Accueil

Articles taggés avec ‘ANDSI’

RGPD à mise en application + 18 mois

vendredi 27 décembre 2019 par : admin

18 mois après sa mise en application, le Règlement Général sur la Protection des Données méritait une double approche ; opérationnelle et de Retour d’EXpérience avec Didier PAWLAK, DSI de Pénélope et un bilan global plus global, par Cécile VERNUDACHI, avocate.

Didier Pawlak a débuté par les actions conduites par son entreprise afin de se mettre en conformité avec le RGPD et poursuivit par un bilan de la mise en œuvre après 18 mois. Cécile VERNUDACHI nous a ensuite dressé le bilan 2018 de la CNIL à travers les sanctions prononcées, ceci préfigurant les enjeux de l’action de la CNIL pour 2020. Elle conclut par un cas concret consistant en la manière de gérer un contrôle de la CNIL.

Les exposés ont tous été complétés de réponses suscitées par les nombreuses questions, certaines ouvrant sur un débat entre membres, chacun ayant ses centres d’intérêts et ses particularités, le sujet intéressant tous les membres de l’association.

Merci aux orateurs qui ont su apporter de l’information et des conseils, et également occasionner ces débats entre pairs.

Le Compte-Rendu est téléchargeable et librement distribuable.

Participez au benchmark 2010 : comment valoriser et piloter les services de la DSI ?

lundi 12 juillet 2010 par : admin

L’Association des Anciens Elèves de l’ENSIMAG en association avec l’Ae-SCM, l’ANDSI, l’E.O.A., l’itSMF France et le club SI de Grenoble Ecole de management réalise actuellement la troisième édition du benchmark SI.
Cette étude menée auprès des grandes entreprises porte sur le thème «Comment valoriser et piloter les services de la DSI ? ».
Le comité de pilotage chargé d’analyser les résultats est composé d’experts et d’opérationnels.

L’objectif est de pouvoir comparer les services proposés par les Directions des Systèmes d’Information au travers d’une centaine de questions, sur les axes structurants suivants : Catalogue, Mesure, Engagement, Qualité de service, Organisation, Urbanisation, Communication, Sourcing, Cycle de vie et Réglementation.

GIF_QExcel-copie-1.gifGIF_QLigne-copie-2.gif

Les entreprises peuvent  participer jusqu’au 30 juin 2010. Elles bénéficieront alors du rapport de synthèse de l’étude distribué au moment de la conférence-débat. Une dizaine de grandes entreprises ont déjà répondu au questionnaire (Banque Assurance, Transport, Industrie, Secteur Public)

L’étude prévoit de rassembler plus d’une centaine d’entreprises.
Les participants seront cordialement invités à la conférence-débat au cours de laquelle seront commentés les résultats complets de cette étude. Elle aura lieu le mardi 21 septembre 2010 à l’auditorium de la SACEM, à Neuilly/seine.

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION

lundi 30 novembre 2009 par : admin

 

1. CONSEILS DE LA CNIL AUX DSI POUR LA SECURITE DES SYSTEMES D’INFORMATION

Le 12 octobre 2009, la Cnil a publié sur son site internet un article intitulé « 10 conseils pour sécuriser votre système d’information » suite aux constats qu’elle a effectués lors de contrôles sur place.

Pour mémoire, l’article 34 de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés stipule que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

La Cnil indique que l’exigence de sécurité se traduit par un ensemble de mesures que les détenteurs de fichiers doivent mettre en œuvre, essentiellement par l’intermédiaire de leur direction des systèmes d’information (DSI) ou de leur responsable informatique » :

1. Adopter une politique de mot de passe rigoureuse
2. Concevoir une procédure de création et de suppression des comptes utilisateurs
3. Sécuriser les postes de travail
4. Identifier précisément qui peut avoir accès aux fichiers
5. Veiller à la confidentialité des données vis-à-vis des prestataires
6. Sécuriser le réseau local
7. Sécuriser l’accès physique aux locaux
8. Anticiper le risque de perte ou de divulgation des données
9. Anticiper et formaliser une politique de sécurité du système d’information
10. Sensibiliser les utilisateurs aux « risques informatiques » et à la loi “informatique et libertés”

Ainsi, les mots de passe des postes informatiques doivent contenir au minimum 8 caractères alphanumériques et spéciaux. Les comptes utilisateurs permettant d’accéder à des données personnelles doivent être nominatifs et non génériques. Les postes informatiques doivent se verrouiller automatiquement au-delà d’une courte période d’inactivité. Les données sensibles, telles que les données de santé ou les numéros de carte bancaire, doivent faire l’objet d’un chiffrement.

L’article 35 de la loi Informatique et Libertés doit être strictement respecté et les sous-traitants qui interviennent sur des systèmes d’information contenant des données personnelles doivent présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité et avoir signé une clause relative à la protection de la sécurité et de la confidentialité des données.

Les salles d’hébergement des serveurs et des éléments réseau doivent faire l’objet d’une sécurité physique renforcée, les systèmes d’information doivent quant à eux être soumis à des systèmes de sécurité logique, notamment en ce qui concerne les connexions à distance ou les réseaux wifi. Les données doivent être sauvegardées régulièrement et les supports de sauvegarde stockés dans un local distinct.

Enfin, le facteur humain doit naturellement être pris en compte, il est donc recommandé aux entreprises de former leur personnel aux règles contenues au sein de la loi informatique et libertés, et d’adopter des politiques de sécurité des systèmes d’information et des chartes informatiques règlementant les usages des technologies dans l’entreprise.
2. RESPONSABILITE POUR FAUTE DE L’AFNIC

Après le jugement du Tribunal de Grande Instance de Paris du 26 août 2009 qui avait précisé le régime de responsabilité applicable à l’Afnic et aux bureaux d’enregistrement des noms de domaine, c’est au tour du Tribunal de Grande Instance de Versailles de condamner l’Afnic pour faute en raison de son inactivité suite à une mise en demeure.

La société Francelot, titulaire du nom de domaine www.francelot.com, ayant constaté que le nom de domaine www.francelot.fr avait été réservé par un tiers, dont les nom et coordonnées n’était pas accessible en raison de l’option « diffusion restreinte » activée par défaut pour les enregistrements réalisés par une personne physique, a mis en demeure I’Afnic de communiquer les coordonnées du déposant et de rendre inactive l’adresse www.francelot.fr.

A défaut pour l’Afnic de s’être exécuté, la société Francelot assignait (a) le titulaire du nom de domaine www.francelot.fr, identifié suite à une ordonnance sur requête autorisant la levée de l’anonymat du déposant, et (b) l’Afnic, en concurrence déloyale par détournement de clientèle et parasitisme.

Dans un jugement du 6 octobre 2009, le TGI de Versailles a considéré qu’aucune faute ne pouvait être reprochée à l’Afnic sur le terrain de la levée de l’anonymat, l’article 30 de la Charte de nommage applicable à l’époque des faits prévoyant expressément que les coordonnées personnelles ne peuvent être communiquées par I’Afnic que sur réquisition judiciaire ou après mise en œuvre d’une procédure alternative de résolution des conflits. Le tribunal juge donc qu’en « l’absence de mise en œuvre d’une telle procédure, l’Afnic était fondée à refuser la levée de l’anonymat du déposant du nom de domaine litigieux, dans l’attente de l’ordonnance présidentielle du 14 juin 2007. »

Toute autre est la décision du tribunal quant à la demande de blocage du nom de domaine francelot.fr formulée par la société Francelot dans sa mise en demeure. En effet, l’article 23 de la Charte de nommage, rédigée par I’Afnic, lui impose de procéder au blocage d’un nom de domaine chaque fois qu’elle a identifié une violation des termes ou de l’esprit de la charte. Or, la mise en demeure adressée à l’Afnic devait lui permettre d’identifier une violation de la charte. L’Afnic devait donc procéder au blocage conservatoire du nom de domaine francelot.fr, « le cas échéant après s’être assurée de la pertinence des droits invoqués par la société Francelot, invitée à produire tous justificatifs utiles ».

Ainsi le tribunal considère que « En s’abstenant de toute initiative de blocage, l’Afnic a contribué à la persistance de l’impact parasitaire du site francelot.fr et à la perte d’image de la société Francelot, préjudices qu’il convient d’arbitrer à la somme de 4500 euros ».

Cette décision, va à l’encontre de la politique de l’Afnic, qui consiste à considérer qu’elle ne saurait être tenue « par l’envoi de lettres, de sommations ou copies d’assignation » , et pourrait donc contraindre l’association à être plus attentive aux demandes – justifiées – qui lui sont adressées. Ce d’autant que l’article R20-44-49 du Code des postes et des communications électroniques stipule que « Les offices sont tenus de bloquer, supprimer ou transférer, selon le cas, des noms de domaine :

– lorsqu’ils constatent qu’un enregistrement a été effectué en violation des règles fixées par la présente section du code des postes et des communications électroniques ;

– en application d’une décision rendue à l’issue d’une procédure judiciaire ou extrajudiciaire de résolution des litiges ».
3. PROJET DE LOI RELATIF A L’OUVERTURE A LA CONCURRENCE ET A LA REGULATION DU SECTEUR DES JEUX D’ARGENT ET DE HASARD EN LIGNE

Aujourd’hui, la législation française pose le principe selon lequel les jeux d’argent et de hasard sont interdits, avec des exceptions notamment en ce qui concerne les casinos, le PMU et la Française des jeux.

Sous la pression européenne, un projet de loi relatif à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne a été déposé le 25 mars 2009. Le 13 octobre 2009, l’Assemblée nationale a d’adopté ce projet, modifié par de nombreux amendements, qui doit désormais être examiné par le Sénat.

Ce projet de texte prévoit notamment l’ouverture à certains types de jeux et paris en ligne qui remplissent deux critères cumulatifs : faire appel au savoir-faire des joueurs et faire intervenir plusieurs joueurs (tel que par exemple, les paris hippiques, les paris sportifs ou encore le poker en ligne). La règlementation du hors-ligne reste donc inchangée.

Les opérateurs qui souhaitent proposer des jeux ou paris en ligne autorisés par le texte devront obtenir un agrément, délivré par la nouvelle Autorité de régulation des jeux en ligne(ARJEL), pour une durée de cinq ans renouvelable.

A cette fin, les opérateurs devront se conformer à un cahier des charges dont le contenu sera proposé par l’ARJEL puis approuvé par le ministre de l’intérieur, le ministre chargé du budget, le ministre chargé de l’agriculture et le ministre chargé des sports.

Enfin, on peut noter que le projet de loi encadre strictement la publicité en faveur d’un opérateur de jeux d’argent et de hasard légalement autorisé, celle-ci devant être assortie d’un message de mise en garde contre l’addiction au jeu. En outre, cette publicité sera interdite dans les publications à destination des mineurs, durant les périodes au cours desquelles sont programmées des émissions à destination des mineurs sur les services de télévision et de radio, dans les services de communication au public en ligne à destination des mineurs, et dans les salles de cinéma lors de la diffusion d’œuvres à destination des mineurs.

4. PARASITISME ET SITE INTERNET

La Cour d’appel de Paris vient de condamner, une fois encore, un site internet en raison d’agissements parasitaires à l’encontre d’un autre site web concurrent.

Par un arrêt du 30 septembre 2009, la Cour rappelle que « le parasitisme est un ensemble de comportements par lequel, un agent économique s’immisce dans le sillage d’un autre afin de tirer profit sans rien dépenser de ses efforts et de son savoir-faire ; que cet agissement qui consiste à “vivre aux crochets” d’un autre, n’implique pas nécessairement un risque de confusion, ni même une situation de concurrence ; qu’il suppose une faute, un préjudice et un lien de causalité entre les deux ; que la faute est, en la matière, tout acte contraire aux usages du commerce, ou a fortiori déloyal ».

En l’espèce, le site internet la société éditant le site www.mylittleparis.com avait assigné la société qui édite le site www.doitinparis.com en raison de « troublantes similitudes » entre leur site, notamment quant aux illustrations.

Après avoir écarté certaines similitudes en raison notamment de la banalité de ces éléments au regard de l’activité de ces deux sites, la Cour retient néanmoins la faute de la société éditrice du www.doitinparis.com, considérant que les ressemblances dans les illustrations ne saurait provenir du hasard, mais d’une démarche délibérée. Ainsi, par exemple, se retrouvait sur ces deux sites les dessins d’une conductrice qui passe la tête par la fenêtre de sa voiture décapotable, d’une parisienne à la terrasse d’un café avec un serveur en arrière plan dans une posture strictement semblable, ou encore d’une femme blonde assise devant son ordinateur.

Les juges ont condamné la société éditrice du www.doitinparis.com à supprimer les illustrations litigieuses de son site internet et à verser 5000 euros à titre de provision sur dommages et intérêts. En outre, la Cour ordonne la publication d’une partie de l’arrêt sur la page d’accueil du site www.doitinparis.com pendant une durée de six mois.

Les décisions de ce type ont tendance à se multiplier. Les éditeurs de site web doivent donc de plus en plus être vigilants quant aux actes de leurs salariés « créatifs » ou de leurs prestataires, et prendre soin de former les uns au respect des règles du commerce et notamment de la propriété intellectuelle, et de signer avec les autres des clauses de garantie d’originalité et de jouissance paisible.

5. SFR PERD SA MARQUE TEXTO

La société SFR, qui avait enregistré en mars 1998 la marque « Texto, Dites le en toutes lettres, dites le texto », puis en janvier 2001 la marque « Texto », a assigné la société One Texto et son gérant en contrefaçon de la marque Texto et en concurrence déloyale, en raison notamment du dépôt par celui-ci de la marque semi-figurative « One Texto » et de la réservation du nom de domaine « OneTexto.com ».

Par un jugement en date du 29 janvier 2008, le Tribunal de Grande Instance de Paris avait déclaré la nullité des marques « Texto, Dites le en toutes lettres, dites le texto » et « Texto », pour défaut de distinctivité et débouté la société SFR de ses demandes fondées sur ces marques.

La Cour d’appel de Paris vient de confirmer le défaut de distinctivité de ces marques, la première en raison de son caractère descriptif, et la seconde du fait de son emploi dans le langage courant pour désigner ce service .
En effet, aux termes du Code de la propriété intellectuelle, seul peuvent être enregistré à titre de marque, un signe distinctif par rapport aux produits ou services qu’il désigne. Ainsi, l’article L.711-2 du Code de la propriété intellectuelle stipule que sont dépourvus de caractère distinctif :
« a) Les signes ou dénominations qui, dans le langage courant ou professionnel, sont exclusivement la désignation nécessaire, générique ou usuelle du produit ou du service ;
b) Les signes ou dénominations pouvant servir à désigner une caractéristique du produit ou du service, et notamment l’espèce, la qualité, la quantité, la destination, la valeur, la provenance géographique, l’époque de la production du bien ou de la prestation de service ;
c) Les signes constitués exclusivement par la forme imposée par la nature ou la fonction du produit, ou conférant à ce dernier sa valeur substantielle ».
Une marque doit donc être arbitraire ou fantaisiste, ce qui s’apprécie par rapport au public visé ou au produit à la date du dépôt. Elle ne peut donc consister en une simple description du produit.

Alice COLLIN Françoise COLLIN
alice.collin@collin-avocats.fr
f.collin@collin-avocats.fr

Avocats
www.collin-avocats.fr
15 rue Margueritte 75017 PARIS
TEL : 01 44 29 26 60

Internet et données personnelles

lundi 2 novembre 2009 par : admin

1.       Une adresse IP est-elle une données à caractère personnel ?

 

Dans un jugement du 24 juin 2009, le Tribunal de Grande Instance de Paris a jugé qu’une adresse IP est une donnée à caractère personnel :

 

         « Le tribunal considère que l’adresse IP est une donnée personnelle puisqu’elle correspond à un numéro fourni par un fournisseur d’accès à internet identifiant un ordinateur connecté au réseau ; elle permet d’identifier rapidement à partir de services en ligne gratuits le fournisseur d’accès du responsable du contenu qui détient obligatoirement les données nominatives du responsable du contenu, c’est-à-dire son adresse et ses coordonnées bancaires. Au regard de la technique existante, cette adresse apparaît être le seul élément permettant de retrouver la personne physique ayant mis en ligne le contenu. Si effectivement, cette adresse peut être usurpée grâce à des outils logiciels spécialement développés, ces détournements en nombre très limité à ce jour ne sauraient disqualifier cette adresse comme donnée permettant l’identification personnelle des fournisseurs de contenu ».

 

La question de la qualification, ou non, de données à caractère personnel d’une adresse IP est substantielle dès lors qu’elle détermine si la loi Informatique et Libertés de 1978 doit s’appliquer à la collecte et au traitement de ces informations. Ce d’autant que les opérateurs de communication électronique (opérateurs télécom, Fai, et personnes assimilées telles que les cybercafés ou les hôtels offrant une connexion)[1] et les hébergeurs[2] ont l’obligation légale de collecter et de conserver les adresses IP.

 

Rappelons que cette loi Informatique et Libertés dispose en son article 2 que « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

 

Si la Cnil affirme depuis longtemps que l’adresse IP est une donnée à caractère personnel, la jurisprudence est en revanche plus hésitante. Ainsi,  deux arrêts de 2007, rendus par la Cour d’appel de Paris[3]considéraient que l’adresse IP ne pouvait pas être assimilé à une donnée personnelle.

 

Au regard de l’enjeu de la question, un rapport d’information déposé au Sénat le 27 mai 2009 relatif à « La vie privée à l’heure des mémoires numériques »[4] préconise que la loi Informatique et Liberté soit modifiée afin d’affirmer sans ambiguïté que l’adresse IP constitue une donnée à caractère personnel.

2.       adoption de la loi favorisant la diffusion et la protection de la création sur internet

 

La loi favorisant la diffusion et la protection de la création sur internet, dite loi Hadopi du nom de la « Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet » qu’elle instaure, a été adoptée le 12 juin 2009.

 

Après censure du Conseil constitutionnel[5], la version de la loi adoptée ne prévoit plus de « riposte graduée » en cas de téléchargement illégal d’œuvres protégées par le droit d’auteur, mais uniquement le mécanisme suivant :

 

Aux termes de l’article L. 336-3 du Code de la propriété intellectuelle, la personne titulaire de l’accès à des services de communication au public en ligne a l’obligation de veiller à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits, lorsqu’elle est requise[6]. Cependant, le manquement de la personne titulaire de l’accès à l’obligation définie au premier alinéa n’a pas pour effet d’engager la responsabilité pénale de l’intéressé.

 

La Haute Autorité a notamment pour mission de veiller à la protection, sur internet, des œuvres et objets auxquels est attaché un droit d’auteur ou un droit voisin[7]. La Haute Autorité est composée d’une commission de protection des droits[8].

 

La commission de protection des droits peut, une fois saisie, pour mettre un terme au manquement à l’obligation pesant sur le titulaire d’un accès internet définie ci-dessus :

 

       envoyer à l’abonné, par voie électronique et  par l’intermédiaire de son FAI, une recommandation lui rappelant les dispositions de l’article L. 336-3 et lui enjoignant de respecter l’obligation qu’elles définissent[9] ;

       en cas de renouvellement, dans un délai de six mois, adresser une nouvelle recommandation comportant les mêmes informations[10].

 

La commission de protection des droits peut être saisie par des agents assermentés désignés par les organismes de défense professionnelle régulièrement constitués, les sociétés de perception et de répartition des droits et le Centre national de la cinématographie. Elle peut également agir sur la base d’informations qui lui sont transmises par le procureur de la République.

 

Ce dispositif n’entrera en vigueur à la date de la première réunion de la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet et au plus tard le 1er novembre 2009.

 

Après la censure du conseil constitutionnel, un nouveau texte complémentaire est en préparation. Le 8 juillet 2009, le Sénat a ainsi adopté un projet de loi en première lecture[11], lequel sera examiné par les députés en septembre.

3.       nouvelles modalités d’informations relatives aux prix des appels téléphoniques à des services à valeur ajoutée

 

Au titre des principes essentiels du droit de la consommation figure l’obligation d’information due par le professionnel au consommateur.

 

Ainsi, l’article L113-3 du code de la consommation stipule que :

 

       « Tout vendeur de produit ou tout prestataire de services doit, par voie de marquage, d’étiquetage, d’affichage ou par tout autre procédé approprié, informer le consommateur sur les prix, les limitations éventuelles de la responsabilité contractuelle et les conditions particulières de la vente, selon des modalités fixées par arrêtés du ministre chargé de l’économie, après consultation du Conseil national de la consommation. »

 

Un nouvel arrêté du ministre de l’économie du 10 juin 2009 est venu préciser les modalités de l’information relative au prix des appels téléphoniques aux services à valeur ajoutée.

 

Les services à valeur ajoutée sont des services accessibles via des numéros à dix chiffres commençant par 08 (sauf les 087), les numéros à quatre chiffres commençant par 3 ou par 1, ou encore des numéros 118 utilisés pour les services de renseignements, permettant l’accès à différents types de services tels que des informations préenregistrées (météo, trafic, horoscope), ou personnalisées (renseignements, achats de billets, services administratifs…), mais aussi l’accès à l’Internet bas débit.

 

A compter du 1er janvier 2010 pour les numéros dont la tarification depuis un poste fixe est supérieure à 0,15 € par minute ou par appel, et à compter du au 1er janvier 2011 pour les autres numéros concernés, tout consommateur devra être informé du prix global susceptible de lui être facturé au moyen d’un message gratuit en début d’appel, d’une durée qui ne peut être inférieure à 10 secondes.

 

L’arrêté prévoit également qu’un signal sonore matérialise la fin de cette information et la mise en application des conditions de prix annoncées, et que le consommateur pourra renoncer à entre l’annonce en appuyant sur la touche « # » par exemple.

 

Enfin, il convient de noter que le texte, réservé à la protection des consommateurs, ne s’applique pas à des appels passés par des non consommateurs ou vers des services réservé à un usage professionnel, pas plus qu’à des appels sans intervention humaine, dits « de machine à machine », tels que les opérations de télésurveillance (sous réserve que ces services aient donnés lieu à un contrat écrit préalable et dont l’information quant aux prix est conforme à la réglementation en vigueur).

 


4.       Réseaux sociaux sur internet et protection des données personnelles

 

Le 12 juin dernier, le Groupe de l’article 29[12] a adopté un avis relatif aux réseaux sociaux dans le but de fournir des lignes de conduite aux éditeurs de ces sites sur les mesure à mettre en place afin d’assurer le respect du droit européen sur la protection des données personnelles[13].

 

Le Groupe de l’article 29 définit les réseaux sociaux comme des sites de communication en ligne qui permettent à quiconque de rejoindre ou de créer un réseau d’utilisateurs liés entre eux, et recense un certain nombre de caractéristiques communes à ces sites : profil descriptif des personnes, possibilité de mise en ligne de contenus personnels (photo, agenda, music, vidéo, etc.) et liste des contacts sur le réseau de chacun des utilisateurs.

 

Après avoir rappelé que la directive relative à la protection des données personnelles est applicable aux sites de réseaux sociaux, y compris lorsque leur siège social est situé hors de l’Europe, en se référant à son avis sur les aspects de la protection des données liés aux moteurs de recherche[14], le Groupe de l’article 29 recherche qui porte la responsabilité des traitements de données à caractère personnel effectués dans le cadre des réseaux sociaux.

 

En effet, la définition des personnes responsables des traitements est essentielle dans la mesure où la règlementation fait peser sur eux le respect des dispositions applicables aux traitements des données personnelles (formalités préalables, informations des personnes, confidentialité, sécurité, etc.).

 

Pour mémoire, l’article 3 de la loi de française du 6 janvier 1978, transposant la directive de 1995, dispose que : « Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens ».

 

Dans son avis, le Groupe de l’article 29 considère qu’il existe trois types de responsable de traitements : les « prestataires des services de réseaux sociaux » (i.e. les sites internet), les développeurs d’applications utilisées sur les réseaux en plus de celle fournies par les sites eux-mêmes, voire les utilisateurs des réseaux lorsque l’utilisation qu’ils en font sort de la sphère privée et familiale par exemple.

 

Le Groupe de l’article 29 conclu donc son avis par un résumé des droits et obligations des acteurs des réseaux en ligne. Les sites de réseaux sociaux doivent notamment :

         informer les internautes de leur identité et leur fournir des informations claires et compréhensibles sur les moyens et les objectifs des traitements de données qu’ils réalisent ;

         définir des paramètres par défaut limitant la diffusion des données des internautes ;

         informer les internautes des risques liées à la mise en ligne de données personnelles en termes de vie privée ; les informer également que toutes photos ou informations relative à une autre personne ne peut être mise en ligne qu’avec l’accord de cette personne ;

         mettre en ligne, sur leur page d’accueil accessible aux membres et aux non membres, un lien permettant à tous de signaler des abus relatifs à la vie privée.

 

5.       Quelle protection en cas de copie servile de tout ou partie du contenu d’un site internet ?

 

Le contenu d’un site internet, ainsi que son apparence ou son architecture, peut être protégé par le biais de plusieurs fondements, permettant  à la victime de tels agissements d’agir sur le terrain de la contrefaçon de droit d’auteur ou encore sur celui de la concurrence déloyal ou du parasitisme.

 

En effet, l’action en contrefaçon de droit d’auteur prévue par le Code de la propriété intellectuelle est parfaitement applicable dans le cadre de la reproduction d’un site internet dès lors que le code protège les droits des auteurs sur toutes les œuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination[15].

 

Cependant, pour qu’une œuvre soit protégée par le droit d’auteur, il est nécessaire que celle-ci soit originale, c’est-à-dire porte l’empreinte de la personnalité de son auteur. Et c’est là que réside tout l’enjeu du débat en cas de contentieux relatif à la reproduction de sites internet dans la mesure où ces « œuvres » ont par nature des contraintes techniques fortes et répondre le plus souvent à des standards de lisibilité et de présentation conforme aux habitudes des internautes.

 

Ainsi, dans une affaire où un site de vente en ligne avait reproduit quasi intégralement les conditions générales de vente en ligne d’un site internet concurrent, la Cour d’appel de Paris[16] a rejeté leur  protection par le droit d’auteur jugeant que lesdites conditions générales étaient certes, le produit d’un travail intellectuel qui dénotait une compétence technique et un savoir-faire, mais ne révèleraient en rien l’effort créatif qu’aurait accompli son auteur pour le marquer du sceau de sa personnalité.

 

Plus récemment, le Tribunal de Grande instance de Paris[17] rejetait également des demandes fondées sur la contrefaçon de site internet en l’absence de preuve de l’originalité du site : « faute pour Monsieur S. de démontrer que son site est révélateur de sa personnalité et dépasse la mise en œuvre d’un savoir-faire d’informaticien, il n’y a pas lieu de faire application des règles de la propriété intellectuelle et de considérer que la reproduction de certains de ses éléments par le site www.parole-experts.com porte atteinte à des droits patrimoniaux et moral d’auteur ».

 

Dans cette espèce, le demandeur reprochait la contrefaçon de son par reproduction du plan, de la structure, de l’agencement des rubriques, et du contenu, et le tribunal avait effectivement constaté que certaines pages du site du demandeur étaient sont la copie exacte du site du défendeur tant dans la forme que dans le contenu.

 

Néanmoins, en l’absence de protection par le droit d’auteur, la personne à l’origine de la copie peut être poursuivie sur le fondement de la concurrence déloyale, si les sociétés sont en situation de concurrence, ou du parasitisme.

 

Ces deux notions ne sont pas définies par les textes, mais sont issues du droit commun de la responsabilité délictuelle. Les deux décisions récentes précédemment citées en donnent des définitions intéressantes.

 


Concernant la concurrence déloyale, l’élément essentiel est, outre l’état de concurrence, la confusion dans l’esprit de la clientèle entre les entreprises en concurrence :

 

         « le principe de la liberté du commerce implique qu’un produit qui ne fait pas l’objet de droits de propriété intellectuelle, puisse être librement reproduit, sous certaines conditions tenant, notamment, à l’absence de faute par la création d’un risque de confusion dans l’esprit de la clientèle sur l’origine du produit, préjudiciable à l’exercice paisible et loyal du commerce » ;

 

         « la copie du site vww.experts-univers.com par le site www.parole-experts.com crée un risque de confusion dans la mesure où l’internaute qui se trouve face à des pages absolument identiques, ne sera plus en mesure de faire de distinction. Un tel risque de confusion entraîne nécessairement une diminution du caractère attractif du site conçu par Jérôme S. ».

 

 

Quant au parasitisme, il est caractérisé en cas d’appropriation du travail et du ce savoir-faire d’un tiers, sans autorisation et sans frais :

 

         « lorsqu’une personne physique ou morale, à titre lucratif et de façon injustifiée, s‘inspire ou copie une valeur économique d’autrui, individualisée et procurant un avantage concurrentiel, fruit d’un savoir-faire, d’un travail intellectuel et d’investissements ».

 

Dans les deux espèces précitées, les défendeurs ont ainsi été condamnés sur le fondement du parasitisme à payer pour l’un 10.000 euros et pour l’autre 20.000 euros à titre de dommages et intérêts.

 

6.       Projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure

 

Un projet de loi  d’Orientation et de Programmation pour la Sécurité Intérieure (dit LOPSI 2 ou

LOPPSI) a été présenté en conseil des ministres le 27 mai 2009.

 

Ce projet de loi comporte des dispositions relatives à la cybercriminalité et notamment[18] :

 

         une nouvelle incrimination d’utilisation frauduleuse de données à caractère personnel de tiers sur un réseau de télécommunication (art. 2). Le nouvel article 222-16-1 due code pénal serait rédigé comme suit : « Le fait d’utiliser, de manière réitérée, sur un réseau de communication électronique l’identité d’un tiers ou des données qui lui sont personnelles, en vue de troubler la tranquillité de cette personne ou d’autrui, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Est puni de la même peine le fait d’utiliser, sur un réseau de communication électronique, l’identité d’un tiers ou des données qui lui sont personnelles, en vue de porter atteinte à son honneur ou à sa considération » ;

 

          une obligation à la charge des fournisseurs d’accès à Internet d’empêcher l’accès à une liste de site internet établie par arrêté du ministre de l’intérieur. Ces interdictions viseraient notamment les contenus liés à la pornographie enfantine (article 4) ;

 

          un aménagement du régime de la vidéosurveillance, appelée vidéoprotection, en étendant les finalités pour lesquelles les personnes privées peuvent recourir à la vidéoprotection : pour prévenir des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression ou de vol (article 17 et 18) ;

 

          la possibilité de procéder, sans le consentement des intéressés, à la captation de données informatiques à distance en permettant aux enquêteurs de capter en temps réel les données informatiques telles qu’elles s’affichent à l’écran d’un ordinateur ou telles qu’elles sont introduites lors d’une saisie de caractères (article 23).

 

 

Alice COLLIN [alice.collin@collin-avocats.fr]

Françoise COLLIN [f.collin@fcollin-avocat.com]

Avocats


[1] Article L34-1 Code des postes et des communications électroniques.

[2] Article 6.II de la Loi pour la confiance dans l’économie numérique du 21 juin 2004, qui vise également les FAI.

[3] CA Paris, 13e Ch., 15 mai 2007 et 27 avril 2007.

[6] Art. L336-3 nouveau du Code de la propriété intellectuelle.

[7] Art. L331-13 nouveau du Code de la propriété intellectuelle.

[8] Art. L331-15 nouveau du Code de la propriété intellectuelle.

[9] Cette recommandation contient également une information de l’abonné sur l’offre légale de contenus culturels en ligne, sur l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L. 336-3 ainsi que sur les dangers pour le renouvellement de la création artistique et pour l’économie du secteur culturel des pratiques ne respectant pas le droit d’auteur et les droits voisins.

[10] Art. L331-26 nouveau du Code de la propriété intellectuelle.

[12] Groupe de travail institué par les articles 29 et 30 de la Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, réunissant les représentants des « Cnil européenne ».

[15] Art. L112-1 CPI.

[16] CA Paris, 4e Ch. A, 24 septembre 2008 : Vente Privée.com c/ Kalypso.

[17] TGI Paris, 3e Ch, 4e Sect., 28 mai 2009 : Jérôme S. c/ Association Lexeek.

L'architecture d'entreprise par le CEISAR

mardi 16 juin 2009 par : admin

Pierre-frederic Rouberties

Notre diner debat du 14 avril 2009 avait pour theme l’architecture d’entreprise par le CEISAR . Ce theme nous a eté developpé par Pierre-Frederic Rouberties membre de l’ecole centrale Paris,Ancien DSI de AstraZeneca France, Il rejoint le CEISAR en 2007 ( CEISAR= Center of Excellence in EnterprISe ARchitecture).

La presentation etait complexe ,et il fallait s’accrocher à son siege pour suivre , mais cela fait aussi du bien de se voir presenter une reflexion aussi  poussée sur l’architecture d’entreprise .

pour acceder à la presentation , cliquez sur le lien Presentation Ceisar

 

 

 

Notre president en video sur MyDSI.tv !

jeudi 11 juin 2009 par : admin

Notre president , Jean-Claude Lebois s’est prêté au jeu de l’enregistrement Video pour Mydsi-tv !

Ecoutez le  , Jean-claude y parle avec decontraction, calme et sympathie de notre association .

Merci Jean-Claude ……

lecture de  la vdeo  cliquez sur le lien suivant   Vidéo Jean-Claude Lebois Mai 2009 

DSI auto-evaluez vous ..

jeudi 12 février 2009 par : admin

En parcourant le Web , j’ai été accrochée par une enquete proposée par le journal du net  sur le theme DSI : 15 questions pour s’auto-evaluer .

Cette enquête est intéressante car elle pose des questions sur notre positionnement dans l’entreprise, notre technicité et notre ego !

Je vous invite à venir decouvrir cette etude en cliquant sur ce lien Enquete-dsi-auto-evalutation

Les DSI de l’année 2008

mercredi 11 février 2009 par : admin

Cette année encore l’ANDSI est à l’honneur avec pas moins de deux membres de l’ANDSI elus DSI de l’année par 01 Informatique et le Club 01 DSI  dans les categories PME/PMI ( Justin Ziegler de Priceminister) et banque, assurance et finance ( Jean-Claude Lebois  SMABTP) Voici un petit resumé des articles de presse saluant cet evenement

————————————————————————————-

L’excellence opérationnelle récompensée

Le jury a également salué la personnalité de Justin Ziegler, lauréat du trophée PME-PMI et prix spécial du jury. « C’est un jeune entrepreneur qui a participé, dès sa création, à une entreprise qui n’est que numérique et qui a beaucoup misé sur les logiciels open source », a expliqué Jean-Pierre Corniou à propos du DSI de Priceminister.com, place de marché internet fondée en 2000.
———————-source—http://www.01net.com/editorial/398859/les-dsi-de-l-annee-2008/
Côté banque, assurance et finance, Jean-Claude Lebois, DSI de SMABTP, achève la refonte complète du SI de cette compagnie d’assurances spécialisée dans le BTP. Pour accroître l’efficacité de ses actions, il a notamment mis en place une industrialisation poussée autour du référentiel Itil, le tout dans le cadre des procédures Cobit.
———————-source—http://www.01net.com/editorial/398859/les-dsi-de-l-annee-2008/
Saluons dignement ces trophées et felicitations aux laureats …
Portraits de nos heros …
Justin Ziegler …
Jean-Claude Lebois …

VENTE EN LIGNE ET CONDITIONS GENERALES

mercredi 11 février 2009 par : admin

Vous souhaitez vous lancer dans une activité e-commerce sans pour autant engager des investissements importants. La tentation est forte alors de surfer sur les sites de sociétés concurrentes ou de sociétés de renommée (E-bay, la Fnac..) pour s’inspirer fortement du contenu de leurs sites et plus particulièrement de leurs conditions générales de vente en ligne.

 

Attention, de tels agissements peuvent être lourdement sanctionnés. Une décision récente nous en donne un éclairage intéressant. Par ailleurs, les règles juridiques en matière de vente en ligne sont strictes et imposent une connaissance approfondie des textes applicables pour que le site web soit « en règle ».

1.    Sanction de la reprise des conditions générales de vente d’un tiers

 

1.1 Le terrain de l’atteinte aux droits d’auteur.

 

Quand on se réfère à une reprise « in extenso » ou une « copie servile », l’action en justice à laquelle on pense spontanément est l’action en contrefaçon.

 

Cette action vise en effet à sanctionner la reproduction ou l’imitation d’une œuvre protégée au titre du droit d’auteur : « Est également un délit de contrefaçon toute reproduction, représentation ou diffusion, par quelque moyen que ce soit, d’une oeuvre de l’esprit en violation des droits de l’auteur, tels qu’ils sont définis et réglementés par la loi » (Article 335-3 du Code de la propriété intellectuelle ).

 

Pour autant, des conditions générales de vente en ligne, qui nécessitent, certes, un travail intellectuel et un savoir-faire juridique, sont-elles protégeables au titre du droit d’auteur ?

 

Le Code de propriété intellectuelle protège « les œuvres de l’esprit », quelque soit leur genre, leur forme d’expression, leur mérite ou leur destination, en accordant à leur auteur « un droit de propriété incorporel exclusif et opposable à tous » (Article L111.1 du code de propriété intellectuelle). Ce droit naît au profit de l’auteur du seul fait de sa création, sans qu’aucune formalité ou dépôt ne soit nécessaire. Il est accordé en France pour une durée de 70 ans suivant la mort de l’auteur (personne physique).

 

Cette protection n’est cependant accordée qu’aux seules œuvres de l’esprit ayant atteint un certain degré de formalisation et revêtant un caractère d’originalité. Cette notion d’originalité s’entend non pas de la nouveauté mais de l’expression de la personnalité de l’auteur, de la manière personnelle qu’il a de formaliser l’oeuvre.

 

Les juges sont souverains pour déterminer si une œuvre présente un caractère original ou non. Or, en matière de conditions générales de vente en ligne, il a été jugé dans une affaire récente, qu’elles ne répondaient pas au critère d’originalité requis pour être protégées par le droit d’auteur.

 

 

 

Pour la Cour, les conditions générales en cause n’offraient, ni dans leur forme, ni dans leur architecture, une quelconque singularité de nature à les distinguer d’autres textes juridiques ou notices techniques rencontrés sur le marché des produits de consommation courants. Aucune originalité ne pouvait non plus être accordée, selon les magistrats, sur le fond, dès lors que les rubriques et leur contenu étaient imposés par la chronologie de l’opération commerciale et par leur fonction contractuelle (préciser les obligations respectives des parties) (CA Paris, 24 octobre 2008, n°07-336).

 

Ce n’est dès lors par sur le fondement de la contrefaçon des droits d’auteur que la reproduction des conditions générales de ventes peut être valablement sanctionnée.

 

1.2           La responsabilité délictuelle civile

 

En l’absence de protection d’une œuvre par le droit d’auteur, son créateur n’est pas pour autant démuni face à sa reproduction sans autorisation. Ainsi, l’action en concurrence déloyale et/ou le parasitisme viennent compenser parfois ce refus de protection.

 

L’action en concurrence déloyale permet de sanctionner le comportement déloyal d’un concurrent qui utiliserait des moyens frauduleux pour détourner de la clientèle.

 

Le parasitisme économique s’entend du « fait pour un agent économique de s’introduire sur un marché, avec ou sans risque de confusion, mais en utilisant une valeur économique d’autrui, fruit d’un investissement, en argent ou en travail » (CA Versailles, 20 octobre 1993). Il s’agit dans ce cas de profiter indûment des investissements d’autrui, sans bourse délier.

 

Le parasitisme et la concurrence déloyale sont sanctionnés sur le terrain de la responsabilité délictuelle civile, c’est-à-dire sur le fondement de l’article 1382 du Code civil. Pour prospérer, il faudra donc démontrer l’existence d’une faute, d’un préjudice et d’un lien de causalité entre les deux.

 

Dans l’affaire précédemment évoquée, une toute jeune société de vente en ligne de vêtements pour enfant avait reproduit et utilisé sur son site Internet les conditions générales de ventes de la société plus connue vente-privée.com.

 

Déboutée sur le terrain de la contrefaçon, la société vente-privée.com avait subsidiairement fait valoir que de tels agissements étaient, à tout le moins, constitutifs d’un parasitisme économique. En effet, cette reproduction des conditions générales de vente avait permis à sa concurrente de faire l’économie des services juridiques d’un avocat.

 

La Cour a suivi la société vente-privée.com sur ce terrain, en considérant que parmi les investissements que la société avait réalisés afin d’assurer sa crédibilité et son succès, figurait l’élaboration des conditions générales de vente.  Dès lors leur reproduction sans autorisation était bel et bien constitutive d’un acte de parasitisme économique. La concurrente a été condamnée à lui verser 10 000 euros de dommages et intérêts.

 

2.    La législation applicable en matière de vente en ligne

 

Outre le risque juridique attaché à l’utilisation du travail d’autrui, les conditions générales de vente en ligne doivent répondre à la réglementation en vigueur et éviter l’écueil de reproduire des clauses jugées abusives dans les rapports entre professionnels et consommateurs.

2.1 L’écueil des clauses abusives

Par clauses abusives, on entend, « dans les contrats conclus entre professionnels et non professionnels ou consommateurs, les clauses qui ont pour objet ou pour effet de créer, au détriment du non professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat » (article L 132-1 du Code de la Consommation).

Or, les conditions générales de vente en ligne de sociétés renommées ne sont pas dénuées de telles clauses.

 

 A titre d’exemple, la société CDiscount a été attraite devant les tribunaux par l’association de défense des consommateurs, l’UFC que choisir, pour que le caractère abusif de certaines clauses soit reconnu et sanctionné.

 

CDiscount a été condamnée, entre autres choses, à modifier ses conditions générales de vente, et, à payer à l’association, en réparation de l’atteinte portée à l’intérêt collectif des consommateurs, la somme de 20 000 € à titre de dommages et intérêts (Tribunal de grande instance de Bordeaux, 1ère chambre civile, du 11 mars 2008).

 

Tel fût également le sort de la société Amazone.com qui fût elle-même condamnée à payer 30 000 euros de dommages et intérêts (Tribunal de grande instance de Paris 1ère chambre, section sociale Jugement du 28 octobre 2008)

 

Copier servilement les conditions générales de vente d’une société connue n’est ainsi nullement le gage de leur validité juridique.. D’ailleurs la législation en la matière est bien fournie et mérite une attention particulière.

 

2.2 La réglementation applicable

Les commerçants proposant la vente de biens ou services au moyen d’un magasin virtuel accessible par réseau de communication (site e-commerce) sont soumis à une réglementation bien précise :

 

·          aux dispositions légales de droit commun applicables aux relations d’affaires, lesquelles dépendent notamment de la qualité du cocontractant (professionnel ou consommateur). Il s’agit plus particulièrement des dispositions générales du Code du commerce, du Code civil, et du code de la consommation. Notamment le cybercommerçant est tenu de s’immatriculer au registre du commerce et des sociétés ou au répertoire des métiers. A défaut, il se rend coupable de travail dissimulé (TGI Mulhouse, jugement correctionnel du 12 janvier 2006, Ministère public c/ Marc W);

 

 

 

 

 

  • aux règles issues de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, en cas de traitement de données à caractère personnel, comme c’est généralement le cas lors d’une vente en ligne,

 

  • aux règles spécifiques au commerce électronique c’est-à-dire plus précisément :

 

§         la loi n°2004-575 du 21 juin 2004 sur la confiance dans l’économie numérique transposant la directive « commerce électronique » n°2000/31/CE du 8 juin 2000,

 

§         l’ordonnance ayant transposé les directives européennes sur la vente à distance et le démarchage à domicile (ordonnance n°2001-741 du 23 août 2001).

 

Ces textes ont été transposés dans les codes précités.

 

·          la Loi Chatel, adoptée le 20 décembre 2007, qui contient des dispositions spécifiques à la vente à distance et au commerce électronique qui sont entrées en vigueur  le 1er juin 2008.

 

Pour un certain nombre des textes applicables, leur non-respect est sanctionné pénalement.

 

3.    Conclusion

 

Si les investissements financiers paraissent parfois importants, les risques juridiques, liés au non-respect de la réglementation en matière de vente en ligne et à la compilation du travail d’un concurrent devraient être, quant à eux, dissuasifs …

 

Diane WALON-TOUSSAINT

Avocat 

dwalon@winlex.fr

 

La cybercriminalité : Point sur la situation

mardi 20 janvier 2009 par : admin

Lido decembre 2008Lors de notre rendez vous ‘ les rencontres des DSI’ du 9 décembre 2008 nous avons eu l’honneur et le privilège d’accueillir l’adjudant de Gendarmerie Vincent Lemoine en charge des affaires de cybercriminalité au sein de la brigade des hauts de seine . M.Lemoine nous a fait partager son expérience et tenter de nous éclairer sur les différentes formes que peut prendre la cybercriminalité . La hausse de l’utilisation de l’internet  dans les foyers français et internationaux , attire son lot d’escrocs en tout genre et évidemment la pornographie, les arnaqueurs , les contre-façons etc .. Personne n’est à l’abri de ce genre d’arnaque . En tant que DSI et chargé des affaires de sécurité pour nos entreprises comme pour les personnes morales qui les composent , ce type d’exposé nous a tenu en haleine pendant plus d’une heure!

Comme je suis certaine que nous n’avons tout retenu de ce discours passionnant fait par un adjudant loquace et quelque peu taquin , je vous invite à revoir la présentation en cliquant sur le lien suivant : présentation Cybercriminalité Vous trouverez également dans cette présentation les coordonnées de M.Lemoine qui se fera un plaisir de vous répondre si vous le sollicitez .

Lido decembre 2008Le lieu choisi pour cette rencontre était également un lieu privilégié puisque nous étions dans les salons privés du célèbre cabaret parisien ‘Le Lido ‘ …

Quelle belle soirée de fin d’année !

Voici quelques photos de la rencontre ( pour le spectacle c’est interdit … )

Lido decembre 2008Lido decembre 2008