

lecture de  la vdeo  cliquez sur le lien suivant   Vidéo Jean-Claude Lebois Mai 2009