2008

Edito Août Le cadre réglementaire actuel en matière de protection des informations confidentielles La récente actualité nous confirme qu’il faut aujourd’hui protéger les informations stratégiques (mais pas seulement) (1) de l’entreprise. Dans l’affaire Valéo, une plainte a été déposé contre une salariée pour abus de confiance et intrusion dans un STAD (système de traitement automatisé de données) parce qu’on a trouvé à son domicile, des CD contenant des informations stratégiques de cette entreprise. . Cette préoccupation n’est pas nouvelle. Elle a inspiré l’année dernière, une proposition de loi visant à introduire dans le Code pénal de nouvelles infractions réprimant le détournement d’informations à caractère économique protégées (2). Celles-ci sont définies comme « les informations ne constituant pas des connaissances générales (…) pour la protection desquelles leur détenteur légitime a pris, après consultation du comité d’entreprise et information des salariés de l’entreprise, des mesures substantielles conformes aux usages ». L’enjeu : Assurer la protection des informations confidentielles en sanctionnant pénalement leur « piratage ». La charte AFAI d’utilisation des systèmes de bases de connaissances Pour protéger les informations de l’entreprise diffusées au sein d’outils de gestion des connaissances, l’Association Française de l’Audit et du Conseil en Informatique (AFAI) a réalisé une charte (*). Cette charte vise à sensibiliser le personnel sur le caractère stratégique des informations diffusées et partagées par l’entreprise. Elle limite l’utilisation des bases de connaissances mises à disposition du personnel à un cadre strictement professionnel et définit les règles de partage et de mutualisation des connaissances (traçabilité des activités, Identification du contenu, coopération, responsabilité, droits de propriété intellectuelle, accès et sécurité, confidentialité et cryptologie…). Cette charte peut acquérir une valeur plus importante si elle est annexée au règlement intérieur de l’entreprise. Elle devra alors impérativement être soumise pour avis au comité d’entreprise. Enfin, il sera également judicieux que les prestataires amenés à intervenir signent un engagement de confidentialité. Le conseil : sensibiliser le personnel à la protection du patrimoine intellectuel de l’entreprise par une utilisation respectueuse des outils de gestion des connaissances ; définir dans une charte, les règles de partage et de mutualisation des connaissances de l’entreprise. Notes : (1) Cf. l’interview de Mr Denis Meingan, p.10 ci-après. (2) Proposition de loi Carayon n° 1611 du 13/05/2004. (*) Charte réalisée par le groupe de travail animé par Alain Bensoussan et disponible sur l’espace privé du site de l’AFAI, www.afai.fr ainsi que sur notre site, www.lexing.law/ espace « Publication » « Alain Bensoussan » Avocat alain-bensoussan@lexing.law « Chloé Torres » Avocate chloe-torres@lexing.law

Interview Camille Darnaud-Dufour Vice Présidente, Communications Soc. Soitec (*)

Interview Denis Meingan Directeur Associé de KnowledgeConsult (*) Le KM : entre veille, gestion des connaissances et conduite du changement… Quel rôle jouez-vous auprès des entreprises ? Pour les entreprises, la veille et le management des connaissances sont bien distincts. La première est tournée vers l’externe et l’autre vers l’interne. Cependant en tant que praticiens nous avons constaté chez KnowledgeConsult que l’une comme l’autre relevait de la gestion de l’immatériel et faisait appel pour leur mise en place à des savoir-faire proches que sont le travail collaboratif, l’animation des réseaux, la conduite du changement. C’est pourquoi nous sommes des spécialistes de la conduite du changement pour les activités relevant de l’immatériel et nous pouvons apporter aux entreprises un haut niveau de compétence et de professionnalisme dans ce domaine très sensible qui consiste à faire évoluer les collaborateurs vers de nouveaux modes de fonctionnement, de nouvelles valeurs. Par ailleurs, la pratique courante de la mise en œuvre de la veille et de la gestion des connaissances nous permet de trouver des solutions adaptées aux problèmes posés par les entreprises sans les entraîner dans la mise en œuvre de dispositifs globaux incluant ces deux aspects, qui relèvent le plus souvent du registre communément appelé « l’usine à gaz ». Quel est exactement le périmètre d’application du management des connaissances ? Le management des connaissances concerne tous les secteurs, de la banque à l’ingénierie, et toutes les fonctions, des achats à la maintenance. Actuellement, les opérations de mise en œuvre du management des connaissances se focalisent sur les fonctions marketing et commerciale ainsi que sur les services de recherche et développement. Il faut noter cependant que les cabinets de conseil et les cabinets d’avocats ont été parmi les pionniers de la mise en œuvre du KM. En outre, le KM peut apporter une réponse à la pénurie de connaissances et de compétences que peut faire craindre le  » Papy krach » par des opérations de capitalisation dans des livres de connaissances mais surtout par l’implémentation de communautés de pratiques. Quels sont les facteurs clés du succès d’un projet de KM ? La réussite d’un projet de KM repose sur une savante alchimie entre culture, organisation et technologie. De ce point de vue, il n’y a pas un composant principal. Néanmoins, dans un projet de gestion des connaissances il est possible de démarrer la mise en œuvre de communautés de pratique sans utiliser des technologies évoluées. Par contre, il est impossible de démarrer sans un appui des collaborateurs. Faire comprendre aux collaborateurs, qu’il a plus d’avantages à fonctionner dans une logique d’échange et de partage des connaissances est assez long à mettre en place et à pérenniser. C’est néanmoins possible. Même plus, c’est devenu maintenant nécessaire. (*) cabinet spécialisé en mise en œuvre du management des connaissances et de la veille, il réalise mensuellement une newsletter disponible sur simple inscription sur : www.knowledgeconsult.com Interview réalisée par Isabelle Pottier, avocat. Parue dans la JTIT n°42-43/2005 p.10 « Isabelle Pottier » isabelle-pottier@lexing.law

Edito Octobre 2005 Franck Martin La proposition de loi sur la santé publique: une proposition au goût amer pour les opérateurs Le 13 juillet 2005 une proposition de loi relative à la réduction des risques pour la santé publique des installations et des appareils de téléphonie mobile a été enregistrée à la Présidence de l’Assemblée nationale (1). Les auteurs de cette proposition ont pour objectif de renforcer une réglementation qu’ils estiment peu contraignante pour les opérateurs. Dans ce cadre, les mesures phares de la proposition de loi sont les suivantes : – abaissement du niveau maximal d’exposition du public aux champs électromagnétiques émis par les équipements à 0.6 volt par mètre ; – interdiction d’installer de tels équipements à moins de 100 mètres d’un établissement dit sensible (ex : écoles) en zone urbaine et à moins de trois cents mètres d’un bâtiment d’habitation ou d’un établissement sensible dans les autres zones ; – systématisation pour ces équipements d’une demande de permis de construire. Les enjeux : durcissement de la réglementation et remise en cause potentielle de l’activité économique des opérateurs Une proposition de loi incomplète et incohérente Cette proposition de loi, louable sur les intentions qu’elle affiche, n’est pas sans susciter de multiples interrogations. A titre d’exemple, rien n’est indiqué sur le sort des installations existantes et sur la façon dont les mesures de champs électromagnétiques doivent être calculées. Pourtant ce calcul est une des conditions sine qua non pour savoir si en l’état de la technique, il est possible de respecter cette exigence. La mesure de 0.6 volt par mètre semble calée sur l’accord intervenue entre les opérateurs et la ville de Paris. Toutefois, cet accord concerne une moyenne lissée sur la journée autorisant ainsi des pics. Quid de cette mesure ? Quid de la cohérence de cette proposition qui tout en réduisant le champ électromagnétique impose aux opérateurs en zone non urbaine de s’éloigner considérablement des bâtiments d’habitation et des établissements sensibles. Rappelons le, plus l’éloignement est important, plus la puissance d’émission doit être élevée pour assurer une couverture radio de qualité. A l’heure ou les instances gouvernementales et l’Arcep prônent la réduction de la fracture numérique, il va être bien difficile aux opérateurs de couvrir les zones blanches et zones ou la couverture radio n’est pas forcément idéale. Les conseils : établir la synoptique des incohérences de la proposition et transmettre cette synoptique à l’ensemble des acteurs notamment à l’ARCEP. Notes : (1) Proposition de loi n°2491 du 13/07/2005. « Franck Martin » Avocat franck-martin@lexing.law

Interview Paul Marie Rongiconi Expert Risque Informatique Cabinet GMC (*) Pas d’évaluation fiable sans une connaissance métier de l’informatique ! Que recouvre exactement le risque informatique et quel est votre rôle en la matière ? Notre cabinet d’expertise et de conseil (informatique, électronique, industrie) a développé depuis 8 ans un pôle spécialisé dans l’évaluation des préjudices associés à ce type d’activités et de risques. Ce pôle s’appuie sur la compétence d’ingénieurs experts ayant suivis et mis en pratique une double compétence informatique et financière (MBA de finance, Expertise Comptable, interventions sur les Marchés Financiers). Cette double compétence est devenue aujourd’hui indispensable pour analyser efficacement les circonstances techniques d’éventuels incidents tout en identifiant les sources opérationnelles de valeur ou de perte pour l’entreprise. Y a t il des missions types pour un incident informatique ? si oui quelles sont-elles ? Nous identifions quatre grandes familles de litiges en informatique, à savoir : les pertes de données (système de sauvegarde défaillant). Elles sont surtout constatées dans les PME, beaucoup plus rare dans les grandes structures. La difficulté consiste à évaluer la véritable valeur des données au regard de l’exploitation quotidienne de l’entreprise (court terme) et de ses futurs orientations (moyen/long terme). L’estimation précise du coût requiert inévitablement une analyse en profondeur de l’utilisation des données dans les processus d’exploitation. Cette analyse technico-opérationnelle est dans tous les cas un préalable à la mise en oeuvre de mesures de contournement ou d’exception. L’évaluation des pertes de données requière une analyse des processus d’exploitation, de la criticité des données par rapport à leur antériorité, du coût, de la pertinence de la reconstitution et de l’impact à court terme de l’absence des données (trésorerie, fiscale, etc). Le second type de litige porte sur les interruptions de service. Elles restent encore fréquentes malgré la qualité des infrastructures d’hébergement professionnelles et ont très souvent pour origine des phénomènes cumulés (panne du réseau EDF cumulée au dysfonctionnement d’un générateur). Leur évaluation nécessite une analyse historique de l’activité, souvent une extrapolation statistique, l’analyse du rattrapage de l’activité post incident et de l’impact d’image. Le troisième type de litige porte sur les erreurs de traitement. Elles sont le plus souvent liées à une erreur de paramétrage, à une absence ou insuffisance de test ou encore à une erreur d’analyse. Leur évaluation passe par l’analyse financière de l’impact (purement métier) et de l’historique des erreurs comparables. Enfin, la dernière famille de litige est relative aux projets mal menés. Il s’agit sans ambiguïté de la cause la plus complexe à analyser puisqu’elle intègre une dimension humaine importante, souvent déterminante. Deux grandes catégories de conséquences sont observées : surcoûts et gains manqués. L’évaluation du préjudice requiert plus encore ici une immersion totale dans l’entreprise pour en identifier les facteurs générateurs de valeur. Cette mission exige la définition a priori des objectifs financiers liés au projet et une parfaite maîtrise du métier du client. Comment évaluer financièrement l’échec ou le succès d’un projet informatique ? Par opposition aux méthodes comptables traditionnelles, des méthodes alternatives d’évaluation sont maintenant disponibles. La plus prometteuse d’entre elles est la méthode d’évaluation par « Options Réelles ». Elle est particulièrement adaptée à l’évaluation d’un projet puisqu’elle permet, par opposition à la Valeur Actualisée Nette habituellement utilisée, d’y intégrer l’incertitude liée à la vie d’un projet et la valeur ajoutée des décisions qui y sont associées (deadline, dérapage budgétaire, fenêtres de déploiement, évolution du dimensionnement, etc.). (*) http://gmconsultant.com/home/public/accueil.php Interview réalisée par Isabelle Pottier isabelle-pottier@lexing.law

Flash Info – Octobre 2005 Le projet de loi Cyberterrorisme Le projet de loi relatif à la lutte contre le terrorisme prévoit notamment l’obligation pour les opérateurs de communications électroniques de conserver différentes données techniques de connexion pour les tenir à la disposition des services de police ou de gendarmerie. Il défini à cette occasion, la notion d’opérateur de communications électroniques qu’il étend aux «entreprises offrant au public à titre professionnel une connexion permettant une communication en ligne », ce qui vise les cybercafés mais également tous les lieux publics ou commerciaux qui offrent des connexions et navigations via des bornes d’accès sans fil(WIFI) (hôtels, restaurants, aéroports…). Il modifierait également la réglementation sur la vidéosurveillance, issue de l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité. Ces dispositions, qui ont pour principal objet de prévenir les faits de délinquance, ne sont pas adaptées à une utilisation des systèmes de caméras comme outil de prévention des actes de terrorisme. Projet de loi Cyberterrorisme « Isabelle Pottier » Avocate isabelle-pottier@lexing.law

Archives : Loi – Octobre 2005 Le dispositif du correspondant informatique et libertés enfin dévoilé Le décret d’application, très attendu par la Commission nationale de l’Informatique et des libertés (Cnil) vient d’être adopté le 20 octobre 2005. Il achève ainsi la mise en place d’un dispositif global introduit par le législateur en août 2004. S’agissant de la désignation d’un correspondant à la protection des données à caractère personnel (CIL) « externe » (disposition très attendue par les petites structures comme les collectivités locales), il instaure un seuil à l’intérieur duquel un organisme peut uniquement désigner un correspondant interne (50 personnes chargées de la mise en oeuvre ou ayant directement accès aux traitements concernés) et au-delà, la possibilité d’optimiser la désignation d’un correspondant notamment dans le cadre d’organismes professionnels ou regroupant des responsables de traitements. Cette disposition devrait permettre aux petites collectivités de se regrouper pour externaliser le recrutement du correspondant. Outre ces dispositions, le décret fixe les règles ayant trait au fonctionnement et à l’organisation de la Cnil et fige définitivement le processus décisionnel applicable devant la Cnil en cas de prononcé de sanctions administratives ou financières. Décret n° 2005-1309 du 20 octobre 2005

Archives : Jurisprudence du mois d’Octobre 2005 Le plaider-coupable s’applique au peer to peer Le tribunal correctionnel du Havre a condamné un internaute à une peine « allégée » de 500 € d’amende ainsi qu’à verser à la Société des Auteurs, Compositeurs de Musique (SACEM) des dommages et intérêts d’un montant de 3 000 € pour s’être rendu coupable du délit de contrefaçon en mettant à disposition du public plus de 14 000 fichiers musicaux appartenant au répertoire de la société d’auteur. Ce délit à la fois civil et pénal peut être puni d’un emprisonnement de trois ans et d’une amende de 300 000 €. Cette décision très particulière mérite d’être signaler car c’est la première fois que les juges font application de la nouvelle procédure de « comparution sur reconnaissance préalable de culpabilité » (CRPC) instaurée par loi Perben II du 9 mars 2004, plus connue sous le terme du « plaider-coupable », à une affaire de « peer to peer » (P2P). TGI du Havre du 20 septembre 2005

Informatique et libertés Archives Edito Première mise en œuvre par la Cnil de son pouvoir de sanction pécuniaire (octobre 2006) Adoption du nouveau règlement intérieur de la Cnil (juillet / août 2006) La CNIL vient de publier son nouveau rapport annuel (juin 2006) L’hébergement de données de santé : le nouveau cadre juridique (mai 2006)

Economie juridique Particularités des nouvelles technologies Pensez à anticiper la preuve de vos dommages informatiques ! Une démarche à entreprendre dès l’origine d’un projet… La décision de mettre en oeuvre un projet informatique doit être prise après avoir effectué une analyse de coûts et de retour sur investissement. Ces études peuvent être associées à une analyse des risques liés au projet destinée à identifier les menaces (défaillance du fournisseur, impossibilité de basculer sur la nouvelle solution, dysfonctionnements…), à évaluer leur impact et leur probabilité de réalisation et à concevoir les moyens permettant de les éviter. Dans le prolongement de cette démarche préventive, il peut être utile d’anticiper la preuve des dommages qui résulteraient de la réalisation de ces risques. En effet, dans l’hypothèse où les dommages sont imputables au fournisseur, leur réparation ne peut souvent être obtenue que dans le cadre d’une procédure judiciaire engagée contre celui-ci. Or, les tribunaux exigent des victimes qu’ils rapportent la preuve des préjudices subis et notamment de leur étendue. A défaut, les réparations accordées peuvent s’avérer très inférieures aux dommages réellement subis. La preuve de certains dommages et surtout des gains manqués, peut s’avérer très difficile à rapporter lorsqu’elle n’a pas été anticipée avant leur apparition. Les enjeux – Dans le cadre d’une procédure judiciaire, améliorer la réparation des dommages subis. – Disposer rapidement d’une évaluation de ses dommages et renforcer la pression sur le fournisseur dans le cadre d’une transaction. …pour améliorer ses chances de réparation en cas de litige. La première étape consiste à recenser et évaluer les conséquences potentielles d’un échec ou d’un retard du projet : dépenses engagées inutilement, surcoûts, conséquences sur l’activité de l’entreprise (perturbations de la production ou de la gestion, perte de clientèle, atteinte à l’image…). Il convient ensuite d’organiser la conservation de toutes les informations liées au projet : documents échangés avec les tiers (contrats, courriers, factures et justificatifs de paiement), et documents internes (comptabilité analytique des opérations effectuées, notes et courriers internes, fichiers de données…). Il est même recommandé de se constituer dès l’origine du projet, des commencements de preuves. Des études de coûts et de rentabilité du projet doivent non seulement être minutieusement établies et justifiées, mais soumises à des tiers ainsi qu’au cocontractant, pour information. Dans le cadre d’une procédure judiciaire, ces documents pourront avoir une force probante appréciable et le fournisseur ne pourra pas invoquer le caractère imprévisible des dommages invoqués. Les conseils – Les dommages dont la réparation est la plus difficile à obtenir sont ceux relatifs aux coûts de personnel interne et aux gains manqués. – Réaliser ou faire réaliser une étude prévisionnelle de rentabilité du projet et conserver la trace et la comptabilité de tous les travaux réalisés dans le cadre du projet.

Marques et noms de domaine Les éditos Le « .eu » est la huitième extension la plus demandée au monde ! (juin 2006) La surveillance des marques sur internet : une sécurité contre les atteintes aux droits (mai 2006) Ouverture de la sunrise 2 pour l’enregistrement en « .EU » (mars 2006) L’ouverture du TLD.eu : un succès (décembre 2005) L’enjeu de la prochaine ouverture du TLD.eu (octobre 2005) Derniers préparatifs avant le lancement du « .eu » ! (septembre 2005)

Economie juridique Particularités des nouvelles technologies Demandes économiques et préjudices Toute procédure judiciaire impliquant des entreprises représente pour elles un enjeu économique, qu’il s’agisse d’obtenir l’indemnisation d’un préjudice, le paiement d’une créance, ou de trancher une question de droit dont la solution permettra à la partie gagnante de poursuivre sereinement son activité. En droit des nouvelles technologies notamment, cet enjeu, généralement proportionnel au montant des contrats en cause ou à la taille des sociétés plaignantes, peut s’avérer très important. Certaines condamnations prononcées récemment atteignent plusieurs millions d’euros, alors que les demandes formulées portent parfois sur plusieurs dizaines de millions. Cependant, cette partie économique du droit civil est relativement peu traitée par la doctrine, surtout en ce qui concerne les méthodes d’évaluation et les décisions judiciaires sont bien souvent laconiques sur les critères quantitatifs retenus pour fixer le montant des réparations prononcées, comme le leur permet le principe de l’appréciation souveraine de l’existence et de l’étendue des dommages. Les intérêts économiques des entreprises peuvent pourtant être mieux représentés dans le cadre des procédures judiciaires, grâce à l’utilisation de méthodes d’identification, d’évaluation et de démonstration des dommages fondées sur l’analyse économique et financière, associées aux principes de la responsabilité civile. Le Cabinet Alain Bensoussan est particulièrement attaché à cette démarche depuis de nombreuses années. Cette rubrique présente certains aspects de cette réflexion ainsi que l’actualité jurisprudentielle pour les décisions significatives du point de vue de l’économie juridique.

Economie juridique Editos archivés L’exécution d’une décision provisoire génératrice de responsabilité Pensez à anticiper la preuve de vos dommages informatiques ! Peer to peer : mesurer le préjudice causé à la filière pour ensuite l’indemniser Demandes économiques et préjudices

Internet/Communications Electroniques Cybercriminalité En adoptant une nouvelle incrimination, le droit pénal français renforce ses moyens de lutter contre les atteintes aux systèmes de traitement automatisé de données (STAD). Alors que les peines prévues concernant les actes déjà précédemment réprimés : l’accès ou le maintien frauduleux dans tout ou partie d’un système de traitement automatisé de données ; le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données ; le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou modifier frauduleusement les données qu’il contient ; font maintenant l’objet d’un doublement dans la plupart des cas, est désormais interdite la simple détention d’un moyen, quelqu’il soit, conçu ou spécialement adapté à la commission des infractions qui relèvent de la fraude informatique. Ainsi le fait de détenir « tout simplement » un logiciel permettant de contourner un dispositif de protection logique d’un système d’information, est passible des sanctions pénales de la fraude informatique. Pour y échapper, il faut démontrer l’existence d’un motif légitime dont les contours restent à préciser. Jean-françois Forgeron Avocat, directeur du pôle Contentieux informatique jean-francois-forgeron@lexing.law

Informatique Archives Edito La contrefaçon de logiciel : une question de preuve avant tout ! (août 2006) Gérer la convergence des systèmes d’information (juin 2006) La responsabilité du DSI en matière de SI : les mesures de préventions à prendre (mai 2006) Rédiger une matrice des responsabilités contractuelles ( avril 2006) Does Good Digital Rights Management Mean Sacrificing the Private Copy (avril 2006) Les DRM habilitées, la copie privée sacrifiée ? (avril 2006) Renforcer sa politique de sécurité : une préocupation constante de l’entreprise (mars 2006) La «tierce recette applicative» : une tendance s’inscrivant dans une démarche qualité (janvier 2006) Infogérance et plan de réversibilité (décembre 2005) Cybercriminalité (novembre 2005) Construire son projet sur du « libre » (mai 2005) L’hébergement de données de santé dans le cadre du dossier médical personnel (janvier 2005)

Internet/ Communications Electroniques Archives Edito   Les collectivités doivent adapter les conventions du plan câble d’ici fin juillet ! (juillet / août 2006)     Les e-commerçants faces à l’obligation d’archivage des contrats électroniques (juin 2006)     Accord MVNO : SFR doit honorer son engagement d’offre d’accueil ! (mai 2006)     Les nouvelles obligations en matière de conservation des données de connexion (mars 2006)     Respecter l’état de l’art en matière de sécurité des systèmes d’information (mars 2006)     L’année 2006 placée sous le signe du web 2.0 (février 2006)     La norme ISO 27001 : un référentiel de certification du management de la sécurité (début janvier 2006)     Les weblogs (décembre 2005)     Sauvez vos bases de données (novembre 2005)     La LCEN fête ses un an ! (juin 2005)     L’obligation de déclaration des FAI sous conditions (janvier 2005)  

Edito de Décembre 2005 La gouvernance des systèmes d’information (SI) : une nécessité ! Les implications de la SOX sur les SI C’est pour répondre aux scandales Enron et Worldcom que le Congrès américain a voté en juillet 2002, la loi Sarbanes-Oxley (SOX) qui modifie les règles de gouvernance des sociétés cotées aux Etats-Unis. La SOX oblige ces sociétés à mettre en place un contrôle interne efficace concernant la gestion de leurs données financières et à déposer un rapport auprès de la SEC (Commission américaine des opérations de bourse). Les exigences de la SOX et ses implications s’étendent à toute société française qui serait cotée aux Etats-Unis et à toute filiale française d’une société américaine cotée aux Etats-Unis. Ces dispositions obligent les sociétés à appliquer des règles strictes de gouvernance sur leurs systèmes d’information (SI). Les enjeux Limiter les catastrophes financières en accroissant la responsabilité des dirigeants et en renforçant le contrôle interne. La norme CobiT : un référentiel de gouvernance des SI L’entreprise et notamment le directeur des systèmes d’information (DSI), dispose d’un modèle de référence en matière d’audit et de maîtrise des systèmes d’information, la norme CobiT (Control Objectives for Business and related Technology) qui s’inscrit dans la lignée des nouvelles pratiques de la gouvernance informatique. Ces «bonnes pratiques», sont proposées par l’IT Governance Institute, pour mieux gérer les risques liés à l’informatique en tenant compte notamment des contraintes liées à la mise en œuvre des dispositions de la SOX. Le DSI joue un rôle fondamental dans ce processus de mise en conformité du SI. C’est lui qui doit en garantir la sécurité et les contrôles lesquels peuvent porter notamment sur la gestion électronique et l’archivage des documents ou des courriers électroniques, l’amélioration des systèmes financiers et la conduite du changement ou encore la sécurité des bases de données et des réseaux. Ces règles peuvent conduire à exiger des prestataires qu’ils respectent les processus de production de SI définis par les «bonnes pratiques» communes, de manière à optimiser la sécurité et la conformité. Les conseils – De nombreuses entreprises utilisent la norme CobiT pour l’audit de leur système d’information. – L’IT Governance Institute (MC) a lancé en 2004, une version interactive de CobiT en ligne qui regroupe plus de 300 objectifs détaillés pour la gouvernance des TI. Benoit de Roquefeuil benoit-de-roquefeuil@lexing.law

Flash Info Projet de loi DADVSI : Coup de théâtre dans l’hémicycle ! Les députés qui ont examiné le projet de loi sur le droit d’auteur les 20, 21 et 22 décembre ont d’adopté, contre l’avis du gouvernement, deux amendements identiques 153 et 154 qui étendent l’exception de copie privée aux personnes physiques pour leur « usage privé et à des fins non directement ou indirectement commerciales » contre le versement de la rémunération due aux ayants droit (à l’instar de ce que pratique la SACEM). Ces amendements accordent le bénéfice de l’exception pour copie privée aux téléchargements de fichiers par des réseaux peer to peer en contrepartie d’une rémunération forfaitaire (système de licence globale optionnelle). L’adoption de ces dispositions est très controversée et le gouvernement a demandé une deuxième lecture. Son inscription à l’ordre du jour de l’Assemblée sera décidée en « conférence des présidents » le 17 janvier à la reprise des travaux. Isabelle Pottier Avocate isabelle-pottier@lexing.law

Flash Info du 29.09.2005 L’ Europe a adopté une proposition de directive sur la rétention des données de trafic A la suite du projet de décision cadre sur la rétention des données, la proposition de la Commission européenne vise à une harmonisation au sein des Etats membres des obligations du fournisseur d’accès ainsi que des réseaux de télécommunications publics en conservant les données liées au mobile ou à la téléphonie fixe pour une période de un an et les données de communication internet pour une période de six mois. Cette proposition de directive inclut une disposition assurant que l’ensemble des acteurs sera remboursé du coût induit par la conservation de ces données. Isabelle Pottier Avocate isabelle-pottier@lexing.law

Interview Mr Sylvain Coquio, directeur des systèmes d’information, Société SFD(*) Améliorer la gouvernance des SI : une préoccupation quotidienne de SFD ! Que recouvre exactement la fonction de DSI chez SFD ? SFD gère plus de 270 points de vente à l’enseigne « Espace SFR », essentiellement dans les centres commerciaux (soit environ le tiers de la totalité des espaces). Nous sommes donc le 1er distributeur de l’opérateur SFR. La direction des systèmes d’information a un périmètre d’activités assez vaste nécessitant le rattachement de 3 directions (études, technique et opérations). Elle se doit d’être très réactive, à l’image du secteur d’activité des télécoms et de celui de la distribution. Nous devons par exemple, pouvoir mettre en œuvre dans des délais très courts, de nouvelles offres que lance SFR, des ajustements de prix, de nouvelles procédures métier. Nous gérons par ailleurs de très importants flux d’informations quotidiens en provenance et vers les points de vente : un téléphone peut avoir jusqu’à 22 tarifs différents selon l’offre à laquelle il est adossé, ceux-ci sont modifiés très régulièrement, il faut pouvoir les mettre à jour et les diffuser dans des délais très courts. Côté facturation, notre système d’information gère en fait 3 systèmes : les ventes et souscription d’abonnement (nous sommes directement reliés au SI de SFR), le back office permettant de gérer les stocks et les inventaires de matériel et le front office gérant les ventes (encaissements, monétique, contrôle de chèques…). La DSI assure aussi une hot line de niveau 1 pour l’ensemble des points de vente (présence 6 j./7 avec astreinte le dimanche) et les déploiements et travaux dans les points de vente. Sans oublier l’activité « B to B » (en forte croissance), reposant sur un système d’information dédié, avec des problématiques bien particulières également. Comment sont abordées les questions de gouvernance par la DSI ? C’est une préoccupation quotidienne. Notre système d’information est soumis à la loi américaine sur la transparence des comptes (SOX), SFD étant directement valorisée et consolidée dans le groupe Vivendi Universal coté aux Etats-Unis. Nous avons une équipe d’audit interne missionnée par la direction générale pour auditer les points de vente à longueur d’année. Elle vérifie notamment que les procédures sont bien respectées, que les encaissements sont réels et qu’il n’y a pas de fraude ; sur ces sujets la DSI est bien entendue très sollicitée. Mais la gouvernance nécessite aussi et surtout un alignement stratégique sur les enjeux de notre société et de notre actionnaire. En tant que premier distributeur de SFR nous devons être exemplaires sur ces aspects. Quels sont les axes de progrès de la DSI ? Ils concernent la qualité du service rendu et l’amélioration du contrôle. Nous nous sommes lancés, il y a 2 mois, dans une démarche ITIL pour améliorer nos processus de production et d’exploitation de nos applications informatiques en nous appuyant sur le guide des « bonnes pratiques » ITIL (Information Technology Infrastructure Librairy). A ce titre, nous avons fait faire un audit afin de lancer notre plan d’action 2006. Il sera cadré sur 4 processus sur lesquels nous allons axer nos priorités : la gestion des incidents, des problèmes, des configurations et des SLA (niveaux de services). Parallèlement, nous nous lançons dans une démarche de communication via des « processus métier », qui devrait nous permettre d’être mieux compris de nos directions utilisatrices. Des outils informatiques au service des directions utilisatrices, le tout au travers d’un vocabulaire qui soit parlant (comme garantir la livraison des points de vente), et que l’on pilote via des indicateurs métiers : tel est notre leitmotiv. (*) Société Financière de Distribution (SFD) est une filiale de SFR www.sfdnet.fr Interview réalisée par Isabelle Pottier, avocat. Paru dans la JTIT n°48/2006 p.10

Fiscalité/Société Le canal de l’internet bientôt ouvert aux conseils d’administration ? La tenue des conseils d’administration par télécommunication La loi pour la confiance et la modernisation de l’économie (dite loi «Breton»)(1) a assouplit les exigences légales en ce qui concerne le recours à des moyens de visioconférence pour la tenue des réunions des conseils d’administration et de surveillance des sociétés commerciales. Rappelons qu’en 2001, la loi relative aux nouvelles régulations économiques (NRE) a ouvert la possibilité aux sociétés anonymes de recourir à de tels moyens, à l’exclusion toutefois «de tout autre procédé de télétransmission»(2). Ces dispositions n’envisageaient que la visioconférence impliquant la transmission de la voix et de l’image et ne permettaient pas la tenue des conseils par conférence téléphonique ou par le canal de l’internet. Les assouplissements apportés en 2005 portent sur les moyens de télétransmission pouvant être utilisés et la modification du nombre et de la nature des décisions pouvant être prises par ces moyens. L’enjeu Permettre aux sociétés commerciales de tenir des conseils par des moyens électroniques de télécommunication. La nature des décisions concernées Désormais, le règlement intérieur peut prévoir que seront réputés présents, pour le calcul du quorum et de la majorité, les administrateurs et les membres du conseil de surveillance qui participent à la réunion par des moyens de visioconférence «ou de télécommunication, permettant leur identification et garantissant leur participation effective»(3). Un décret doit venir fixer la nature et les conditions d’application de ces moyens de communication à distance ainsi que les conditions d’identification des membres des conseils permettant de garantir leur participation effective à ces réunions. En ce qui concerne la modification du nombre et de la nature des décisions pouvant être prise par des moyens de communication à distance, alors que la loi NRE a exclu un grand nombre de décisions pouvant être prises par visioconférence, leur nombre a été réduit par la loi «Breton». Ainsi, les seules décisions qui doivent continuer à être prises avec la présence physique des administrateurs sont aujourd’hui les décisions arrêtant les comptes annuels et le rapport de gestion(4) et les décisions établissant les comptes consolidés et le rapport de gestion du groupe(5). La loi «Breton» unifie le régime des exceptions, quel que soit le mode d’administration et de direction, pour n’exiger la présence physique (ou la représentation) des membres de ces conseils qu’une fois par an. Références (1) Loi n° 2005-842 du 26 juillet 2005, JO du 27.07.2005. (2) Loi n° 2001-420 du 15 mai 2001 dite «NRE». (3) Art. L.225-37 (société anonyme à conseil d’administration) et L.225-82 (société anonyme à directoire et conseil de surveillance) du Code de commerce. (4) Art. L.232-1 du Code de commerce. (5) Art. L.233-16 du Code de commerce. Pierre-Yves Fagot Avocat, Directeur du pôle Société et Financement pierre-yves-fagot@lexing.law Paru dans la JTIT n°48/2006 p.8

Informatique Infogérance et plan de réversibilité Pensez au plan de réversibilité Le mois de décembre, traditionnellement consacré aux budgets est souvent propice aux réflexions stratégiques, notamment en ce qui concerne l’externalisation des systèmes d’information. Mais la décision d’y mettre un terme, soit pour des raisons économiques ou de qualité de la prestation, nécessite d’anticiper le terme du contrat. Il s’agit alors de prévoir la réversibilité de la prestation d’infogérance souvent envisagée par le contrat au travers de ses composantes juridiques. Il est pourtant impératif d’associer au processus de réversibilité un document à vocation technico-économico juridique souvent désigné par le terme « plan de réversibilité », document ayant vocation à organiser de façon pratique les processus techniques et administratifs qui doivent précéder la fin du contrat. Les enjeux Faire un plan de réversibilité complet et mis à jour, c’est éviter bien des difficultés à l’issue de la relation contractuelle. Réinternalisation ou transférabilité ? Le plan de réversibilité couramment prévu au contrat, doit être en principe élaboré dans les tous premiers mois de la relation contractuelle, et indépendamment de tout objectif précis quant à l’issue du contrat. Il doit envisager soit la « réinternalisation » de la prestation, c’est-à-dire, le rapatriement des processus et des moyens chez le client ou la « transférabilité » qui correspond au passage d’un infogérant à un autre. Articulé autour des composantes de la prestation externalisée (matériels, logiciels, ressources humaines, infrastructures…), le plan de réversibilité initial dresse d’abord l’inventaire des éléments qui seront nécessaires à la poursuite de l’exploitation à la fin du contrat d’infogérance. Il est impératif qu’il soit régulièrement mis à jour afin de tenir compte de l’évolution du périmètre de l’infogérance et des services associés. En termes techniques, il contient par exemple, le détail des procédures de désinstallation, de transport et de réinstallation alors qu’en termes économiques, il comprend l’évaluation des éventuels actifs à céder au client ou au futur infogérant et qu’en termes juridiques, il prévoit en fonction des préavis nécessaires, les éventuels transferts de contrat et autres démarches administratives. Les conseils Prévoir le plan de réversibilité dès la signature du contrat. Le premier plan de réversibilité doit intervenir dans les premier mois de la relation contractuelle. Le plan de réversibilité doit être régulièrement mis à jour et faire l’objet d’une procédure de validation entre le client et l’infogérant. Jean-François Forgeron Avocat, directeur du pôle Contentieux informatique jean-francois-forgeron@lexing.law Paru dans la JTIT n°47/2005 p.2

Economie juridique Particularités des nouvelles technologies Peer to peer : mesurer le préjudice causé à la filière pour ensuite l’indemniser Quel est l’impact réel des réseaux P2P sur l’industrie de contenus ? L’impact réel des réseaux Peer-to-Peer est un sujet très controversé. Selon le Conseil supérieur de la propriété littéraire et artistique (CSPLA), les multiples études économiques sur le « taux de substitution » entre la vente de CD et les échanges de contenus en P2P sont peu satisfaisantes et parviennent à des conclusions contradictoires sur l’ampleur des pertes subies(1). Quoi qu’il en soit, il ne fait aucun doute que le recours à un logiciel de P2P est un moyen de se procurer des copies d’œuvres hors des modes normaux d’exploitation des œuvres que sont l’achat de supports physiques ou l’achat en ligne sur des sites légaux. Or, la reproduction et la communication au public, sans autorisation des ayants droit, par de nouveaux procédés techniques s’apprécie comme « un manque à gagner » pour les ayants droit (producteurs, éditeurs, auteurs, artistes-interprètes etc.). Même si le montant du préjudice n’est pas quantifiable, il est difficilement contestable. L’enjeu Encadrer les formes de distribution des œuvres qui ne permettent pas d’assurer la rémunération de la création et de la production Le préjudice n’est pris en compte qu’à l’égard d’intérêts légitimes La directive sur les droits d’auteur et les droits voisins du 22 mai 2001 (en cours de transposition en droit français) prévoit que les exceptions au droit d’auteur (notamment copie privée) ne sont licites que si elles ne portent pas atteinte à l’exploitation normale de l’œuvre et si elles ne causent pas un préjudice injustifié aux intérêts légitimes de l’auteur(2). Le juge a le pouvoir de refuser le bénéfice de la restriction au cas par cas, en fonction de ce qu’il considère comme une atteinte à l’exploitation normale de l’œuvre et du préjudice injustifié. Les téléchargements réalisés par le P2P bénéficient-ils de l’exception pour copie privée ? Il y a trop peu de décisions rendues pour répondre à cette question. Le Tribunal de grande instance de Paris a pour sa part, écarté toute possibilité de copie privée pour les œuvres filmographiques commercialisées sur des supports numériques, en retenant que cette copie ne peut « que porter atteinte à l’exploitation normale de l’œuvre »(3). Quoi qu’il en soit, il y a un préjudice injustifié si l’auteur ou un autre titulaire de droit (éditeur) n’obtient aucune compensation. Une solution consisterait à s’orienter vers des licences légales. Une proposition de loi allant dans ce sens a été déposée cet été, à l’Assemblée nationale (AN n°2474). Les solutions La proposition de loi prévoit de compléter les dispositions actuelles des articles L. 311-4 et L. 311-5 du Code de la propriété intellectuelle afin de tenir compte du cas spécifique des échanges entre particuliers à des fins non commerciales (Ass. Nat. n°2474). Notes (1) Rapport du CSPLA sur le P2P disponible sur le site du CSPLA. (2) Art. 5.5 de la directive 2001/29/CE du 22.05.2001. (3) TGI Paris, 30.04.2004. Paru dans la JTIT n°47/2005 p.7