avril 2008

DELIBERATION N°2005-112 DU 7 JUIN 2005 PORTANT CREATION D’UNE NORME SIMPLIFIEE CONCERNANT LES TRAITEMENTS AUTOMATISES DE DONNEES A CARACTERE PERSONNEL RELATIFS A LA GESTION DES FICHIERS DE CLIENTS ET DE PROSPECTS ET PORTANT ABROGATION DES NORMES SIMPLIFIEES 11, 17 et 25 (NORME SIMPLIFIEE N° 48) J.O n° 149 du 28 juin 2005, texte n°44 – NOR: CNIX0508529X La Commission nationale de l’informatique et des libertés, Vu la convention n°108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique ; Vu le code des postes et des communications électroniques et notamment son article L.34-5 ; Vu le code de la consommation et notamment ses articles L.121-20-5 et L.134-2; Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment son article 24 ; Vu les délibérations n°80-021 du 24 juin 1980, n°81-16 du 17 février 1981 et n°81-117 du 1er décembre 1981 modifiées respectivement par les délibérations n°96-101, n°96-102 et n°96-103 du 19 novembre 1996 (normes simplifiées 11, 17 et 25) ; Après avoir entendu M. Bernard Peyrat, commissaire, en son rapport et Mme Charlotte Marie Pitrat, commissaire adjoint du Gouvernement, en ses observations ; Formule les observations suivantes : En vertu de l’article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l’informatique et des libertés est habilitée à établir des normes destinées à simplifier l’obligation de déclaration des traitements les plus courants et dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés. Les traitements informatisés relatifs à la gestion des fichiers de clients et de prospects sont de ceux qui peuvent, sous certaines conditions, relever de cette définition. La Commission a adopté plusieurs normes simplifiées relatives à la gestion des fichiers de clients et de prospects, à savoir la norme simplifiée n°11 relative à la gestion des clients actuels et potentiels, la norme simplifiée n°17 concernant la gestion des fichiers de clientèle des entreprises dont l’objet social inclut la vente par correspondance et la norme simplifiée n°25 concernant la gestion des fichiers de destinataires d’une publication périodique de presse. Ces normes simplifiées ont fait l’objet d’une modification en 1996 afin d’envisager la collecte de données par des supports télématiques. En raison de l’utilisation de plus en plus courante de l’internet, il est apparu nécessaire d’adopter une nouvelle norme simplifiée envisageant la collecte de données par internet ainsi que la prospection par voie électronique. Cette norme regroupe dans son champ d’application les traitements relevant des normes n°11, 17 et 25. Elle permet aux responsables de traitement d’effectuer une déclaration simplifiée, dans les conditions qu’elle précise, pour les traitements relatifs aux personnes avec lesquelles des relations contractuelles sont nouées, les clients, et les clients potentiels, simples prospects, à l’exclusion de ceux mis en œuvre par les établissements bancaires ou assimilés, les entreprises d’assurances, de santé et d’éducation. Décide : Article 1ER Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion des fichiers de clients et de prospects qui répond aux conditions suivantes. Article 2 : Finalités des traitements Le traitement peut avoir tout ou partie des finalités suivantes : – effectuer les opérations relatives à la gestion des clients concernant : · les contrats ; · les commandes ; · les livraisons ; · les factures ; · la comptabilité et en particulier la gestion des comptes clients ; · la gestion d’un programme de fidélité à l’exclusion des programmes communs à plusieurs sociétés ; – effectuer des opérations relatives à la prospection : · constitution et gestion d’un fichier de prospects (ce qui inclut notamment les opérations techniques comme la normalisation, l’enrichissement et la déduplication) ; · la sélection de clients pour réaliser des actions de prospection et de promotion ; · la cession, la location ou l’échange du fichier de clients et de prospects ; · l’élaboration de statistiques commerciales ; · l’envoi de sollicitations. Article 3 : Données traitées Les données susceptibles d’être traitées pour la réalisation des finalités décrites à l’article 2 sont : · l’identité : nom, prénoms, adresse, numéro de téléphone (fixe ou mobile), numéro de télécopie, adresse de courrier électronique, date de naissance, code interne de traitement permettant l’identification du client (ce code interne de traitement ne peut être le numéro d’inscription au répertoire national d’identification des personnes physiques, du numéro de sécurité sociale et du numéro de carte de bancaire) ; · les données relatives aux moyens de paiement : relevé d’identité postale ou bancaire, numéro de la transaction, numéro de chèque, numéro de carte bancaire ; · la situation familiale, économique et financière : nombre et âge du ou des enfant(s) au foyer, profession, domaine d’activité, catégorie socio-professionnelle ; · les données relatives à la relation commerciale : demandes de documentation, demandes d’essai, produit acheté, service ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats, retour des produits, origine de la vente (vendeur, représentant) ou de la commande, correspondances avec le client et service-après-vente ; · les données relatives aux règlements des factures : modalités de règlements, remises consenties, informations relatives aux crédits souscrits (montant et durée, nom de l’organisme prêteur), reçus, impayés, relances, soldes. Article 4 : L’utilisation d’un service de communication au public en ligne La présente norme s’applique dans le cas où est utilisé un service de communication au public en ligne pour réaliser les finalités définies à

Cour de cassation – Chambre sociale Arrêt du 17 mai 2005 M. Philippe X… c/ société Cathnet-Science anciennement dénommée Nycomed Amersham Medical Systems Cassation Décision attaquée : cour d’appel de Paris, arrêt du 6 novembre 2002 ___________________________________________________________________________ Sources : Références au greffe : – Arrêt n°1089 – Pourvoi n°03-40.017 Références de publication : – http://www.courdecassation.fr/ – http://www.legifrance.gouv.fr ___________________________________________________________________________ La décision : Cour de cassation – Chambre sociale Arrêt du 17 mai 2005 Cassation Sur le moyen unique : Vu les articles 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, 9 du Code civil, 9 du nouveau Code de procédure civile et L. 120-2 du Code du travail ; Attendu, selon l’arrêt attaqué, que M. X…, engagé comme dessinateur le 23 octobre 1995 par la société Nycomed Amersham Medical Systems dénommée désormais Cathnet-Science, a été licencié pour faute grave le 3 août 1999 au motif qu’à la suite de la découverte de photos érotiques dans un tiroir de son bureau, il avait été procédé à une recherche sur le disque dur de son ordinateur qui avait permis de trouver un ensemble de dossiers totalement étrangers à ses fonctions figurant notamment sous un fichier intitulé “perso” ; Attendu que pour dire que le licenciement reposait sur une faute grave, la cour d’appel énonce qu’il apparaît en l’espèce que l’employeur lorsqu’il a ouvert les fichiers de l’ordinateur du salarié, ne l’a pas fait dans le cadre d’un contrôle systématique qui aurait été effectué en son absence et alors qu’un tel contrôle n’était permis ni par le contrat de travail, ni par le règlement intérieur, mais bien à l’occasion de la découverte des photos érotiques n’ayant aucun lien avec l’activité de M. X…, ce qui constituait des circonstances exceptionnelles l’autorisant à contrôler le contenu du disque dur de l’ordinateur, étant rappelé que l’accès à ce disque dur était libre, aucun code personnel n’ayant été attribué au salarié pour empêcher toute autre personne que son utilisateur d’ouvrir les fichiers ; Attendu, cependant, que, sauf risque ou événement particulier, l’employeur ne peut ouvrir les fichiers identifiés par le salarié comme personnels contenus sur le disque dur de l’ordinateur mis à sa disposition qu’en présence de ce dernier ou celui-ci dûment appelé ; Qu’en statuant comme elle l’a fait, alors que l’ouverture des fichiers personnels, effectuée hors la présence de l’intéressé, n’était justifiée par aucun risque ou événement particulier, la cour d’appel a violé les textes susvisés ; PAR CES MOTIFS : CASSE ET ANNULE, dans toutes ses dispositions, l’arrêt rendu le 6 novembre 2002, entre les parties, par la cour d’appel de Paris ; remet, en conséquence, la cause et les parties dans l’état où elles se trouvaient avant ledit arrêt et, pour être fait droit, les renvoie devant la cour d’appel de Versailles ; ——————————————————————————– Président : M. Sargos Rapporteur : Mme Slove, conseiller référendaire Avocat général : M. Duplat Avocat(s) : la SCP Masse-Dessen et Thouvenin ___________________________________________________________________________

L’ordonnance du 4 novembre 2004 L’ordonnance du 4 novembre 2004 et la modernisation du droit de la concurrence L’article

Informatique et concurrence Distribution informatique et abus de dépendance économique L’article

Internet et concurrence ADSL, fin de la première manche L’article

Informatique et libertés Correspondant à la protection des données Le dispositif du correspondant informatique et libertés enfin dévoilé Le décret d’application, très attendu par la Commission nationale de l’Informatique et des libertés (Cnil) vient d’être adopté le 20 octobre 2005. Il achève ainsi la mise en place d’un dispositif global introduit par le législateur en août 2004. S’agissant de la désignation d’un correspondant à la protection des données à caractère personnel (CIL) « externe » (disposition très attendue par les petites structures comme les collectivités locales), il instaure un seuil à l’intérieur duquel un organisme peut uniquement désigner un correspondant interne (50 personnes chargées de la mise en oeuvre ou ayant directement accès aux traitements concernés) et au-delà, la possibilité d’optimiser la désignation d’un correspondant notamment dans le cadre d’organismes professionnels ou regroupant des responsables de traitements. Cette disposition devrait permettre aux petites collectivités de se regrouper pour externaliser le recrutement du correspondant. Outre ces dispositions, le décret fixe les règles ayant trait au fonctionnement et à l’organisation de la Cnil et fige définitivement le processus décisionnel applicable devant la Cnil en cas de prononcé de sanctions administratives ou financières. Décret n° 2005-1309 du 20 octobre 2005 Le correspondant à la protection des données à caractère personnel : un maillon important de la réforme L’Allemagne, nation pionnière avec la France en matière de protection de la vie privée, avait mis en oeuvre un tel système permettant de porter au coeur des organismes gestionnaires de grands fichiers la nécessité d’établir un équilibre stable entre le développement des usages nominatifs des données informatisées et le respect de l’intimité binaire…. Le texte Le correspondant à la protection des données à caractère personnel Alain Bensoussan Avocat alain-bensoussan@lexing.law Article paru dans la Gazette du Palais n° 284 à 286 du 10 au 12 octobre 2004. La charge des correspondants CNIL Les correspondants CNIL allègent les formalités et véhiculent la culture  » informatique et libertés  » dans les entreprises ou les administrations. Une tâche qui requiert nombre de qualités… Le texte Les correspondants CNIL Chloé Torres Avocat chloe-torres@lexing.law Le cabinet Alain Bensoussan est membre de l’AFCDP – Association française des correspondants à la protection des données à caractère personnel.

Infrastructures Essentielles Logiciels : les limites des droits d’auteur Un arrêt du 12 juillet 2005 rappelle que les circonstances dans lesquelles le droit de la concurrence fait céder le droit d’auteur sont exceptionnelles. L’affaire avait fait grand bruit : le Conseil de la concurrence avait enjoint à titre conservatoire aux Nouvelles Messageries de la Presse Parisienne (NMPP), le 22 décembre 2003, d’accorder à leurs concurrents, les Messageries Lyonnaises de Presse (MLP), un accès à certaines fonctionnalités de leur logiciel Presse 2000. Approuvé en cela par la cour d’appel de Paris, il avait considéré que ce logiciel, qui gère la transmission des informations entre messageries de presse, dépositaires de presse et diffuseurs de presse, était indispensable à l’activité des MLP, notamment en raison de son caractère non reproductible. En conséquence, le refus par les NMPP d’y donner accès était susceptible de constituer un abus de position dominante. La décision du Conseil était fondée sur la théorie dite des « infrastructures essentielles » issue du droit anglo-saxon, qui vise à contraindre une entreprise en position dominante, détentrice d’une ressource rare et non reproductible de façon raisonnable, à en accorder l’accès à ses concurrents si elle est indispensable à leur activité. Avant cette décision, le Conseil de la concurrence tout comme la Commission européenne avait déjà enjoint à des opérateurs en position dominante d’accorder l’accès à des infrastructures physiques indispensables à l’activité de leurs concurrents. S’agissant d’un port, d’un aéroport ou encore des infrastructures de France Télécom (pour permettre l’entrée de nouveaux opérateurs du câble ou de fournisseurs d’accès à Internet), nul ne s’était indigné. Mais pouvait-on forcer un opérateur en position dominante à accorder une licence à ses concurrents sur une marque, un brevet ou des éléments protégés par le droit d’auteur ? Des amendes record Les autorités françaises et communautaires de concurrence n’ont pas hésité à le faire. La Commission européenne n’a ainsi pas hésité à infliger 497 millions d’euros d’amende à Microsoft, notamment pour avoir refusé de fournir à ses concurrents des informations protégées par le droit d’auteur leur permettant d’assurer l’interopérabilité de leurs produits avec Windows. La Cour de justice des Communautés européennes n’a pas davantage hésité à définir les conditions dans lesquelles l’accès à la base de données de la société IMS Health protégée par le droit d’auteur devait être accordé. Enfin, parmi les cas les plus marquants, l’amende de 60 millions d’euros infligée le 15 juin dernier par la Commission à AstraZeneca était fondée bien que les pratiques reprochées soient différentes sur l’exploitation abusive d’un brevet par ce laboratoire. En France, le Conseil de la concurrence n’est pas en reste. Qu’il s’agisse de la marque Numéro Vert de France Télécom ou du logiciel Presse 2000 des NMPP, il n’a pas hésité à faire application du droit de la concurrence pour limiter les droits du titulaire de la marque ou des droits d’auteur. L’arrêt de la Cour de cassation du 12 juillet 2005 vient rappeler que les circonstances dans lesquelles le droit de la concurrence peut faire céder le droit d’auteur doivent rester exceptionnelles, à l’instar de ce que jugent les autorités communautaires de concurrence (notamment dans l’arrêt Oscar Bronner du 26 novembre 1998). En effet, une telle atteinte au droit d’auteur ne peut être justifiée que si les droits en cause sont indispensables à l’activité des concurrents, et s’il n’existe pas de solution alternative économiquement raisonnable. Dans l’affaire des NMPP, le Conseil de la concurrence avait estimé que tel était le cas, compte tenu des particularités du contexte concurrentiel. Notamment, l’implantation d’un logiciel concurrent développé par les MLP lui semblait irréaliste, compte tenu de l’attachement des dépositaires de presse à un système informatique unique. La Cour de cassation vient de rejeter cette approche qui, bien que pragmatique, aurait pu donner lieu à des dérives. Désormais, il conviendra de démontrer l’absence de solutions alternatives économiquement raisonnables, « fussent-elles moins avantageuses ». En d’autres termes, une licence « forcée » ne peut être octroyée que si le refus d’accès au droit de propriété intellectuelle conduit à exclure purement et simplement un concurrent du marché.

Trophée d’Or Droit des Technologies de l’information 2005 A l’occasion de la IVème édition des Trophées du droit et du contentieux qui s’est tenue le 2 juin 2005 au Concorde Lafayette Paris, le cabinet ALAIN BENSOUSSAN a reçu dans la catégorie  » Trophée Droit des Technologies de l’information « , le Trophée d’or 2005 qui récompense la meilleure équipe spécialisée dans ce domaine. Le jury s’est prononcé sur les travaux du cabinet entre 2002 et 2004 et notamment des affaires complexes qui ont demandé une grande créativité et beaucoup d’innovation. Il s’est également prononcé sur la manière dont le cabinet a accompagné trois innovations majeures compte tenu de leur impact et de leur pérennité et des problèmes qu’elles ont permis de résoudre. Ce trophée est la récompense d’une équipe compétente et soudée. Il représente également un long partenariat avec nos clients que nous tenions à remercier vivement. Trophée d’Or Droit des Technologies de l’information 2005  

Interview Camille Darnaud-Dufour Vice Présidente, Communications Soc. Soitec (*)

Flash Info Projet de loi DADVSI : Absence totale de consensus ! Au moment même où le projet de loi relatif au droit d’auteur et aux droits voisins dans la société de l’information est en passe d’être adopté, sortent diverses contributions toutes plus intéressantes les unes que les autres. Rappelons que l’actuelle version du projet de loi autoriserait les industriels à contrôler l’usage des contenus par des dispositifs techniques. Le Conseil Supérieur de la Propriété Littéraire et Artistique (CSPLA) publie deux avis ainsi que la version définitive de son rapport très attendu, sur la distribution des oeuvres en ligne élaboré par Pierre Sirinelli. Ce dernier pose les bases du débat très controversé entre le caractère illicite de l’upload (sans autorisation de l’auteur) sur les réseaux P2P et l’exception pour copie privée dans le cas du download. De son côté, l’Alliance public-artistes publie un rapport indépendant en opposition avec le rapport du CSPLA, élaboré par l’Institut de Recherche de Droit Privé de l’Université de Nantes, sous la direction du Professeur André Lucas. Les organismes représentant les auteurs et éditeurs de logiciels, les consommateurs, les artistes-interprètes, les auteurs et éditeurs de logiciels, les auteurs de musique et utilisateurs de logiciels libres ne sont pas en reste. Ils ont remis aux députés de l’Assemblée nationale, un livre blanc sur le peer-to-peer qui aborde notamment sans complexe ni complaisance les deux grandes thèses que sont l’instauration d’une licence légale ou l’application du droit commun pour régler la question du P2P. Preuve que le débat fait rage. Le projet de loi a été déclaré en procédure d’urgence ce qui signifie qu’une simple lecture aura lieu dans chacune des deux chambres du Parlement. Les discussions commenceront les 20 et 21 décembre 2005 à l’Assemblée nationale et se poursuivront en janvier 2006 au Sénat. Isabelle Pottier Avocate isabelle-pottier@lexing.law

L’Europe a adopté une proposition de directive sur la rétention des données de trafic A la suite du projet de décision cadre sur la rétention des données, la proposition de la Commission européenne vise à une harmonisation au sein des Etats membres des obligations du fournisseur d’accès ainsi que des réseaux de télécommunications publics en conservant les données liées au mobile ou à la téléphonie fixe pour une période de un an et les données de communication internet pour une période de six mois. Cette proposition de directive inclut une disposition assurant que l’ensemble des acteurs sera remboursé du coût induit par la conservation de ces données. Proposition de directive sur la rétention des données de trafic: fiche de procédure « Isabelle Pottier » Avocate isabelle-pottier@lexing.law Loi du mois Les enchères électroniques inversées désormais ouvertes aux PME La Loi du 2 août 2005 en faveur des petites et moyennes entreprises encadre la pratique des enchères électroniques inversées dans le secteur privé. Malgré l’engouement des professionnels de l’achat pour cette pratique, aucune réglementation spécifique n’existait jusqu’alors pour les entreprises commerciales, à la différence du secteur public (C. marchés publ. art. 56). Ces nouvelles dispositions visent à assurer la loyauté des enchères électroniques en toute transparence. Cour cass., du 19 avril 2005 Jurisprudence du mois L’utilisation de la vidéosurveillance en entreprise La Haute Juridiction rappelle que si l’employeur ne peut mettre en œuvre un dispositif de contrôle de l’activité professionnelle qui n’a pas été portée préalablement à la connaissance des salariés, il peut leur opposer les preuves recueillies par les systèmes de surveillance des locaux auxquels ils n’ont pas accès, et n’est pas tenu de divulguer l’existence des procédés installés par les clients de l’entreprise. Elle fixe ainsi les limites des informations à communiquer à son personnel lorsqu’il intervient dans le cadre de l’exécution d’un contrat de prestation de service dans une autre entreprise. Cour cass., du 19 avril 2005

Adoption du décret d’application de la loi Informatique et Libertés modifiée Paru dans les Echos le 7 novembre 2005 Laurent Caron(*) le législateur a adopté en août 2004 une loi réformant profondément la loi Informatique et Libertés du 6 janvier 1978 encadrant les traitements et fichiers de données à caractère personnel. Un décret d’application, très attendu, a été publié au « Journal officiel » du 22 octobre 2005. Mettant fin à plusieurs incertitudes portant sur le champ d’application de la loi, il précise surtout le statut du correspondant à la protection des données à caractère personnel. En premier lieu, le nouveau texte précise l’organisation de la Commission nationale de l’informatique et des libertés (CNIL). Il fixe le cadre définitif des formalités préalables obligatoires (délais, dématérialisation des procédures) pour les entreprises et organismes, précise les contours des pouvoirs de la CNIL en matière de contrôle sur place, de vérification, d’audition et de sanction administrative. Le décret achève ainsi la mise en place d’un dispositif global introduit par le législateur en août 2004. Les traitements du domaine de la santé bénéficient aussi d’aménagements, de même que les droits reconnus aux personnes physiques dans ce cadre. Côté pouvoirs de la CNIL, le décret précise en particulier l’articulation des rôles entre la CNIL et le procureur de la République et favorise la coopération avec les autorités de contrôle homologues de la CNIL au sein de la Communauté européenne. Le processus des sanctions administratives ou financières est définitivement figé. Les droits des entreprises et organismes contrôlés sont consacrés, notamment par l’introduction de droits et recours en cas de contrôles de la CNIL ou d’utilisation des procédures exceptionnelles de mise en conformité à la loi (urgence, référé). Le décret maintient les sanctions applicables (contravention de cinquième classe) en cas de non-respect de l’obligation d’information des personnes lors de la collecte de données à caractère personnel. La partie maîtresse du décret, en tout cas la plus attendue, concerne l’épineuse question du correspondant à la protection des données à caractère personnel. La loi Informatique et Libertés modifiée permet en effet aux entreprises ou organismes d’être exemptés des formalités les plus courantes devant la CNIL en contrepartie de la désignation d’un correspondant chargé d’assurer l’application de la loi et la tenue d’une liste des traitements existants. Certaines questions hypothéquaient de fait les bénéfices attendus de cette innovation. Le correspondant allait-il pouvoir être interne et externe ? Serait-il indépendant par rapport à son employeur ? Le décret apporte des réponses, mais laisse à la pratique le soin de trouver des solutions. Certes, des précisions sont fournies sur la procédure de désignation, de notification et de révocation, la chronologie à prendre en compte, ainsi que sur les missions du correspondant. Aussi, outre les précisions concernant les incompatibilités, la question du correspondant interne/externe est définitivement arbitrée. Le correspondant peut être externe uniquement lorsque 50 personnes sont chargées de la mise en oeuvre ou ont directement accès aux traitements ou catégories de traitements. La nomination peut par ailleurs être optimisée dans le cadre de sociétés soumises à un même contrôle, d’un GIE, ou encore d’organismes professionnels au sein d’un même secteur d’activité. Le décret n’apporte en revanche pas de réponse définitive au statut controversé du correspondant. Ce dernier ne peut en effet théoriquement recevoir aucune instruction pour l’exercice de sa mission visant à assurer le respect des obligations de la loi Informatique et Libertés. Quel est l’impact réel des 100 articles du décret pour la stratégie informatique et libertés des entreprises et organismes ? En fait, le décret consacre le travail accompli par la CNIL autour de la nouvelle loi depuis août 2004 : simplification des formalités et pédagogie, instruction soutenue des plaintes et multiplication des contrôles sur place, mise en oeuvre des premières procédures de sanction. Pour ce qui est du correspondant, l’innovation devra prouver en pratique qu’au-delà des contraintes légales elle peut constituer un gage de confiance et de maîtrise du risque informatique et libertés au quotidien. (*) Directeur du pôle informatique et libertés « Laurent Caron » laurent-caron@lexing.law

Evènement Formation en ligne les 29 et 30 septembre 2005 en partenariat avec l’EFE et P et P Conseil La nouvelle loi « Informatique et libertés » modifiée le 6 août 2004 et le correspondant Informatique & Libertés Outre la dispense de déclaration, la désignation d’un correspondant PDCP présente de nombreux avantages. Elle permet notamment : de faciliter les relations avec la Cnil et de créer un dialogue continu avec elle ; de mettre en œuvre une approche qualité ; de diminuer les risques liés à l’application de la loi ; de réaliser des gains de productivité. Afin de vous permettre d’apprécier cette innovation majeure et stratégique pour votre entreprise, le cabinet Alain Bensoussan vous propose en partenariat avec EFE et la société P et P Conseil de participer à cinq modules de formation en ligne. Ces modules seront présentés par une intervention en mode synchrone de Maître Alain Bensoussan. Ainsi, pendant cette formation en ligne, vous êtes en contact simultané avec Maître Alain Bensoussan et les membres de votre classe virtuel et vous pouvez échanger avec eux au moyen de chat, de téléphonie multipoints, de tableau blanc partagé ou encore de système de visioconférence. Il s’agit d’une formation très interactive qui vous offre la possibilité d’intervenir au cours de votre processus d’apprentissage et d’entraîner, par cette intervention, une modification dans le contexte de cet apprentissage. Cette formation sera sanctionnée par une qualification Alain Bensoussan correspondant PDCP et s’inscrira dans le cadre de la loi n°2004-391 du 4 mai 2004 relative à la formation professionnelle tout au long de la vie. Alain Bensoussan Avocat, Directeur du département droit des technologies émergentes alain-bensoussan@lexing.law

Flash Info du mois d’octobre 2005 Examen du projet de loi sur le droit d’auteur en urgence Après de nombreux reports, le projet de loi sur le droit d’auteur et les droits voisins dans la société de l’information sera examiné en urgence début décembre par l’Assemblée nationale, puis par le Sénat, à la suite de la condamnation de la France par la Cour européenne de justice. La France a, en effet, presque trois ans de retard sur la transposition de la directive européenne sur le droit d’auteur adoptée en mai 2001(Directive 2001/29 du 22 mai 2001). Le projet de loi complète l’ensemble des mesures rendues nécessaires par l’essor de ce qu’il est convenu d’appeler la « société de l’information ». Directive 2001/29 du 22 mai 2001 « Isabelle Pottier » Avocate isabelle-pottier@lexing.law

Edito Août Le cadre réglementaire actuel en matière de protection des informations confidentielles La récente actualité nous confirme qu’il faut aujourd’hui protéger les informations stratégiques (mais pas seulement) (1) de l’entreprise. Dans l’affaire Valéo, une plainte a été déposé contre une salariée pour abus de confiance et intrusion dans un STAD (système de traitement automatisé de données) parce qu’on a trouvé à son domicile, des CD contenant des informations stratégiques de cette entreprise. . Cette préoccupation n’est pas nouvelle. Elle a inspiré l’année dernière, une proposition de loi visant à introduire dans le Code pénal de nouvelles infractions réprimant le détournement d’informations à caractère économique protégées (2). Celles-ci sont définies comme « les informations ne constituant pas des connaissances générales (…) pour la protection desquelles leur détenteur légitime a pris, après consultation du comité d’entreprise et information des salariés de l’entreprise, des mesures substantielles conformes aux usages ». L’enjeu : Assurer la protection des informations confidentielles en sanctionnant pénalement leur « piratage ». La charte AFAI d’utilisation des systèmes de bases de connaissances Pour protéger les informations de l’entreprise diffusées au sein d’outils de gestion des connaissances, l’Association Française de l’Audit et du Conseil en Informatique (AFAI) a réalisé une charte (*). Cette charte vise à sensibiliser le personnel sur le caractère stratégique des informations diffusées et partagées par l’entreprise. Elle limite l’utilisation des bases de connaissances mises à disposition du personnel à un cadre strictement professionnel et définit les règles de partage et de mutualisation des connaissances (traçabilité des activités, Identification du contenu, coopération, responsabilité, droits de propriété intellectuelle, accès et sécurité, confidentialité et cryptologie…). Cette charte peut acquérir une valeur plus importante si elle est annexée au règlement intérieur de l’entreprise. Elle devra alors impérativement être soumise pour avis au comité d’entreprise. Enfin, il sera également judicieux que les prestataires amenés à intervenir signent un engagement de confidentialité. Le conseil : sensibiliser le personnel à la protection du patrimoine intellectuel de l’entreprise par une utilisation respectueuse des outils de gestion des connaissances ; définir dans une charte, les règles de partage et de mutualisation des connaissances de l’entreprise. Notes : (1) Cf. l’interview de Mr Denis Meingan, p.10 ci-après. (2) Proposition de loi Carayon n° 1611 du 13/05/2004. (*) Charte réalisée par le groupe de travail animé par Alain Bensoussan et disponible sur l’espace privé du site de l’AFAI, www.afai.fr ainsi que sur notre site, www.lexing.law/ espace « Publication » « Alain Bensoussan » Avocat alain-bensoussan@lexing.law « Chloé Torres » Avocate chloe-torres@lexing.law

Interview Camille Darnaud-Dufour Vice Présidente, Communications Soc. Soitec (*)

Interview Denis Meingan Directeur Associé de KnowledgeConsult (*) Le KM : entre veille, gestion des connaissances et conduite du changement… Quel rôle jouez-vous auprès des entreprises ? Pour les entreprises, la veille et le management des connaissances sont bien distincts. La première est tournée vers l’externe et l’autre vers l’interne. Cependant en tant que praticiens nous avons constaté chez KnowledgeConsult que l’une comme l’autre relevait de la gestion de l’immatériel et faisait appel pour leur mise en place à des savoir-faire proches que sont le travail collaboratif, l’animation des réseaux, la conduite du changement. C’est pourquoi nous sommes des spécialistes de la conduite du changement pour les activités relevant de l’immatériel et nous pouvons apporter aux entreprises un haut niveau de compétence et de professionnalisme dans ce domaine très sensible qui consiste à faire évoluer les collaborateurs vers de nouveaux modes de fonctionnement, de nouvelles valeurs. Par ailleurs, la pratique courante de la mise en œuvre de la veille et de la gestion des connaissances nous permet de trouver des solutions adaptées aux problèmes posés par les entreprises sans les entraîner dans la mise en œuvre de dispositifs globaux incluant ces deux aspects, qui relèvent le plus souvent du registre communément appelé « l’usine à gaz ». Quel est exactement le périmètre d’application du management des connaissances ? Le management des connaissances concerne tous les secteurs, de la banque à l’ingénierie, et toutes les fonctions, des achats à la maintenance. Actuellement, les opérations de mise en œuvre du management des connaissances se focalisent sur les fonctions marketing et commerciale ainsi que sur les services de recherche et développement. Il faut noter cependant que les cabinets de conseil et les cabinets d’avocats ont été parmi les pionniers de la mise en œuvre du KM. En outre, le KM peut apporter une réponse à la pénurie de connaissances et de compétences que peut faire craindre le  » Papy krach » par des opérations de capitalisation dans des livres de connaissances mais surtout par l’implémentation de communautés de pratiques. Quels sont les facteurs clés du succès d’un projet de KM ? La réussite d’un projet de KM repose sur une savante alchimie entre culture, organisation et technologie. De ce point de vue, il n’y a pas un composant principal. Néanmoins, dans un projet de gestion des connaissances il est possible de démarrer la mise en œuvre de communautés de pratique sans utiliser des technologies évoluées. Par contre, il est impossible de démarrer sans un appui des collaborateurs. Faire comprendre aux collaborateurs, qu’il a plus d’avantages à fonctionner dans une logique d’échange et de partage des connaissances est assez long à mettre en place et à pérenniser. C’est néanmoins possible. Même plus, c’est devenu maintenant nécessaire. (*) cabinet spécialisé en mise en œuvre du management des connaissances et de la veille, il réalise mensuellement une newsletter disponible sur simple inscription sur : www.knowledgeconsult.com Interview réalisée par Isabelle Pottier, avocat. Parue dans la JTIT n°42-43/2005 p.10 « Isabelle Pottier » isabelle-pottier@lexing.law

Edito Octobre 2005 Franck Martin La proposition de loi sur la santé publique: une proposition au goût amer pour les opérateurs Le 13 juillet 2005 une proposition de loi relative à la réduction des risques pour la santé publique des installations et des appareils de téléphonie mobile a été enregistrée à la Présidence de l’Assemblée nationale (1). Les auteurs de cette proposition ont pour objectif de renforcer une réglementation qu’ils estiment peu contraignante pour les opérateurs. Dans ce cadre, les mesures phares de la proposition de loi sont les suivantes : – abaissement du niveau maximal d’exposition du public aux champs électromagnétiques émis par les équipements à 0.6 volt par mètre ; – interdiction d’installer de tels équipements à moins de 100 mètres d’un établissement dit sensible (ex : écoles) en zone urbaine et à moins de trois cents mètres d’un bâtiment d’habitation ou d’un établissement sensible dans les autres zones ; – systématisation pour ces équipements d’une demande de permis de construire. Les enjeux : durcissement de la réglementation et remise en cause potentielle de l’activité économique des opérateurs Une proposition de loi incomplète et incohérente Cette proposition de loi, louable sur les intentions qu’elle affiche, n’est pas sans susciter de multiples interrogations. A titre d’exemple, rien n’est indiqué sur le sort des installations existantes et sur la façon dont les mesures de champs électromagnétiques doivent être calculées. Pourtant ce calcul est une des conditions sine qua non pour savoir si en l’état de la technique, il est possible de respecter cette exigence. La mesure de 0.6 volt par mètre semble calée sur l’accord intervenue entre les opérateurs et la ville de Paris. Toutefois, cet accord concerne une moyenne lissée sur la journée autorisant ainsi des pics. Quid de cette mesure ? Quid de la cohérence de cette proposition qui tout en réduisant le champ électromagnétique impose aux opérateurs en zone non urbaine de s’éloigner considérablement des bâtiments d’habitation et des établissements sensibles. Rappelons le, plus l’éloignement est important, plus la puissance d’émission doit être élevée pour assurer une couverture radio de qualité. A l’heure ou les instances gouvernementales et l’Arcep prônent la réduction de la fracture numérique, il va être bien difficile aux opérateurs de couvrir les zones blanches et zones ou la couverture radio n’est pas forcément idéale. Les conseils : établir la synoptique des incohérences de la proposition et transmettre cette synoptique à l’ensemble des acteurs notamment à l’ARCEP. Notes : (1) Proposition de loi n°2491 du 13/07/2005. « Franck Martin » Avocat franck-martin@lexing.law

Interview Paul Marie Rongiconi Expert Risque Informatique Cabinet GMC (*) Pas d’évaluation fiable sans une connaissance métier de l’informatique ! Que recouvre exactement le risque informatique et quel est votre rôle en la matière ? Notre cabinet d’expertise et de conseil (informatique, électronique, industrie) a développé depuis 8 ans un pôle spécialisé dans l’évaluation des préjudices associés à ce type d’activités et de risques. Ce pôle s’appuie sur la compétence d’ingénieurs experts ayant suivis et mis en pratique une double compétence informatique et financière (MBA de finance, Expertise Comptable, interventions sur les Marchés Financiers). Cette double compétence est devenue aujourd’hui indispensable pour analyser efficacement les circonstances techniques d’éventuels incidents tout en identifiant les sources opérationnelles de valeur ou de perte pour l’entreprise. Y a t il des missions types pour un incident informatique ? si oui quelles sont-elles ? Nous identifions quatre grandes familles de litiges en informatique, à savoir : les pertes de données (système de sauvegarde défaillant). Elles sont surtout constatées dans les PME, beaucoup plus rare dans les grandes structures. La difficulté consiste à évaluer la véritable valeur des données au regard de l’exploitation quotidienne de l’entreprise (court terme) et de ses futurs orientations (moyen/long terme). L’estimation précise du coût requiert inévitablement une analyse en profondeur de l’utilisation des données dans les processus d’exploitation. Cette analyse technico-opérationnelle est dans tous les cas un préalable à la mise en oeuvre de mesures de contournement ou d’exception. L’évaluation des pertes de données requière une analyse des processus d’exploitation, de la criticité des données par rapport à leur antériorité, du coût, de la pertinence de la reconstitution et de l’impact à court terme de l’absence des données (trésorerie, fiscale, etc). Le second type de litige porte sur les interruptions de service. Elles restent encore fréquentes malgré la qualité des infrastructures d’hébergement professionnelles et ont très souvent pour origine des phénomènes cumulés (panne du réseau EDF cumulée au dysfonctionnement d’un générateur). Leur évaluation nécessite une analyse historique de l’activité, souvent une extrapolation statistique, l’analyse du rattrapage de l’activité post incident et de l’impact d’image. Le troisième type de litige porte sur les erreurs de traitement. Elles sont le plus souvent liées à une erreur de paramétrage, à une absence ou insuffisance de test ou encore à une erreur d’analyse. Leur évaluation passe par l’analyse financière de l’impact (purement métier) et de l’historique des erreurs comparables. Enfin, la dernière famille de litige est relative aux projets mal menés. Il s’agit sans ambiguïté de la cause la plus complexe à analyser puisqu’elle intègre une dimension humaine importante, souvent déterminante. Deux grandes catégories de conséquences sont observées : surcoûts et gains manqués. L’évaluation du préjudice requiert plus encore ici une immersion totale dans l’entreprise pour en identifier les facteurs générateurs de valeur. Cette mission exige la définition a priori des objectifs financiers liés au projet et une parfaite maîtrise du métier du client. Comment évaluer financièrement l’échec ou le succès d’un projet informatique ? Par opposition aux méthodes comptables traditionnelles, des méthodes alternatives d’évaluation sont maintenant disponibles. La plus prometteuse d’entre elles est la méthode d’évaluation par « Options Réelles ». Elle est particulièrement adaptée à l’évaluation d’un projet puisqu’elle permet, par opposition à la Valeur Actualisée Nette habituellement utilisée, d’y intégrer l’incertitude liée à la vie d’un projet et la valeur ajoutée des décisions qui y sont associées (deadline, dérapage budgétaire, fenêtres de déploiement, évolution du dimensionnement, etc.). (*) http://gmconsultant.com/home/public/accueil.php Interview réalisée par Isabelle Pottier isabelle-pottier@lexing.law

Flash Info – Octobre 2005 Le projet de loi Cyberterrorisme Le projet de loi relatif à la lutte contre le terrorisme prévoit notamment l’obligation pour les opérateurs de communications électroniques de conserver différentes données techniques de connexion pour les tenir à la disposition des services de police ou de gendarmerie. Il défini à cette occasion, la notion d’opérateur de communications électroniques qu’il étend aux «entreprises offrant au public à titre professionnel une connexion permettant une communication en ligne », ce qui vise les cybercafés mais également tous les lieux publics ou commerciaux qui offrent des connexions et navigations via des bornes d’accès sans fil(WIFI) (hôtels, restaurants, aéroports…). Il modifierait également la réglementation sur la vidéosurveillance, issue de l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Ces dispositions, qui ont pour principal objet de prévenir les faits de délinquance, ne sont pas adaptées à une utilisation des systèmes de caméras comme outil de prévention des actes de terrorisme. Projet de loi Cyberterrorisme « Isabelle Pottier » Avocate isabelle-pottier@lexing.law

Archives : Loi – Octobre 2005 Le dispositif du correspondant informatique et libertés enfin dévoilé Le décret d’application, très attendu par la Commission nationale de l’Informatique et des libertés (Cnil) vient d’être adopté le 20 octobre 2005. Il achève ainsi la mise en place d’un dispositif global introduit par le législateur en août 2004. S’agissant de la désignation d’un correspondant à la protection des données à caractère personnel (CIL) « externe » (disposition très attendue par les petites structures comme les collectivités locales), il instaure un seuil à l’intérieur duquel un organisme peut uniquement désigner un correspondant interne (50 personnes chargées de la mise en oeuvre ou ayant directement accès aux traitements concernés) et au-delà, la possibilité d’optimiser la désignation d’un correspondant notamment dans le cadre d’organismes professionnels ou regroupant des responsables de traitements. Cette disposition devrait permettre aux petites collectivités de se regrouper pour externaliser le recrutement du correspondant. Outre ces dispositions, le décret fixe les règles ayant trait au fonctionnement et à l’organisation de la Cnil et fige définitivement le processus décisionnel applicable devant la Cnil en cas de prononcé de sanctions administratives ou financières. Décret n° 2005-1309 du 20 octobre 2005

Archives : Jurisprudence du mois d’Octobre 2005 Le plaider-coupable s’applique au peer to peer Le tribunal correctionnel du Havre a condamné un internaute à une peine « allégée » de 500 € d’amende ainsi qu’à verser à la Société des Auteurs, Compositeurs de Musique (SACEM) des dommages et intérêts d’un montant de 3 000 € pour s’être rendu coupable du délit de contrefaçon en mettant à disposition du public plus de 14 000 fichiers musicaux appartenant au répertoire de la société d’auteur. Ce délit à la fois civil et pénal peut être puni d’un emprisonnement de trois ans et d’une amende de 300 000 €. Cette décision très particulière mérite d’être signaler car c’est la première fois que les juges font application de la nouvelle procédure de « comparution sur reconnaissance préalable de culpabilité » (CRPC) instaurée par loi Perben II du 9 mars 2004, plus connue sous le terme du « plaider-coupable », à une affaire de « peer to peer » (P2P). TGI du Havre du 20 septembre 2005

Informatique et libertés Archives Edito Première mise en œuvre par la Cnil de son pouvoir de sanction pécuniaire (octobre 2006) Adoption du nouveau règlement intérieur de la Cnil (juillet / août 2006) La CNIL vient de publier son nouveau rapport annuel (juin 2006) L’hébergement de données de santé : le nouveau cadre juridique (mai 2006)