2008

Flash Info La nature et la durée de conservation des données de connexion enfin fixées Aux termes du décret du 24 mars 2006, la liste des données devant être conservées par les opérateurs de communications électroniques pour les besoins de la recherche, de la constatation et de la poursuite des infractions, sont : Les informations permettant d’identifier l’utilisateur ; Les données relatives aux équipements terminaux de communication utilisés ; Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ; Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ; Les données permettant d’identifier le ou les destinataires de la communication. Rappelons que ne sont pas visées les données portant sur le contenu des communications ou des sites web visités et que l’obligation ne concerne donc que les seules données de trafics définies par le décret comme « les informations rendues disponibles par les procédés de communication électronique, susceptibles d’être enregistrées par l’opérateur à l’occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi« . Il s’agit en fait des «logs de connexion» qui permettent de connaître l’heure et la durée d’une connexion Internet, ainsi que le numéro de protocole Internet utilisé pendant cette communication (adresse «IP»). Le décret fixe la durée de conservation à un an à compter du jour de l’enregistrement de ces informations. Enfin, en ce qui concerne la compensation financière qui sera versée aux opérateurs correspondant à la fourniture des données conservées, il faudra attendre un arrêté du ministre de l’économie, des finances et de l’industrie et du garde des sceaux. Décret n°2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques (JO n°73 du 26 mars 2006 p.4609) Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Biométrie Cyberterrorisme Le décret du 30 décembre 2005 relatif au passeport électronique va permettre la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Le nouveau passeport biométrique a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Le décret n°2005-1726 relatif au passeport électronique et paru le 30 décembre 2005

Informatique et libertés L’hébergement de données de santé : le nouveau cadre juridique Le chantier du dossier médical personnel (DMP) avance lentement mais sûrement. Le décret du 4 janvier 2006 qui concerne essentiellement l’aspect technique et informatique du projet de DMP va permettre de lancer les candidatures en vue de l’hébergement de données de santé selon la procédure et les exigences prescrites (sécurité, confidentialité…). Un véritable cadre juridique applicable à l’hébergement de données de santé à caractère personnel est ainsi fixé. Les conditions fixées par le décret du 4 janvier 2006 sont strictes compte tenu de la nature sensible des données hébergées, s’agissant d’informations médicales. Il est important de remarquer que le décret ne définit pas la notion « d’hébergement de données de santé » mais vise le fait de « déposer des données de santé à caractère personnel auprès de personnes physiques ou morales agréées à cet effet ». Dans ces conditions, l’hébergeur de données de santé ne doit pas être confondu avec « l’hébergeur » ou le « prestataire de stockage » visé par la loi pour la confiance dans l’économie numérique . Ces deux prestataires techniques sont différents : le premier s’apparente à une sorte de séquestre informatique auprès duquel sont « déposées » des données dont l’accessibilité est limitée alors que le second assure pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par ses clients. En outre, le Code de la santé publique complété par le décret prévoit les conditions que doit remplir le prestataire souhaitant obtenir l’agrément requis pour héberger des données de santé. Il devra notamment définir et mettre en œuvre une politique de confidentialité et de sécurité permettant d’assurer le respect des droits des personnes concernées par les données hébergées, la sécurité de l’accès aux informations et la pérennité des données hébergées. Ceci induira sans doute le déploiement de process nouveaux et la mise en place d’un schéma directeur visant à se conformer aux dispositions légales et notamment à la loi « Informatique et libertés ». De plus, la prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et son client (établissement de santé, médecins…) comportant neuf clauses obligatoires parmi lesquelles une clause mentionnant les indicateurs de qualité et de performance permettant la vérification du niveau de qualité de service annoncé et la périodicité de leur mesure, une clause décrivant les prestations réalisées, une autre relative aux obligations de l’hébergeur à l’égard de la personne à l’origine du dépôt des données de santé à caractère personnel, en cas de modifications ou d’évolutions techniques introduites par lui, une autre relative à l’information sur les conditions de recours à d’éventuels prestataires techniques externes et les engagements de l’hébergeur pour que ce recours assure un niveau équivalent de garantie au regard des obligations pesant sur l’activité d’hébergement, et enfin une clause traitant de l’information sur les garanties permettant de couvrir toute défaillance éventuelle de l’hébergeur. Il conviendra d’adapter les contrats d’hébergement existants à ces nouvelles exigences légales. Enfin, précisions que l’agrément est délivré aux hébergeurs de données de santé pour trois ans renouvelables et que le ministre de la santé peut procéder au retrait ou à la suspension de l’agrément dans certaines conditions. Ceci nécessitera d’établir un dossier d’agrément en bonne et due forme. Chloé Torres Directeur du département Informatique & libertés chloe-torres@lexing.law

Flash Info Les enchères électroniques inversées interdites en matière de contrats de travail La loi qui vient d’être promulguée insère un article L. 121-10 au code du travail qui prévoit que les procédures d’enchères électroniques inversées sont interdites en matière de fixation du salaire. Tout contrat de travail stipulant un salaire fixé à l’issue d’une procédure d’enchères électroniques est nul de plein droit. Cette disposition vise à dissuader les employeurs de recourir à la pratique des enchères inversées lors du recrutement de salariés. Ce mode de recrutement consiste à mettre en concurrence sous la forme d’appel d’offres au moins disant, les candidats à un emploi. Ces derniers proposent leur offre de prix et sont tenus informés du prix proposé par les autres candidats, ce qui leur permet de proposer une offre inférieure, dans le délai imparti. Cette forme de dumping social est apparue incompatible avec les principes du droit social. Loi n°2006-396 du 31 mars 2006 pour l’égalité des chances (JO n°79 du 02.042006 p.4950, texte n°1) Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Propriété intellectuelle Edito Etat des lieux sur le projet de loi DADVSI : un débat stupéfiant ! En décembre dernier, une fronde parlementaire est survenue à l’occasion de l’examen du projet de loi sur le droit d’auteur transposant la directive européenne 2001/29, dont la mesure phare est la consécration d’un statut légal des mesures de protection techniques des œuvres numériques. Elle a conduit à faire adopter contre l’avis du gouvernement deux amendements identiques 153 et 154 visant à instaurer une «licence légale d’échange des œuvres sur l’internet», c’est-à-dire un système par lequel la publication d’une œuvre emporterait «cession du droit de mise à disposition du public sur des services de communications en ligne» au profit d’une société de gestion collective. Ainsi, moyennant paiement à leur fournisseur d’accès d’une taxe qui serait reversée à ladite société de gestion collective, les internautes pourraient librement non seulement télécharger tout fichier d’œuvre accessible par internet, mais aussi mettre en ligne les œuvres et les échanger au sein de la communauté des internautes, notamment via les logiciels et réseaux de «peer to peer». Les auteurs et éditeurs se verraient quant à eux privés du droit d’exploiter leur œuvre sur internet, et percevraient en contrepartie le produit de la taxe, à l’instar de ce qui existe par exemple pour la reproduction par reprographie. Or, la directive européenne, dont le projet de loi vise à garantir la transposition, non seulement consacre le droit pour les auteurs de recourir à des dispositifs de protection, mais rappelle le principe du « droit exclusif » des auteurs, d’exploiter leur œuvre, notamment dans le cadre de services interactifs à la demande. L’objectif qu’elle poursuit est la lutte contre le piratage afin de permettre l’essor des nouveaux marchés de la diffusion en ligne. La licence obligatoire de diffusion des œuvres sur l’internet s’inscrit ainsi en totale opposition de texte et d’esprit avec la réforme que la loi est censée instaurer. On peut encore s’étonner de voir proposer, sans l’appui d’une étude économique et financière sérieuse, un amendement dénoncé, en particulier par l’industrie cinématographique, comme la mort programmée de la création et qui, en toute hypothèse isolerait, dans son approche économique, la France du reste du monde, et notamment des autres pays européens. La licence globale apparaît ainsi une réponse inappropriée, tant sur le plan économique que juridique, aux excès que pourraient engendrer l’application de la directive, notamment la multiplication des supports « propriétaires », ou la disproportion des sanctions contre les internautes pratiquant le téléchargement. C’est, comme l’impose d’ailleurs la directive, dans l’équilibre entre protection du droit d’exploitation et copie privée qu’il faut trouver des solutions, et on ne peut que se réjouir de constater, à la lecture du communiqué Ministre de la culture du 14 janvier dernier, que les prochains amendements proposés iront dans cette direction. Laurence Tellier-Loniewski Avocat, directrice du département Propriété intellectuelle laurence-tellier-loniewski@lexing.law

Ressources humaines Le phenomène du « JOBDUMPING » débarque en France On attendait depuis plusieurs mois la déclinaison française du site « jobdumping.de », ouvert en Allemagne à l’automne 2004, et c’est finalement le site « jobdealer.net » qui lui grille la politesse début novembre, en reprenant son concept : des offres d’emploi mises aux enchères inversées.   Le principe est simple ; le site propose des offres d’emplois en fixant un prix maximum, publiées par des entreprises. Les candidats déposent ensuite leurs réponses, en faisant une enchère sur le salaire.   Chacun peut donc enchérir à la baisse, « dans le respect du salaire minimum légal », précise toutefois Jobdealer.net.   Mais le site français revendique sa différence avec son concurrent allemand. En effet son objectif est avant tout d’offrir davantage de transparence et non pas de faire baisser les salaires.   Quoi qu’il en soit, le résultat est le même ; avec un tel outil, un employeur peut proposer une offre d’emploi en ligne et laisser les candidats y postuler pour tirer les salaires vers le bas.   Aujourd’hui, bien que le système heurte la morale, aucune disposition législative ou réglementaire n’interdit de publier une offre d’emploi visant à recruter un salarié à l’issue d’enchères inversées à distance, organisées par voie électronique, portant sur sa rémunération.   En effet les seules dispositions actuellement garanties par le Code du travail interdisent toute rémunération inférieure au SMIC.   Toutefois ce développement d’enchères électroniques inversées en matière de recrutement a suscité l’inquiétude des partenaires sociaux.   Ainsi dans un communiqué en date du 18 novembre 2005, la CFE-CGC a manifesté son opposition à l’émergence des sites reposant sur des enchères électroniques inversées. Le MEDEF, quant à lui, s’il approuve le système des enchères inversées de manière générale, paraît très réservé sur l’opportunité de permettre son utilisation lorsqu’un facteur humain est prépondérant.   Par ailleurs, Madame Kosciusko-Morizet, Députée de l’Essonne, a déposé le 23 janvier dernier à l’Assemblée Nationale une proposition de loi visant à interdire de tels systèmes pour la conclusion de contrats de travail.   Elle a par la suite fait de cette proposition un amendement au projet de loi consacré à l’Egalité des chances, estimant que ce mode constituerait sans aucun doute le véhicule législatif le plus adéquat. Cet amendement a ainsi été validé par la Commission des Affaires culturelles, familiales et sociales de l’Assemblée nationale laissant fortement augurer un vote favorable de l’Assemblée au moment où lui sera présenté l’article de loi visant à interdire totalement ce genre de pratique.   Mais, au delà de l’interrogation sur le cadre juridique de ce système, il est possible d’émettre des réserves quant à son intérêt même. En effet, le contrat de travail est avant tout un contrat intuitu personae, qui ne saurait être réduit au simple salaire. Dès lors que la relation de travail repose sur d’autres critères que le salaire, les systèmes d’enchères paraissent impropres à assurer un recrutement satisfaisant pour l’employeur.   Bien qu’original et innovant, le concept des enchères électroniques de recrutement ne semble pas rencontrer le succès escompté, et risque même de disparaître prématurément. Lexing Alain Bensoussan Avocats

Edito Prix de cession des données annuaires : une affaire à suivre L’ordonnance du 4 novembre 2004

Santé et Biotechnologies Les Editos La réforme sur la santé au regard de l’informatique et du numérique La loi du 13 août 2004 relative à l’assurance maladie organise une réforme substantielle visant à sauvegarder le système d’assurance maladie, tout en préservant ses principes fondamentaux.Si depuis le 1er janvier 2005 chaque assuré doit choisir son médecin traitant, la loi comporte cependant d’autres importantes nouveautés dans le domaine de la santé numérique. La mise en place d’une Haute Autorité de santé dont le décret du 26 octobre 2004 définit les fonctions, notamment la définition des règles de bonne pratique à respecter par les sites informatiques dédiés à la santé et les logiciels d’aide à la prescription médicale ainsi que les certifications correspondantes. Elle est entrée en fonction le 22 décembre 2004. L’instauration à compter du 1er juillet 2007 du dossier médical personnel créé auprès d’un hébergeur de données de santé à caractère personnel, activité désormais strictement encadrée et contrôlée. L’encouragement au développement de la télémédecine, activité qui se trouve aujourd’hui définie par le législateur. L’enjeu Assurer la mise en œuvre de produits et de services électroniques dans le respect des droits des patients. Maîtriser les nouvelles obligations des professions de santé Une des missions de la Haute Autorité est d’établir une procédure de certification des sites informatiques de santé et des logiciels d’aide à la prescription médicale ayant respecté un ensemble de règles de bonnes pratiques. La profession d’hébergeur de données de santé est particulièrement encadrée. Les actuels et futurs hébergeurs seront soumis à une procédure d’agrément prévue à l’article L.111-8 du Code de la santé publique et dont les modalités seront fixées par un décret.La prestation d’hébergement devra faire l’objet d’un contrat entre l’hébergeur et la personne concernée. L’article L.111-8 du Code de la Santé Publique prévoit néanmoins que tout acte de cession à titre onéreux de données de santé identifiantes, directement ou indirectement y compris avec l’accord de la personne concernée, est interdit sous peines de sanctions pénales. Une consécration législative de la télémédecine. Elle permettra d’effectuer des actes médicaux dans le strict respect des règles de déontologie mais à distance, sous le contrôle et la responsabilité d’un médecin en contact avec le patient par des moyens de communication appropriés à la réalisation de l’acte médical. Les schémas régionaux d’organisation sanitaire intègreront la télémédecine. Le conseil Anticiper la constitution du dossier de demande d’agrément d’hébergement de données de santé. Jean-françois Forgeron Avocat, Directeur du pôle Contentieux informatique jean-francois-forgeron@lexing.law Valérie Séguinot valerie-seguinot@lexing.law Paru dans la JTIT n°36/2005 p.1

Fiscalité/Société Archives Edito Maîtriser la fiscalité de la cession, la concession et l’importation d’un logiciel (juin 2006) Le traitement fiscal et comptable de l’amortissement des AMM mis en cohérence (mai 2006) Tenue des comptabilités informatisées : la sécurité avant tout ! (mars 2006) Le canal de l’internet bientôt ouvert aux conseils d’administration ? (janvier 2006)

Flash Info La CNIL sort son 26ème rapport d’activité 2005 Au cours de l’année 2005, les priorités de la CNIL ont été de faire connaître les droits des personnes en matière de biométrie, géolocalisation, vidéosurveillance, lutte contre le terrorisme, administration électronique, alertes professionnelles, mesure de la diversité des origines ainsi que le peer to peer. Le rapport met également en exergue l’impact de l’application de la nouvelle loi du 6 août 2004 et son décrêt d’application (désignation de simplification déclaratives, normes d’autorisation unique…) 26ème rapport d’activité 2005 de la Commission nationale de l’informatique et des libertés Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Biométrie Edito Mise en place en France de passeports électroniques biométriques Le décret du 30 décembre 2005 permet la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Il a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Le décret prévoit un titre 2 concernant les traitements automatisés de données à caractère personnel relatifs à délivrance du passeport électronique. Dans un souci de respect de la loi Informatique et libertés du 6 janvier 1978, le décret précise les catégories de données qui pourront être traitées par le Ministre de l’intérieur. Les destinataires de ces données sont également prévus. Il s’agit de certains fonctionnaires du Ministère de l’intérieur et du Ministère des affaires étrangères, des agents des préfectures et des sous-préfectures chargés de la délivrance des passeports, des agents diplomatiques et consulaires chargés de la délivrance des passeports et également des personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité de l’authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes. Le décret précise également les possibilités d’interconnexion entre ce système de traitements automatisés et les systèmes d’information Schengen et Interpol. La durée de conservation de ces données est fixée à quinze ans pour les passeports délivrés au majeurs et de dix ans lorsqu’ils sont délivrés à des mineurs. Enfin, le décret précise les conditions de l’exercice du droit d’accès et de rectification des titulaires des passeports auprès des autorités de délivrance, étant précisé que les titulaires de passeport n’ont pas de droit d’opposition conformément à l’article 38 de la loi du 6 janvier 1978. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». La Cnil considère que la mise en place de ces nouveaux passeports biométriques, faisant suite au règlement européen du 13 décembre 2004, prévoit des mesures de sécurité satisfaisantes pour garantir l’authentification, la confidentialité et l’intégrité des données. Ainsi, les données ne pourront être lues que si le passeport est présenté ouvert les échanges de données entre la puce sans contact et le lecteur seront cryptés et le contenu de la puce sera limité aux informations figurant déjà sur le passeport. La Cnil relève également que la production des passeports sera centralisée et prend acte des précautions particulières prises par le Ministère de l’intérieur quant à l’externalisation de la production des nouveaux titres. La Cnil note enfin que le Ministère de l’intérieur n’envisage pas pour l’heure que la photographie numérisée du titulaire du passeport soit utilisée dans le cadre de dispositifs automatisés de reconnaissance faciale en France, même si une telle reconnaissance faciale pourrait intervenir à l’étranger. La Cnil émet cependant deux souhaits.Elle demande à être informée dans un délai de trois mois du renforcement des mesures prises pour assurer le contrôle des accès au fichier national des passeports, une personne devant être désignée pour assurer le contrôle effectif des consultations de ce fichier. Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Note Le décret n° 2005-1726 relatif au passeport électronique et paru le 30 décembre 2005

Informatique Edito Does Good Digital Rights Management Mean Sacrificing the Private Copy? DRM, or Digital Rights Management, refers to the technology used to secure digital works and the management of access rights to those works. Through the use of four components – the encoder which encrypts the files protected by copyright, the streaming server which provides access to the files, the reader which decrypts the coding, and the management software which determines to whom the rights belong and how they are to be distributed – DRM architecture permits: On one hand, the tracing of file users’ activity, in order to verify if access to the files in question is authorized, and to determine whether the user is complying with applicable copyrights. On the other hand, to proscribe or limit access to the digital work or copies thereof. The second of these “lock” functions was addressed in the May 22, 2001 Community Directive 2001/29/CE, harmonizing certain aspects of copyright law with apposite legal rights in the domain of software and digital information, and subsequently by the Bill on Conversion (“DADVSI”) (on the matters of copyright and related digital information rights), presented November 12, 2003. In effect, these two texts officially establish the protection of “effective technical measures intended to prevent or limit uses not authorized by a copyright owner, or owner of a related right, of a work, performance, audio recording, video recording, or program outside the software application.” Do these measures sound a death knell for the right of a legal user to make a personal (backup) copy of digital materials? To be sure, the DADVSI Bill, which echoes the terms of the Directive, reaffirms the right to a private copy, which the management technology ought not to encumber 1. However, this right to a private copy is subject to all of three conditions, two of which are completely subjective, directly inspired by Article 9.2 of the Berne Convention, namely: The beneficiary of the right to a private backup copy must be entitled to legal access to the work in the first instance; Creation of the private backup copy should not encumber in any way the normal exploitation of the work by copyright holders; and The creation of the private backup copy must not create any unjustified prejudice or injury to the legitimate interests of the copyright owner. What are we to understand is meant by “normal exploitation of the work”? This question is left to liberal interpretation by the judge, which may lead to contradictory rulings. The “Mulholland Drive” Affair is an excellent illustration of these contradictions in the judicial interpretation of “normal exploitation.” While the Cour d’Appel (Court of Appeals) in Paris considered, in its April 22, 2005 injunction, that a private copy of a DVD could not be seen as impeding the normal exploitation of the work, the First Civil Chamber of the Cour de Cassation (French Supreme Court), in its February 28, 2006 decision, affirmed to the contrary that, taking into account the economic importance of DVD distribution toward defraying the costs of movie production, a private copy did represent an imposition on normal exploitation by the copyright holder. Thus, the French Supreme Court, in reviewing the arguments upheld by the judges in the lower court 2, held that the economic impact of an additional (private) copy must be taken into account in the digital domain. The court did not address the conflict here with the terms of Article L.122-5 of the Intellectual Property Code (CPI), under which “the author many not prohibit copies or reproductions retained for the sole purpose of private use by the copying party, which copies are not intended for use by any other party.” Indeed, the particular person who purchased the DVD and who is expected to be the copying party falling within the ambit of CPI Art. L.122-5, has no justifiable need for making multiple copies of his DVD for private use. Nonetheless, such a position on the part of the judges raises the question of the legitimacy of the tax on blank recording media 3. As the Director of Studies and Communication of the UFC “Que Choisir” 4 has highlighted 5, since “blank DVD royalty taxes are the highest in France,” if it’s “the place where the gamut of rights is weakest,” we reach a certain paradox which leads us to look again at lowering the remuneration derived from the tax on blank media for private copies. Far from the Anglo-Saxon common law system of “precedents,” our system does not allow us to treat the holding of the French Supreme Court as stating an immutable principle of interpretation of the idea of “normal exploitation of the work.” To the end of alleviating these problems in interpretation, the DADVSI Bill endeavors, in its Article 9, to introduce an Article L.331-7 in the CPI according to which any disputes with regard to mechanisms constraining the benefits of the private copy right will be submitted to a panel of mediators. This panel of mediators has as its stated objective the determination of how the DRM should be applied in each case, in order to safeguard to some extent the right to a private copy while trying to arrive at a reconciliation, and, in the end, to establish either an injunction or a proscription on the part of the person who alleges himself to be a legitimate beneficiary of the right to a private copy. Still, will a panel of mediators, composed of magistrates or independent functionaries 6, enjoy a sufficient legitimacy and perception of authority in the digital community to carry itself as authoritative on the questions of digital rights management? Notes (1)Article 8 du Projet de loi DADVSI du 12 novembre 2003. (2)TGI Paris, 30 avril 2004 (disponible sur juriscom.net, legalis.net, foruminternet.org) , GTA Juillet 2004 , Doctrine : « Exploitation normale d’une œuvre numérique : vers le Fair Use américain ? » Benoit de Roquefeuil, Ariane Delvoie. (3)Many European countries tax blank recording media and redistribute those imposts as

Flash Info Rétention des données techniques de connexion : l’Union Européenne fixe un délai de six mois à deux ans (contre un an en France) La directive européenne prévoit la nécessité de garantir au niveau européen, la conservation pendant une durée minimale de six mois et maximale de deux ans, la conservation des données traitées par les fournisseurs de communications électroniques dans le cadre de la fourniture de services accessibles au public ou d’un réseau public de communications. Il s’agit d’harmoniser les obligations incombant aux fournisseurs de conserver les données de connexion et de faire en sorte qu’elles soient disponibles aux fins de la recherche, de la détection et de la poursuite d’infractions graves. Les données concernées sont celles nécessaires pour retrouver et identifier la source d’une communication téléphonique ou électronique (adresse IP), la destination, la date, l’heure et la durée (logs de connexion), le type de communication (appels vocaux, messagerie vocale, téléconférence, renvoi et transfert d’appels, SMS), ainsi que le matériel de communication utilisé et sa localisation pour les mobiles. Le décret français du 26 mars 2006 prévoit la même typologie des données. Directive 2006/24/CE du 15 mars 2006 sur la conservation de données de connexion Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Interview Matthieu Weill, Directeur général de l’Afnic (*) Les noms de domaine en .fr s’ouvrent : les particuliers s’approprient internet ! Pourquoi avoir ouvert le .fr aux particuliers ? Y avait-il un besoin en ce domaine ? En tant qu’organisme chargé de la gestion des noms de domaine en .fr (France), l’Afnic a décidé d’ouvrir le « .fr » aux particuliers à partir du 20 juin 2006. Bien qu’une grande partie des registres qui sont nos homologues en Europe soit ouverte aux particuliers depuis plus ou moins longtemps, notre logique n’a pas été de nous aligner mais bien de répondre à l’évolution des usages de l’internet en ce domaine. On est en effet passé d’un internet « collection de sites » et « espace économique » à un internet que les utilisateurs s’approprient. Ils ne se contentent plus de visiter des sites, ils sont devenus des producteurs de contenus, comme le montre l’émergence très forte des blogs, lieux dans lesquels on partage énormément en terme de communauté d’intérêt et d’échanges d’opinions. La démarche d’un particulier qui dépose son nom de domaine est différente de celle d’une entreprise, mais elle n’est pas moins légitime. Autant pour une entreprise, la logique première est de protéger son nom, pour les particuliers, il s’agira davantage de faire valoir une forme d’identité sur internet plus qu’une réelle protection du nom, qui risque d’ailleurs d’être un peu plus délicate compte tenu du nombre d’homonymes. Ces derniers devront donc faire preuve de créativité et d’imagination pour construire leur identité à travers leur nom de domaine personnalisé. L’Afnic ne risque-t-elle pas d’avoir à faire face à un surcroît d’enregistrement ? Oui, c’est pourquoi nous cherchons à avoir un système qui techniquement soit suffisamment prêt pour absorber un surcroît d’enregistrement. Celui-ci est difficile à évaluer puisqu’il dépend de l’engouement des particuliers. L’Afnic se prépare techniquement à être capable d’absorber d’ici deux ans, un doublement du nombre de noms en .fr qui est actuellement de l’ordre de 460 000. Pour sensibiliser les internautes, nous avons ouvert un site spécifiquement dédié à cette opération (**). A partir du 20 juin, les particuliers qui respectent les deux conditions d’éligibilité fixées (être majeur et disposer d’une adresse en France), pourront, après avoir vérifié que le nom de domaine est disponible, s’adresser à un prestataire de service internet membre de l’Afnic (dénommé bureau d’enregistrement ou registrar) chargé de commercialiser les noms de domaine (fournisseur d’accès, hébergeur de site…), la plupart du temps contre rémunération. L’Afnic profitera de l’ouverture pour baisser de plus de 30% le tarif de ses prestations en juin 2006. Comment faire en cas d’homonymies ? Ne craignez-vous pas les détournements de noms ? Aujourd’hui, le nombre de litiges sur le .fr est relativement mesuré et nous ne nous attendons pas à ce que l’arrivée des particuliers génère une croissance importante de ces cas. En effet les principaux responsables de détournement des noms de domaines se sont déjà organisés. Il y aura sans doute une légère augmentation « mécanique » liée à la hausse du nombre de noms en .fr. Au-delà de ce phénomène, il faut également savoir que le demandeur d’un nom de domaine est libre du choix du nom demandé mais que cette liberté est encadrée par un principe de responsabilité : le demandeur doit vérifier qu’il ne porte pas atteinte aux droits d’un tiers. C’est pourquoi nous allons mettre à sa disposition un maximum d’informations pour lui permettre de l’accompagner dans ces démarches. En aval, nous allons aussi encourager le développement des procédures alternatives de résolution des litiges (règlements amiables, recommandations en ligne ou arbitrages). (*) Association Française pour le Nommage Internet en Coopération, http://www.afnic.fr/ (**) http://www.faites-vous-un-nom.fr/ Interview réalisée par Isabelle Pottier, avocat. Parue dans la JTIT n°51/2006 p.10

Informatique Edito Rédiger une matrice des responsabilités contractuelles Bien gérer la responsabilité contractuelle Il est essentiel que les cocontractants puissent trouver un terrain d’entente équilibré en ce qui concerne les conditions et limites de responsabilité contractuelle. La jurisprudence réaffirme constamment la validité et le caractère obligatoire des clauses limitatives de responsabilité et les circonstances exceptionnelles suivant lesquelles elles peuvent être écartées. Ainsi, seule une faute lourde, caractérisée par une négligence extrêmement grave confinant au dol et dénotant l’inaptitude du débiteur de l’obligation à l’accomplissement de sa mission contractuelle, peut mettre en échec la limitation d’indemnisation prévue au contrat (1). Par ailleurs, il résulte du Code civil que sont exclus de la définition contractuelle des préjudices indemnisables : tout gain manqué ou perte subie non prévu ou imprévisible lors du contrat qui ne serait pas la conséquence directe de la faute commise dans l’exécution de l’obligation. En cas de difficultés, les clauses visant à caler des plafonds de responsabilité sur le montant des prestations, sont difficiles à mettre en œuvre et très souvent contestées et répondent donc mal à leur fonction. L’enjeu Pallier les difficultés liées à la négociation des clauses limitatives de responsabilité et permettre de faire jouer la clause de responsabilité du contrat. La matrice des obligations contractuelles : un outil indispensable Dans les contrats de services informatiques, la séparation entre maîtrises d’œuvre et maîtrise d’ouvrage avec une affectation binaire des responsabilités en considération de qualifications globales est insuffisante à traduire l’imbrication des prestations et le rôle réel des parties dans la production des livrables. Il est pertinent d’avoir recours à une matrice des obligations contractuelles qui sera intégrée dans le plan qualité projet annexé au contrat et à laquelle pourra renvoyer la clause de responsabilité du contrat. Cette matrice peut se présenter sous la forme d’un tableau à quatre colonnes dans lequel figureront la liste des obligations contractuelles essentielles, le débiteur et le créancier de l’obligation ainsi qu’une quotation du poids de l’obligation en fonction du risque que les parties associent à l’inexécution ou la mauvaise exécution des obligations. En imaginant plusieurs degrés de criticité des fautes, plusieurs plafonds de responsabilité pourraient être convenus étant entendu qu’il s’agirait de plafonds et non de forfaits automatiques de réparation. Les conseils Etablir des plafonds de responsabilité différentiés et adaptés à la réalité du risque projet suivant les catégories d’obligations inexécutées ou mal exécutées. Notes (1) Cass. du 22/04/2005, n° de pourvoi 03-14112 Benoit de Roquefeuil Avocat, Directeur du département « contentieux informatique » benoit-de-roquefeuil@lexing.law

Propriété Intellectuelle Edito Attention au respect des mesures de protection techniques des œuvres numériques Les mesures techniques de protection sont licites La Cour de cassation vient de rendre un arrêt très attendu concernant l’affaire « Mulholland Drive » dans lequel elle se prononce pour la première fois sur la validité des mesures techniques de protection (1). Il s’agit d’une condamnation de la jurisprudence de la Cour d’appel de Paris qui, au nom de la copie à usage privé, estimait que les protections empêchant les copies privées étaient illicites. Or, selon la Cour de cassation, « l’exception de copie privée prévue aux art. L. 122-5 et L. 211-3 C. propr. int. (…), ne peut faire obstacle à l’insertion dans les supports sur lesquels est reproduite une oeuvre protégée, de mesures techniques de protection destinées à en empêcher la copie, lorsque celle-ci aurait pour effet de porter atteinte à l’exploitation normale de l’œuvre, laquelle doit s’apprécier en tenant compte de l’incidence économique qu’une telle copie peut avoir dans le contexte de l’environnement numérique ». Elle considère par là même que la copie privée n’est pas un droit absolu mais seulement une exception qui doit être interprétée « à la lumière de la directive européenne » du 22 mai 2001 (2). L’enjeu Le pas se mettre en infraction en ne respectant pas les mesures techniques de protection des œuvres numériques. Vers un régime des mesures techniques de protection… Les députés se sont prononcés le 21 mars 2006 par un « vote solennel » sur le projet de loi DADVSI (3) qui prévoit notamment d’introduire dans le droit français, l’autorisation et la protection des « mesures techniques efficaces destinées à empêcher ou limiter les utilisations non autorisées par le titulaire d’un droit d’auteur ou d’un droit voisin du droit d’auteur, d’une oeuvre, autre qu’un logiciel (…) ». Il s’agit des dispositifs techniques de protection, inclus dans les fameuses DRM (digital rights management systems) qui désignent systèmes de gestion des droits numériques reposant sur des technologies de sécurisation, de contrôle et de gestion des accès aux oeuvres numériques. Les conflits entre DRM et droit de copie privée ne sont cependant pas définitivement tranchés : conformément à la Directive européenne, le Projet de loi prévoit de les soumettre à un collège de médiateurs, chargé d’apprécier au cas par cas si l’absence de DRM est de nature à menacer l’exploitation normale de l’oeuvre et de trouver le cas échéant des solutions de compensation. Les conseils Sensibiliser le personnel de l’entreprise aux problèmes de droits d’auteur ; Adapter les chartes intranet et règlements intérieur de l’entreprise. Notes (1) Cass. 1re civ., 28 février 2006, Pourvois n° D 05-15.824 et X 05-16.002 (2) Directive 2001/29 du 22 mai 2001 (3) http://www.assemblee-nationale.fr/12/rapports/r2973.asp Laurence Tellier-Loniewski Avocat, directrice du département Propriété intellectuelle laurence-tellier-loniewski@lexing.law Paru dans la JTIT n°51/2006 p.5

Fiscalité / Société Edito Tenue des comptabilités informatisées : la sécurité avant tout ! La nouvelle instruction fiscale du 24 janvier 2006 L’évolution des matériels et des logiciels mis à la disposition des entreprises pour la tenue de leur comptabilité a conduit l’administration à préciser les obligations fiscales et comptables des entreprises dans une nouvelle instruction du 24 janvier 2006 qui se substitue à ses deux précédentes instructions (1). Cette nouvelle instruction rappelle le cadre juridique du contrôle des comptabilités informatisées en énonçant les principales règles afférentes à la tenue d’une comptabilité informatisée, sincère, régulière et probante, conformément au plan comptable général révisé de 1999 :        intangibilité des écritures après validation,        numérotation chronologique,        permanence du chemin de révision entre l’écriture et la pièce justificative qui en est à l‘origine. Le périmètre du contrôle des comptabilités informatisées s’étend notamment aux données qui concourent indirectement aux écritures comptables issues du domaine de gestion auquel les entreprises recourent de plus en plus pour le suivi, par exemple, de la facturation ou de la production. L’enjeu Les manquements aux obligations de conservation et de présentation sont susceptibles de conduire au rejet d’une comptabilité informatisée. Sécurité juridique rime avec sécurité des systèmes d’information L’instruction fiscale précise que la mise en place de la traçabilité d’éventuelles modifications des données, ainsi que le recours à la signature électronique pour renforcer le caractère incontestable de l’archivage effectué sont de nature à garantir aux entreprises qu’elles se conforment à leurs obligations de conservation. La procédure d’archivage qui intervient lors de la clôture de l’exercice ou de la période comptable, doit être distinguée de la procédure de sauvegarde dans la mesure où une sauvegarde ne permet pas toujours de satisfaire aux obligations de conservation définies par les textes. Le format type des copies de fichiers accepté par l’administration est précisé pour tenir compte des évolutions technologiques. L’instruction rappelle les différentes modalités du contrôle des comptabilités informatisées à la lumière de la jurisprudence du Conseil d’Etat (3) et les comportements de nature à constituer une opposition au contrôle fiscal et à entraîner une évaluation d’office des bases d’imposition. Notes BOI n°13 L-1-06 (1) BOI n° 13 L-6-91 et n° 13 L-9-96. (2) CE 5 mai 1999, n° 197379 (SA Ardex ) – CE 16 juin 2003, n° 236503 (SARL Le Veneto). Le conseil Réaliser des archivages mensuels ou trimestriels ; disposer d’un dispositif sécurisé de création de signature électronique qui soit certifié. Pierre-Yves FAGOT Avocat, directeur du pôle Société et Financement pierre-yves-fagot.@lexing.law Paru dans la JTIT n°50/2006 p.8