Voici la liste des articles publiés par notre cabinet.


Le respect de la nouvelle règlementation relative à la protection des données à caractère personnel induit la mise en place de nouvelles méthodes de travail, y compris  au sein de l’administration.

 

C’est ainsi que le ministère de l’Economie et des Finances a intégré au formulaire de déclaration de sous-traitance utilisé dans le cadre des procédures de passation de marchés publics une rubrique dédiée aux obligations pesant sur le sous-traitant de données personnelles.

 

Par une convention signée avec la CNIL le 5 décembre dernier, le ministre de l’Education nationale et de la Jeunesse s’est engagé à intégrer la protection des données personnelles dans les usages numériques de l’éducation, notamment par des actions de sensibilisation et de responsabilisation.

 

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), quant à elle, a récemment renouvelé le partenariat qu’elle avait signé avec la CNIL dès 2011 de sorte à envisager la mise en place de dispositifs adaptés à la protection du consommateur face à ses nouvelles habitudes d’achats telles que le commerce électronique.

 

Enfin, la Conférence des présidents d’université (CPU) et la CNIL ont également renouvelé leur partenariat de soutien aux délégués à la protection des données à caractère personnel par lequel elles se sont engagées à  des actions de sensibilisation conjointes auprès des universités, telles que le développement de formations diplômantes dédiées à cette thématique dans les cursus d’enseignement supérieur ou le soutien au développement de travaux de recherche dans ce secteur.

 

La mise en conformité au RGPD implique pour chaque responsable de traitement de la sphère publique ou privée, au-delà du respect des principes fondamentaux du nouveau dispositif, de reconsidérer et de s’interroger de manière pragmatique sur son organisation et son fonctionnement.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance



Pour l’autorité de la concurrence allemande, la pratique consistant pour Facebook à agréger autour des profils de ses utilisateurs les données collectées à partir d’autres services de la même société, tels que WhatsApp et Instagram, et à partir de sites tiers, sans donner d’informations claires à l’utilisateur ni recueillir son consentement explicite, caractérise un abus de position dominante sur le marché des réseaux sociaux.

 

 

Le Bundeskartellamt, l’Autorité de la concurrence allemande, a publié le 7 février 2019 une décision par laquelle elle considère que Facebook détient une position dominante sur le marché allemand des réseaux sociaux et que les conditions dans lesquelles celui-ci collecte et utilise les données de ses utilisateurs constituent une exploitation abusive de cette position dominante.

 

En conséquence, elle enjoint Facebook de modifier dans un délai de 4 mois ses pratiques de collecte des données personnelles de ses utilisateurs et de recueil de leur consentement, ainsi que les modalités techniques d’agrégation et d’exploitation de ces données.

 

Que la position de Facebook sur le marché allemand des réseaux sociaux soit qualifiée de dominante par le Bundeskartellamt n’a rien d’étonnant. A cet égard, l’enquête menée pendant trois ans par l’autorité de la concurrence allemande a permis d’établir que Facebook détient une part de marché des réseaux sociaux allemands d’au moins 90 %, avec 32 millions d’utilisateurs chaque mois, dont 23 millions qui se connectent au réseau chaque jour. A cela s’ajoute le fait que le groupe Facebook, considéré dans son ensemble, dispose d’un pouvoir de marché significatif.

 

Une exploitation abusive caractérisée par la violation des règles relatives aux données personnelles

 

En revanche, la caractérisation de l’exploitation abusive par référence aux règles applicables aux données personnelles peut apparaître plus surprenante. Cette démarche avait toutefois été annoncée dans une étude conjointe de l’Autorité de la concurrence française et du Bundeskartellamt sur les données et leurs enjeux pour l’application du droit de la concurrence, publiée en mai 2016.

 

Dans sa décision, le Bundeskartellamt relève que Facebook, par sa position dominante :

  • est en mesure d’imposer à l’utilisateur des conditions d’utilisation du son service qui lui permettent de collecter les données de l’utilisateur non seulement via le service Facebook lui-même, mais encore via les services WhatsApp et Instagram, appartenant au même groupe, et sur des sites tiers ayant recours à « Facebook Analytics » ou aux boutons « J’aime » ou « Je partage » ;

  • et d’agréger l’ensemble de ces données dans le compte Facebook de l’utilisateur en vue de leur exploitation la plus large ;

  • sans que l’utilisateur ne dispose d’une information suffisante sur la collecte et l’utilisation de ses données et ne donne son consentement à aucune d’elles, celui-ci se voyant imposer soit d’accepter en bloc les conditions, soit de renoncer au service sans disposer sur le marché d’une solution de substitution comparable.

Dans ce contexte, le fait de ne pas informer les utilisateurs allemands ou de leur imposer, selon les cas, la collecte et la cession illimitée de leurs données personnelles collectées à partir des services Facebook, WhatsApp et Instagram ou de tout autre site internet intégrant des boutons « J’aime », constitue un abus de position dominante qui fausse le jeu de la concurrence.

Le Bundeskartellamt considère en effet que ces pratiques caractérisent l’exploitation abusive de sa position dominante :

  • au détriment de l’utilisateur du service, qui se voit dépossédé de ses données sans même en avoir conscience,
  • en ce qu’elles empêchent l’émergence de concurrents sur le marché des réseaux sociaux,
  • en ce qu’elles affectent le marché de la publicité sur les réseaux sociaux.

En conséquence, l’autorité allemande demande à Facebook de mettre en place les mesures suivantes dans un délai de 4 mois:

  • pour ce qui concerne les services qui appartiennent au groupe : ne fusionner dans le compte Facebook de l’utilisateur l’ensemble des donnée collectées sur ces services que sur la base du consentement explicite de l’utilisateur ; à défaut d’un tel consentement, cantonner les données collectées au seul service sur lequel elles ont été collectées ;

  • pour ce qui concerne la collecte de données sur des services tiers : collecte et fusion avec les données du compte Facebook uniquement sur la base d’un consentement explicite.

 

Par les mesures ordonnées, l’autorité de la concurrence allemande cherche d’abord à rétablir le fonctionnement normal du marché. Elle n’exclut toutefois pas d’imposer des sanctions pécuniaires, parmi lesquelles une amende pouvant atteindre 10 % du chiffre d’affaires annuel, à défaut d’exécution de sa décision par Facebook.

 

Cette décision n’empêche évidemment pas l’autorité allemande chargées des données personnelles de se saisir à son tour de cette question.

 

Cette décision intervient peu de temps après l’annonce par Mark Zuckerberg du projet de fusion des différentes messageries instantanées disponibles à partir de Facebook, WhatsApp et Instagram. Ce projet de rapprochement, déjà sous haute surveillance, devra désormais être mené à la lumière de la décision présente.

 

Jean-Christophe Ienné, avocat, directeur des pôles Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet et Mathieu Vincens, juriste



Les dérives de projets informatiques ne sont malheureusement pas rares.

Souvent liées à des problématiques de définition du périmètre initial, de retards, de mobilisation des équipes, ou encore de difficultés techniques, elles peuvent s’avérer inextricables et conduire à une rupture de la relation contractuelle.

Le juge saisi doit alors apprécier la situation sous l’angle  factuel, afin de déterminer les éventuelles fautes contractuelles de chacun permettant de trancher le litige.

C’est l’exercice effectué par la cour d’appel d’Amiens dans un arrêt du 13 décembre 2018.

Dans cette affaire, la société X souhaite mettre en place un nouveau système d’information pour son processus industriel de fabrication et de production.

Elle conclut à cette fin avec la société Z, prestataire de services, plusieurs contrats concernant : l’analyse du projet, l’’intégration de logiciels,  et l’assistance à maîtrise d’ouvrage.

Le contrat d’intégration de logiciels  prévoit la réalisation de prestations dans le cadre d’un forfait financier.

Rencontrant des difficultés d’exécution, le prestataire engage des négociations au motif notamment de modification du périmètre initial du projet.

 L’avenant qui aurait dû formaliser ces modifications n’a pas été signé.

A la suite d’une analyse détaillée de la relation au cours du projet, la Cour d’Appel précise que :

 

« la société Z fait valoir que sa cliente ne pouvait s’opposer à une augmentation du prix au cours de l’exécution du contrat dans la mesure où le contrat prévoyait une possibilité de modification en fonction des prestations supplémentaires demandées par le client. (….)

Pour autant, ainsi que le souligne à juste titre la société Z, un désaccord sur une augmentation du périmètre initial, ne pouvait avoir d’autre incidence que de maintenir les parties dans le lien contractuel initial, aucune d’elles ne pouvant imposer à l’autre une extension de périmètre.

Or, dans un courrier du 30 novembre 2012, la société Z a clairement conditionné la poursuite de l’exécution du contrat initial à la signature d’un engagement de la société X de payer un prix supplémentaire de 1 6000 000 euros HT (….), la société Z n’allègue pourtant pas ni ne démontre que les prestations supplémentaires envisagées étaient indispensables à l’exécution du contrat initial ; le ferait-elle, il lui appartiendrait de s’expliquer sur le fait que ces prestations nécessaires n’étaient pas incluses dans le marché à forfait, indépendamment de la complexité réelle du projet d’intégration d’un nouveau système d’exploitation qu’elle était à même d’anticiper grâce à son expérience et aux missions déjà exécutées pour la société X.

(…)
Enfin, il ressort sans ambiguïté de la présentation faite par la société Z à sa client le 1er octobre 2012 que l’augmentation des prix des prestations souhaitée par le prestataire résultait pour sa plus grande part d’un coût d’exécution des prestations initialement promises (…) significativement plus important que la base sur laquelle elle avait proposé un prix forfaitaire. »

 

La cour d’appel en conclut : « Dans ces circonstances, le fait de conditionner la poursuite de ses prestations à un accord sur un prix complémentaire de 1 600 000 euros HT n’était pas justifié par les termes du contrat ; il constituait au contraire une faute en ce qu’il contrevenait au caractère forfaitaire de l’accord initial. »

 

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité


Les clauses de garantie des frais de justice en cas d’action en contrefaçon sont un grand classique des contrats informatiques.


Par un arrêt récent du 9 janvier 2019, la Cour de cassation apporte un éclairage sur la portée des termes contractuels utilisés, dans l’hypothèse où une procédure judiciaire en matière de contrefaçon est engagée mais qu’aucune contrefaçon n’est finalement retenue par les tribunaux.

Dès lors, les parties ayant engagé des frais dans le cadre de la procédure infructueuse peuvent-elles obtenir le remboursement de leur frais sur le fondement d’une clause de garantie contractuelle ?

Dans l’affaire en cause, trois sociétés ont conclu un contrat de collaboration dans le cadre d’un appel d’offres.

Classiquement ce contrat comportait une clause prévoyant l’obligation pour les sociétés de rembourser les frais de justice exposés par l’une d’entre elles en cas d’action en contrefaçon en les termes suivants :

"L’Agence indemnisera et tiendra le Client quitte et indemne de tout dommage direct ou indirect raisonnable, coûts et dépenses résultant de toute (alléguée ou autre) contrefaçon de droits de propriété intellectuelle d’une tierce partie qui découlerait de la réalisation des Services."

 

Deux individus, tierces parties au contrat, ont assigné en paiement de dommages-intérêts les sociétés susvisées en réparation aux actes de contrefaçon de droits d’auteur et d’actes de concurrence déloyale et parasitaire dont ils s’estiment victimes. Leur demande est déclarée irrecevable par les juridictions.

Dès lors, l’une des sociétés a invoqué la clause précitée pour obtenir le remboursement les frais de justice engagés.

La Cour d’Appel a débouté ladite société de sa demande en considérant que

 

"le fait générateur de l’obligation de garantie à la charge de G. et de la société M. ne peut être que l’existence d’une contrefaçon de droits de propriété intellectuelle d’une tierce partie qui découlerait de la réalisation des services et qu’en conséquence, cette obligation de garantie n’est pas systématiquement due, quel que soit le résultat d’une action en contrefaçon […]".

 

La cour d’appel précise que l’irrecevabilité de l’action en contrefaçon des demandeurs ne permet pas à la société Q de se prévaloir de l’obligation de garantie imputable aux sociétés G et M.

La Cour de cassation n’a pas retenu cette analyse et considère que :

  • l’article 1192 du Code civil dispose qu’ "On ne peut interpréter les clauses claires et précises à peine de dénaturation".
  • la cour d’appel a dénaturé les termes clairs et précis du contrat dès lors que "l’article 18.8 du contrat stipulait que la garantie était due en cas de contrefaçon alléguée et ne distinguait pas selon que l’allégation de contrefaçon était rejetée au fond ou déclarée irrecevable".

La Cour de Cassation confirme ainsi l’application stricte des règles d’interprétation des contrats.

Aussi nous recommandons de ne jamais oublier que la sécurisation  contractuelle  de vos projets, de vos droits et des obligations de votre partenaire, passe nécessairement par  une rédaction précise et claire des clauses de vos contrats !

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité


Nouvelle étape pour le renforcement des capacités de détection des attaques informatiques en France, le décret d’application des dispositions de la LPM en la matière est entrée en vigueur le 1er janvier 2019


Le Décret du 13 décembre 2018, pris pour l'application de l'article L. 2321-2-1 du Code de la défense et de l’article L. 33-14 du Code des postes et des communications électroniques, est entrée en vigueur au 1er janvier 2019 en matière de cybersécurité.

Il concerne la prévention des menaces affectant la sécurité des systèmes d’information.

Pour mémoire, la loi relative à la programmation militaire pour les années 2019 - 2025 du 13 juillet 2018 a créé des dispositions relatives au renforcement des capacités de détection des attaques informatiques, à savoir notamment :

  • l’article L. 33-14 du Code des postes et communications électroniques disposant que « pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs de communications électroniques   peuvent recourir, sur les réseaux de communications électroniques [1] qu'ils exploitent, après en avoir informé l'Autorité nationale de sécurité des systèmes d'information, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. (….)
    Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs de communications électroniques en informent sans délai l'Autorité nationale de sécurité des systèmes d'information. »

  • l’article L. 2321-2-1 du Code de la défense permettant à l'Autorité nationale de sécurité des systèmes d'information (ANSSI), lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information de certains acteurs (autorités publiques, opérateurs d’importance vital, opérateurs de services essentiels), d’instaurer « des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information » desdits acteurs.

    Faire obstacle à la mise en œuvre desdits dispositifs est sanctionné pénalement.

Le décret précise les modalités d’application de ces textes  sur le plan technique et définit donc :

a) Les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d'échange entre ces opérateurs et l'ANSSI.

Les opérateurs ont l’obligation de communiquer à l’ANSSI une documentation qui décrit pour chaque dispositif :

« 1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d'être exploités par ce dispositif ;

« 2° Les capacités d'analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d'échantillonnage des flux de données analysés ainsi que la fréquence d'analyse ;

« 3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d'information ;

« 4° Les catégories de données susceptibles d'être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l'article L. 33-14. »

Lorsque l’utilisation d’un marqueur est à l’origine d’une alerte pour la sécurité des systèmes d’information d’un abonné, la durée de conservation des données techniques est de 6 mois maximum.

Les marqueurs techniques exploités par les dispositifs sont des :

« éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace. »


Les opérateurs sont autorisés à conserver les données suivantes, lorsqu'elles sont associées à une alerte et à l'exclusion du contenu des correspondances échangées :

« 1° Les données techniques permettant d'identifier l'origine de la communication et l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté ;

« 2° Les données techniques relatives à l'acheminement de la communication par un réseau de communications électroniques, notamment le routage et le protocole utilisé ;

« 3° Les données techniques relatives aux équipements terminaux de communication concernés ;

« 4° Les caractéristiques techniques ainsi que la date, l'horaire, le volume et la durée de chaque communication ;

« 5° Les données techniques relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne ;

« 6° Les caractéristiques techniques ainsi que la date et l'horaire de l'alerte dont l'utilisation des marqueurs techniques est à l'origine.

« La conservation de ces données est limitée au temps strictement nécessaire à la prévention et à la caractérisation des événements susceptibles d'affecter la sécurité des systèmes d'information des abonnés sans excéder six mois. »

Lorsque l’utilisation de marqueurs fournis par l’ANSSI  est à l’origine d’une alerte, l’opérateur doit en informer sans délai l’ANSSI l’autorité.  

Les opérateurs ont une obligation d’information envers leurs abonnés concernant les vulnérabilités de leurs systèmes d’information ou des atteintes subies par ces systèmes.

b)    les conditions selon lesquelles l'ANSSI peut mettre en œuvre sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un hébergeur, des dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et de certains opérateurs.

L’ANSSI doit notifier aux acteurs concernés sa décision de mettre en place des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques.

Cette notification est accompagnée « d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. Il prévoit, le cas échéant, une phase de test préalable sur les réseaux ou systèmes d'information concernés. »

Les dispositifs sont mis en œuvre « pour une période maximale de trois mois, prorogeable en cas de persistance de la menace et dans cette limite. Toute prorogation fait l'objet d'une décision de l'Agence nationale de la sécurité des systèmes d'information » et doit être communiquée à l’Autorité de régulation des communications électroniques et des postes (ARCEP).

 

[1] L’article L. 32 du Code des postes et des communications électroniques définit un opérateur comme suit : « On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. »

Marine Hardy, avocate, responsable des pôles Innovations et Sécurité