2008

Flash Info Projet de loi sur le droit d’auteur : dernière ligne droite ! Le projet de loi sur le droit d’auteur adopté par les sénateurs le 10 mai 2006 modifie le texte voté en première lecture dans la douleur par les députés. Les principales modifications portent sur la création à compter du 1er janvier 2009, d’une nouvelle exception en faveur de l’enseignement et de la recherche dite « exception pédagogique », la mise en place d’une Autorité de régulation des mesures techniques de protection (MTP) chargée de réguler l’interopérabilité et de gérer le droit à la copie privée, la limitation de la portée du principe d’interopérabilité, la création d’un registre public des oeuvres protégées. Le gouvernement ayant décrété l’urgence pour l’examen de ce projet déposé il y a trois ans sur le Bureau de l’Assemblée nationale, il va maintenant être soumis à une commission mixte paritaire (CMP, 7 sénateurs et 7 députés) pour arriver à un texte consensuel dans les toutes prochaines semaines. Aucune date n’a encore été fixée pour l’examen du projet de loi par une commission mixte paritaire (CMP) mais cela ne saurait tarder. Les 7 députés et les 7 sénateurs auront alors la lourde tâche d’arriver à un texte consensuel qui sera ensuite présenté aux deux chambres pour approbation finale. En cas d’échec de la CMP ou de rejet du texte de la CMP, soit une nouvelle lecture par chaque assemblée est faite, soit le Gouvernement demande à l’Assemblée nationale de statuer définitivement, ce qui sera probablement le cas en l’espèce. Petite loi adoptée par le Sénat le 10 mai 2006 Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Simplification des formalités déclaratives de dispositifs biométriques Trois autorisations uniques ont été adoptées le 27 avril 2006 par la CNIL pour mieux encadrer les modalités d’utilisation et simplifier les formalités déclaratives des dispositifs biométriques suivants : – le contour de la main pour le contrôle d’accès, la gestion des horaires et de la restauration sur les lieux de travail ; – l’empreinte digitale exclusivement enregistrée sur un support individuel pour le contrôle de l’accès aux locaux sur les lieux de travail ; – le contour de la main pour l’accès au restaurant scolaire. Dès lors que les dispositifs biométriques respectent les prescriptions définies dans l’une de ces autorisations, ils peuvent faire l’objet d’une déclaration en ligne sous la forme d’un engagement de conformité à l’autorisation unique adéquate. En revanche, les dispositifs reposant sur un enregistrement de l’empreinte digitale dans une base de données centralisée ou située sur le lecteur restent soumis à la procédure d’autorisation au cas par cas. Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006 Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006 Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006 Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Informatique Edito Accord MVNO : SFR doit honorer son engagement d’offre d’accueil ! La décision de l’ARCEP sur le différend Afone / SFR Le 4 avril 2006 (1), l’ARCEP s’est prononcée sur un différend relatif au refus de SFR de conclure un accord MVNO (Mobile Virtual Network Operator) avec la société Afone (opérateur mobile virtuel ne disposant pas de réseau radio). Dans cette décision, l’ARCEP qualifie la convention de MVNO comme relevant du régime juridique de l’accès et se déclare donc compétente pour connaître du différend conformément aux prérogatives qui lui sont octroyées par l’article 36-8 du Code des postes et communications électroniques. Sans évoquer l’articulation du règlement et l’analyse de marché soulevée par SFR, il est intéressant de noter que l’ARCEP rappelle, outre les conditions dans lesquelles les négociations de ce type d’accord doivent être conduites, l’extrême vigilance dont il faut faire preuve pour la rédaction de son cahier des charges lors d’une réponse à un appel à candidatures (en l’occurrence appel à candidatures UMTS pour SFR). Les enjeux Renforcer la concurrence dans les mobiles, en permettant aux opérateurs mobile virtuel (MVNO) de disposer d’un réseau radio en signant un accord avec un opérateur mobile exploitant. Le respect du cahier des charges face à une candidature cohérente Après avoir répertorié les différents échanges des deux sociétés entre 2004 et 2006, l’ARCEP estime qu’elles ne se sont pas bornées à évoquer leurs projets respectifs mais bien au contraire ont entamé des négociations d’un contrat MVNO dès mars 2005. En ne faisant pas droit à la demande d’accès et ce, malgré l’accord de la société Afone sur les modèles économique et technique proposés par SFR, le refus doit être qualifié d’échec des négociations commerciales. L’ARCEP note que dans le cahier des charges annexé à l’arrêté d’autorisation du réseau UMTS(2), SFR a pris l’engagement de proposer une offre d’accueil de MVNO, lequel engagement ne peut se limiter selon l’ARCEP au simple fait de proposer une offre en entamant des négociations et en laissant à SFR sa pleine liberté contractuelle. En effet, après avoir indiqué que la candidature du MVNO était cohérente au regard de l’appel à candidatures et des négociations qui s’en sont suivies (notamment l’acceptation des conditions proposées par SFR), l’ARCEP enjoint SFR de proposer une offre permettant l’accueil de la société Afone en tant que MVNO. Les conseils Etablir un guide des négociations techniques et commerciales.Procéder à un audit des réponses à candidature. NOTES (1) Décision ARCEP n° 06-0406 du 04/04/2006 (2) Arrêté du 18 juillet 2001, JO du 21/08/2001 Franck Martin Directeur, du département Télécommunication franck-martin@lexing.law Paru dans la JTIT n°52/2006 p.3

Informatique Edito La responsabilité du DSI en matière de SI : les mesures de préventions à prendre … Des risques et des responsabilités sans cesse étendus Aujourd’hui, le périmètre de connaissance du DSI va au-delà de l’informatique pure et s’étend aux compétences associées aux échanges d’informations via l’utilisation de nouvelles technologies dans l’entreprise. Le DSI est au cœur de la sécurité du système d’information de l’entreprise. Or la sécurité technique participe de la sécurité juridique. Le DSI doit donc avoir un minimum de connaissances juridiques en ce domaine. Parmi les principaux gisements de risques figurent les traitements de données à caractère personnel, le droit d’auteur, la contrefaçon et les usages illicites des outils de l’entreprise par les salariés.4En outre, le nombre croissant de contraintes légales en matière de sécurité (LSF, Sarbanes-Oxley, I & L …) et les nouvelles méthodes de partage de l’information (portable, liaison WiFi, port USB…) qui rendent plus perméable le SI accroissent la responsabilité du DSI. L’enjeu Ne pas mettre en danger l’entreprise en gérant au mieux le système d’information et en ayant une connaissance des principaux axes juridiques qui s’imposent à l’activité de DSI. Comment prévenir les risques ? Cette responsabilité croissante au niveau technique s’accompagne également d’une responsabilité plus importante au niveau juridique. La gestion du risque et de sa responsabilité passera par la prévention et la mise en place de chartes de bonne conduite des salariés concernant l’utilisation des systèmes d’information mis à leur disposition. Cette charte qui peut être annexée au règlement intérieur, peut être complétées par des livrets de procédure de sécurité afin d’organiser la traçabilité des incidents, le contrôle et la conservation de la preuve numérique. La Cour d’appel d’Aix en Provence (1) vient de condamner un employeur pour un usage illicite d’internet par un des ses employé ayant créée un site diffamant hébergé sur le serveur de l’entreprise. L’employeur doit donc prévoir explicitement toutes les interdictions en matière d’utilisation de l’internet sur le lieu du travail sous peine de voir sa responsabilité engagée au plan judiciaire. Ces interdictions doivent être fixées dans la limite du respect de la vie privée résiduelle, principe considéré comme fondamental par la Cour de cassation en 2001 (2), aux termes duquel un salarié a droit, « même au temps et au lieu de travail, au respect de l’intimité de sa vie privée ». Les conseils Etablir avec le plus grand soin des chartes Intranet/Internet ; Les accompagner d’un livret de procédure et d’un guide pratique de maintien des preuves définissant les conditions matérielles du contrôle des salariés. Notes (1) CA Aix en Provence, 2ème ch., 13 mars 2006. (2) Cass. soc. 2 octobre 2001, arrêt Nikon. Benoit de Roquefeuil Avocat, Directeur du département « contentieux informatique » benoit-de-roquefeuil@lexing.law

Fiscalité / Société Edito Le traitement fiscal et comptable de l’amortissement des AMM mis en cohérence Les règles d’amortissement des éléments d’actif incorporel Le Conseil d’Etat a précisé sa jurisprudence sur l’amortissement des autorisations de mise sur le marché (AMM) de médicaments ainsi que du dossier scientifique et technique nécessaire à l’obtention de l’AMM (1). Il rappelle qu’un élément d’actif incorporel ne peut, en vertu de l’article 39, 1 – 2° du CGI, donner lieu à une dotation annuelle à un compte d’amortissement que s’il est normalement prévisible, lors de sa création ou de son acquisition par l’entreprise, que ses effets bénéfiques sur l’exploitation prendront fin à une date déterminée. Tel est le cas des droits incorporels permettant la commercialisation d’une spécialité pharmaceutique et notamment des droits détenus sur l’AMM de cette spécialité et sur le dossier scientifique et technique nécessaire à l’obtention, au renouvellement ou au transfert de l’AMM, dès lors qu’il est possible de déterminer la durée prévisible durant laquelle la commercialisation produira des effets bénéfiques sur l’exploitation, en tenant compte notamment de l’évolution des conditions scientifiques, techniques et économiques du marché de cette spécialité. L’enjeu Assurer une cohérence entre le traitement comptable et fiscal des éléments incorporels d’actifs immobilisés relatifs à l’amortis-sement des AMM et du dossier scientifique et technique associé. Retenir une dotation annuelle à un compte d’amortissement Les droits détenus sur l’AMM d’une spécialité pharmaceutique peuvent faire l’objet d’une dotation annuelle à un compte d’amortissement, en retenant un taux calculé sur la durée attendue de leurs effets bénéfiques sur l’exploitation, telle qu’elle est admise par les usages de la profession ou justifiée par des circonstances particulières à l’entreprise et dont celle-ci doit alors établir la réalité. De même, la dépréciation constatée par la société de la valeur du dossier scientifique et technique d’une spécialité pharmaceutique, à la suite de la décision du Ministre de la Santé de l’exclure de la liste des spécialités pharmaceutiques remboursables, présente un caractère définitif dès lors que cette décision ne permettait plus la commercialisation de cette spécialité dans des conditions de rentabilité économique suffisante, permettant ainsi de constater cette dépréciation par la voie d’un amortissement exceptionnel plutôt que par la voie d’une provision. Si certains ont vu dans ces deux décisions, un assouplissement des conditions d’amortissement des éléments incorporels d’actif immobilisé, d’autres ont considéré que le Conseil d’Etat avait surtout cherché à assurer une cohérence entre leur traitement comptable et fiscal. Le conseil « (…) un amortissement exceptionnel peut être pratiqué à partir de l’exercice à la clôture duquel est constatée une dépréciation effective et définitive de l’élément d’actif correspondant, entraînée par des circonstances exception-nelles ayant pour effet de ramener la valeur réelle de cet élément d’actif à un montant inférieur à sa valeur nette comptable (…) » Notes CE 14 octobre 2005, n° 260511, 9e et 10e s-s, SA Chiesi. CE 14 octobre 2005, n° 260486, 9e et 10e s-s, SCA Pfizer Pierre-Yves FAGOT Avocat, directeur du pôle Société et Financement pierre-yves-fagot.@lexing.law Paru dans la JTIT n°52/2006 p.8

Propriété Intellectuelle Edito Les règles entourant les accords de transfert de technologie depuis le 1er avril 2006 Les catégories d’accords qui peuvent être exemptés Les accords de transfert de technologie sont soumis au droit européen de la concurrence et peuvent à ce titre constituer des ententes anticoncurrencielles à moins de bénéficier d’exemptions catégorielles ou individuelles, lorsque leur effet sur la concurrence est positif. Le 27 avril 2004, la Commission européenne adoptait un nouveau règlement d’exemption relatif à certaines catégories d’accords de transfert de technologie (1). Il était prévu par ce texte une période transitoire durant laquelle les entreprises européennes devaient se mettre en conformité avec ses dispositions. Depuis le 1er avril 2006, tous les accords de transfert de technologie doivent être conformes aux dispositions du règlement. Ce dernier modifie les conditions que doivent remplir les entreprises européennes pour bénéficier de l’exemption catégorielle. Les accords pouvant bénéficier de l’exemption sont les accords de licence de brevet, les accords de licence de savoir-faire, les accords de licence de droits d’auteur sur des logiciels et les accords mixtes de licence de brevet, de savoir-faire ou de droits d’auteur sur des logiciels. L’enjeu Ne pas encourir la nullité ni être sanctionné pour entente restrictive de concurrence si l’accord ne respecte pas les conditions posées par le règlement n°772/2004 relatif aux accords de transfert de technologie. Les conditions d’exemption à respecter Si les entreprises parties à l’accord sont concurrentes, elles pourront bénéficier de l’exemption si leur part de marché cumulée n’est pas supérieur à 20% des marchés concernés. Pour les entreprises non concurrentes, l’exemption s’appliquera si la part de marché détenue par chacune des parties sur les marchés concernés n’est pas supérieure à 30%. Le règlement distingue également les restrictions dites « caractérisées », qui prohibent l’exemption de l’accord dans lequel elles sont prévues, des restrictions dites « exclues », qui seront seules exclues du bénéfice de l’exemption, le reste de l’accord pouvant en bénéficier. Les entreprises qui ne respectent pas les dispositions du règlement n°772/2004 pourront se voir infliger une sanction pécuniaire (par une autorité de concurrence) ou des dommages et intérêts (par une juridiction de droit commun ou un tribunal arbitral). Les conseils Auditer toutes les clauses anticoncurrentielles des accords de transfert de technologie concernés afin de déterminer si ces derniers peuvent faire l’objet d’une exemption catégorielle ou d’une exemption individuelle. Notes (1) Règlement CE n°772/2004 du 27 avril 2004 entré en application depuis le 1er avril 2006. Laurence Tellier-Loniewski Avocat, directrice du département Propriété intellectuelle laurence-tellier-loniewski@lexing.law Paru dans la JTIT n°52/2006 p.5

Flash Info La Convention internationale sur la cybercriminalité opposable aux justiciables français La Convention internationale sur la cybercriminalité et le protocole additionnel à cette convention sont désormais opposables et invocables par les justiciables français. Ils sont en effet entrés en vigueur avec l’adoption des décrets du 23 mai 2006. Cette convention est premier traité international sur les infractions pénales commises via internet et d’autres réseaux. Elle permet d’harmoniser les qualifications pénales relatives à la cybercriminalité dans le droit national d’une quarantaine d’Etats signataires(des définitions communes aux infractions contre la confidentialité, l’intégrité et la disponibilité des données et systèmes informatiques, infractions informatiques, infractions se rapportant au contenu et infractions liées aux atteintes à la propriété intellectuelle et aux droits connexes), de modifier les procédures pénales en vigueur dans les Etats afin de leur donner les pouvoirs nécessaires à l’instruction et à la poursuite des infractions de ce type et de mettre en place un régime rapide et efficace de coopération internationale. Cette convention ne vise toutefois pas la condamnation du racisme et de la xénophobie sur l’internet, question est très sensible, puisque certains pays anglo-saxons ou d’Europe du Nord se refusent à condamner de tels actes, au nom de la liberté d’expression et deviennent par là même de véritables « paradis cybercriminels ». Seul le protocole « additionnel » demandé par la France et relatif à l’incrimination d’actes de natures raciste et xénophobes commis par le biais des systèmes informatiques couvre de telles incriminations. Du fait de leur publication au JO, les deux textes deviennent opposables et invocables par les justiciables français. Décret n° 2006-597 du 23 mai 2006 Décret n°2006-580 du 23 mai 2006 Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Evénement Presse-TV INFORMATION & SYSTEMES Articles reproduits avec l’aimable autorisation de Information & Systèmes N°7 – octobre 2006 Ariane Delvoie Canaliser les réseaux P2P : Principes et mode d’emploi N°5 – mai 2006 Benoit de Roquefeuil Gérer la responsabilité contractuelle N°4 – avril 2006 Ariane Delvoie Mieux encadrer les contrats offshore N°3 – mars 2006 Chloé Torres Bien protéger son patrimoine intellectuelle N°2 – février 2006 Isabelle Pottier Hot line d’éthique : la délation reste sous contrôle

Parus dans l’Informatique professionnelle n°226 août/septembre 2004 Danièle Veret et Valérie Cotto Dialogue compétitif : une procédure adaptée n°225 juin/juillet 2004 Laurence Tellier Loniewski Une protection par brevet ou par secret n°224 mai 2004 Pierre-Yves Fagot Sécurité financière : une « Sardanes-Oxley » à la française n°223 avril 2004 Marion Depadt-Bels Logistique : optimiser juridiquement votre supply chain n°222 mars 2004 Chloé Torres Knowledge management : Quatre étapes de valeur n°218 novembre 2003 Isabelle Tellier Les éléments clés d’un projet

Projet de décret relatif aux déclarations et autorisations en matière de cryptologie Un projet de décret relatif aux déclarations et autorisations relatives aux moyens et prestations de cryptologie a été notifié aux instances communautaires, conformément au régime applicable en matière de règles techniques de la société de l’information puisque ce texte est en effet pris en application des articles 30 et 31 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Ces dispositions de la LCEN renversent complètement le régime d’encadrement de la cryptologie, en posant un principe général de liberté d’utilisation des moyens de cryptologie. L’autorisation préalable du Premier ministre n’est plus requise que dans un seul cas : le transfert vers un Etat membre de la Communauté européenne et l’exportation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, c’est-à-dire de moyens de cryptologie susceptibles d’assurer une fonction de confidentialité. Le projet de décret fixe les conditions dans lesquelles sont souscrites les demandes d’autorisation, les délais dans lesquels le Premier ministre statue sur les demandes d’autorisation ainsi que les catégories de moyens de cryptologie dont le transfert ou l’exportation peuvent être dispensés de toute formalité ou soumise au régime de déclaration organisé par le III de l’article 30. Il met en place un régime dérogatoire pour les moyens de cryptologie peu sophistiqués qui ne présentent pas de danger pour l’ordre public. Toute entreprise européenne intéressée par ce projet de décret a la possibilité de faire les remarques nécessaires auprès des instances communautaires d’ici au 30 août 2006. Projet de décret Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Le courrier électronique professionnel bientôt définit par le législateur Pour combler l’absence de définition légale du « courriel public » et endiguer les contentieux qui se multiplient, des Sénateurs proposent de compléter la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) par un article définissant le courrier électronique professionnel, comme « tout courrier électronique dont le titre ou le nom du répertoire dans lequel il est archivé, est relatif à l’organisation, au fonctionnement ou aux activités de l’entreprise, l’administration ou l’organisme qui emploie l’expéditeur ou le destinataire dudit courrier ». La proposition de loi prévoir en outre de considérer les mèls professionnels, comme n’étant pas soumis au secret de la correspondance privée, car assimilables à des courriels publics. Ce texte aurait ainsi le mérite de fixer un principe directeur clair pour distinguer un mèl professionnel d’un mèl privé. Rappelons que l’ouverture à tort d’un mèl personnel est une atteinte au secret de la correspondance pénalement sanctionnée : un an de prison (trois ans pour un fonctionnaire) et 45 000 euros d’amende. Proposition de loi N° 385 visant à définir le courrier électronique professionnel, déposée au Sénat le 13 juin 2006 Isabelle Pottier, Avocate isabelle-pottier@lexing.law

26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie Dans son dernier rapport d’activité pour l’année 2005, la Cnil revient sur la doctrine qu’elle a établie depuis plusieurs années en matière de biométrie. Elle réaffirme ainsi la grande distinction qu’elle opère entre les traitements de données biométriques portant sur des éléments traçables dits « à trace » et ceux ne portant pas sur ce type d’éléments dits « sans trace ». Ces derniers consistent essentiellement en l’utilisation de techniques de reconnaissance de la rétine ou de reconnaissance par le contour de la main. Ne permettant pas, en eux-mêmes, de reconnaître un individu à son insu en collectant ses données biométriques sans qu’il en ait conscience, la Cnil considère qu’il ne s’agit pas de traitements de données biométriques dangereux et autorise en général leur mise en oeuvre. Concernant les traitements laissant des traces et, en particulier, ceux utilisant la reconnaissance par empreinte digitale, la Cnil considère qu’ils peuvent permettre une collecte de données biométriques des personnes à leur insu, ce qui les rend, de fait, dangereux. La Cnil a donc établi les critères selon lesquels la mise en oeuvre de traitements de données biométriques laissant des traces est susceptible d’être autorisée en déterminant ainsi trois niveaux différents. Le premier niveau correspond à un impératif de sécurité élevée, comme un contrôle aux frontières, par exemple. Dans ce cas, la Cnil autorise la mise en oeuvre d’un traitement de données à caractère biométrique laissant des traces. Le second niveau correspond à un impératif de sécurité moindre comme par exemple l’accès de salariés à des locaux sécurisés (ceux de La Poste ou d’aéroports). Dans ce cas, la Cnil pour autoriser le traitement mis en œuvre demande que les données biométriques laissant des traces soient stockées dans un support individuel et non dans une base de données centralisée. Le troisième niveau correspond à une absence d’impératif de sécurité. Dans ce cas, la Cnil peut autoriser la mise en oeuvre d’un traitement de données biométriques laissant des traces dès lors que les données biométriques sont stockées sur un support individualisé (une carte à puce) et, qu’en outre, l’utilisation de ce système biométrique reste facultatif pour les personnes concernées. Concernant la biométrie de confort, la Cnil a ainsi autorisé la mise en place d’une carte de fidélité permettant à des voyageurs de stocker leurs empreintes digitales sur une puce, de manière facultative, afin d’accéder à des services particuliers. L’ensemble des décisions de la Cnil relatives à la mise en oeuvre de traitements de données biométriques ainsi que son rapport d’activité annuel sont accessibles depuis le site de la Cnil www.cnil.fr.

La Nouvelle charte du .fr Depuis le 20 juin 2006, toute personne majeure disposant d’une adresse postale en France depuis plus de trois mois consécutifs (ainsi que toute personne morale ayant son siège social en France) peut souscrire un nom de domaine avec l’extension en point fr. Il convient toutefois de vérifier que le nom de domaine choisi n’entre pas en conflit avec une marque ou dénomination sociale préexistante. Les règles d’enregistrement pour les noms de domaine se terminant en .fr se trouvent dans la nouvelle charte de l’Afnic (Association Française pour le Nommage Internet en Coopération) modifiée le 20 juin 2006. La charte de nommage prévoit notamment des contraintes syntaxiques ainsi qu’une liste de termes interdits (termes injurieux, racistes, grossiers,etc.) et réservés (termes techniques de l’internet, noms des professions réglementées, etc.). En pratique, il suffit de s’adresser à un prestataire de service internet membre de l’Afnic (fournisseur d’accès, hébergeur de site…), qui se chargera des formalités la plupart du temps contre rémunération, comprenant notamment le coût d’intervention de l’Afnic. Charte de nommage du .fr Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Projet de loi sur le droit d’auteur : La Commission mixte paritaire rend son rapport La Commission mixte paritaire a tenté de trouver un compromis sur les thèmes les plus controversés du texte : l’interopérabilité des supports de lecture avec les mesures techniques de protection des oeuvres d’une part et le régime gradué de sanctions pénales d’autre part. Sur l’intéropérabilité, le nouvel article L. 331-5 inséré dans le code de la propriété intellectuelle prévoit notamment que « Les mesures techniques ne doivent pas avoir pour effet d’empêcher la mise en oeuvre effective de l’interopérabilité, dans le respect du droit d’auteur. Les fournisseurs de mesures techniques donnent l’accès aux informations essentielles à l’interopérabilité dans les conditions définies aux articles L. 331-5-1 et L. 331-5-2 ». Sur le régime gradué de sanctions pénales, la nouvelle rédaction de l’article L. 335-2-1 du CPI exclue du champ de la responsabilité pénale l’édition et l’utilisation des « logiciels destinés au travail collaboratif, à la recherche ou à l’échange de fichiers ou d’objets non soumis à la rémunération du droit d’auteur ». Malgré les cinquante-cinq propositions de rédactions communes présentées par les deux rapporteurs, des divergences demeurent à l’issue du travail de la CMP, qu’il s’agisse de l’interopérabilité (notion non définie par la loi et risquant d’entraîner de nombreux contentieux), des montants de la contravention en matière de téléchargement illicite (cette infraction serait-elle constituée pour chaque fichier téléchargé ou comptabilisée par téléchargement quel que soit le nombre de fichiers concernés ?), ou encore à la responsabilité pénale des éditeurs de logiciels. Sur ce dernier point, bien qu’il soit sensé mettre à l’abri de la responsabilité pénale les seuls éditeurs et fournisseurs de logiciels non susceptibles d’être utilisés pour porter atteinte au droit d’auteur, l’article L. 335-2-1 risque du fait de son imprécision sur la notion de travail collaboratif, d’être la source de nombreuses contestations qui compromettraient l’efficacité du dispositif adopté. Seuls les parlementaires de l’UMP ont approuvé le texte amendé par la CMP dit texte de « compromis ». Ce texte sera présenté le 30 juin 2006 aux parlementaires, députés et sénateurs, qui seront amenés à se prononcer pour son adoption définitive. Rapport n°4191 du 22 juin 2006 Isabelle Pottier, Avocate isabelle-pottier@lexing.law

Edito Nouvelles clauses, nouveaux contrats Nouvelles clauses L’évolution des réglementations générales ou sectorielles(1), comme l’adoption de nouvelles pratiques, parfois inspirées des standards COBIT ou ITIL, bouleversent les traditionnels contrats de l’informatique. Une mise en conformité légale des pratiques contractuelles s’impose, par exemple, en matière de protection des données personnelles, alors que les principes de la gouvernance infiltrent les dispositifs contractuels. L’utilisation des adresses électroniques des interlocuteurs contractuels nécessite d’être encadrée, au regard du principe de transparence des finalités pour lesquelles des données à caractère personnel peuvent être collectées(2). Le recours à un prestataire de services, dès lors que son intervention concerne le domaine des données personnelles, peut imposer l’introduction de certaines clauses relatives aux mesures de sécurité et de confidentialité à respecter, étant précisé qu’un contrat est obligatoire en cette matière(3). La généralisation des échanges par voie de courrier électronique amène également à prévoir une clause destinée à encadrer cette pratique dès lors qu’une relation contractuelle s’établie sans dispositif de signature électronique. Les chartes d’utilisation des systèmes d’informations doivent aussi tenir compte des enseignements de la loi relative à la lutte contre le terrorisme, en matière de conservation des données techniques de connexion des salariés ou encore, pour traiter de la question de l’utilisation du système d’information par les institutions représentatives du personnel(4). L’enjeu Adapter les pratiques contractuelles à l’évolution des réglementations générales ou sectorielles.Des révisions, parfois profondes, s’imposent. Les nouveaux contrats Du côté des nouveaux contrats, on ne peut ignorer ceux dont l’objectif est d’instituer des règles de gouvernance issues des contraintes de la SOX(5) ou de la loi de sécurité financière(6) dans les relations contractuelles entre les clients et les fournisseurs. Il en est de même au plan international, des contrats emportant flux transfrontières de données à caractère personnel et qui doivent intégrer la réglementation relative à la protection des données. Dès lors, même si le principe, en matière de contrat, reste celui de la liberté(7), force est de constater que de nouvelles limites lui sont posées par l’évolution de la réglementation. Notes (1) Arrêté du 31/03/2005 applicable à l’externalisation des prestations de services du secteur bancaire et financier. (2) Art. 6 de la loi du 06/01/1978 modifiée. (3) Art. 35 de la loi du 06/01/1978 modifiée. (4) Loi n°2004-391 du 04/05/2004. (5) Loi Sarbanes-Oxley. (6) Loi n°2003-706 du 1er août 2003. (7) Article 1134 du Code civil. Jean-François Forgeron Avocat, Directeur du département Grands Projets. jean-francois-forgeron@lexing.law Paru dans la JTIT n°52/2006 p.1

Interview Mr RAGOT, Directeur du système d’information de Bergère de France (*) L’informatique doit avant tout être au service du business ! Que recouvre exactement la fonction de directeur informatique de Bergère de France ? Elle ressemble davantage à la fonction de DSI d’une société de vente à distance et de B2B, qu’à celle d’une filature. Je suis un DSI de la distribution et du marketing avant d’être, en complément, un DSI industriel. Notre image de fabricant de laine est ambivalente au plan informatique, car notre gestion de production gère certes une filature moderne, mais les deux tiers de nos systèmes sont aujourd’hui au service du commercial, avec un important fichier marketing et des applications CRM. La principale caractéristique de notre système d’information est de s’intéresser d’abord à l’entité client pour ensuite servir le produit efficacement. Dès le premier contact avec la cliente, il est capable de vérifier d’emblée puis de mettre à jour en back office, l’identification au fichier (caractéristiques commerciales, gestion des adresses et doublons), puis de mettre en route les processus de vente et de services à la clientèle, couplés à de nombreuses offres promotionnelles. Il s’est étendu en fonctions et en moyens, il y a une dizaine d’années, lorsque nous avons diversifié notre canal clients en vendant notre laine à des professionnels B2B (revendeurs). Aujourd’hui, 30 % de notre chiffre d’affaires est réalisé avec eux contre 70 % en VPC. Les nouvelles technologies ont-elles bouleversées votre activité ? Notre passage à l’Internet a été facilité au plan fonctionnel par notre savoir-faire en terme de transaction et de saisie de commande par Minitel (en 1989, 5 % de nos commandes y transitaient). Fort de cette expérience, nous avons mis en route un système de prise de commande par Internet, relié à notre informatique institutionnelle, qui permet actuellement de réaliser 15 % de notre CA avec des pointes à 18 %. L’un de nos objectif est de développer encore plus la partie prise de commande par Internet tout en lui intégrant de plus en plus, les services du back office. Par exemple, en perfectionnant encore l’affichage de nos renseignements au service de la cliente, sur la traçabilité de sa commande ou encore des conseils tricots. Nous sommes également en train de perfectionner l’infocentre marketing sur Mainframe, afin de faciliter l’accès de notre base de données marketing aux commerciaux qui pourront ainsi faire plus aisément des analyses multidimensionnelles depuis leurs micros via des outils modernes d’extraction. Quelles évolutions votre informatique va-t-elle connaître dans les deux ans à venir ? Notre credo est de désynchroniser le plus possible les évolutions technologiques des évolutions fonctionnelles afin de ne pas perturber le business. Actuellement, nous avons une informatique à trois niveaux, le Mainframe (gros serveur central gérant les stocks, la base de données marketing et le front de vente VPC), des minis (ordinateurs dédiés et progicialisés pour la logistique, la comptabilité, la paye, etc.) et un réseau de micros et serveurs sous extranet. C’est une informatique « satellitaire » pour tout ce qui est diversification de processus et de canaux de vente qui conserve le noyau dur sur Mainframe pour la partie gestion de stock et facturation. Notre gestion satellitaire sur minis et micros se trouve fédérée autour du serveur central sur lequel se trouvent nos applicatifs majeurs développés et administrés sous atelier de génie logiciel normatif, générant aujourd’hui du Cobol. Néanmoins, pour éviter l’obsolescence et recentrer certains processus aujourd’hui parcellisés, nous visons pour les trois ans à venir, une reconversion partielle, graduelle et raisonnée d’un certain nombre de traitements, en technologie J2EE et architecture orientée services, tout en intégrant au quotidien, sans interférences de délais, les demandes d’évolution fonctionnelle des utilisateurs (par exemple, le développement des points relais de livraison). (*) http://www.bergeredefrance.fr/ Interview réalisée par Isabelle Pottier, avocat. Parue dans la JTIT n°53/2006 p.10

Loi du Mois Projet de loi modifiant la  » convention mère  » du 28 janvier 1981 Un projet de loi autorisant l’approbation du protocole additionnel à la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, concernant les autorités de contrôle et les flux transfrontières de données, a été déposé au Sénat le 24 octobre 2006. Il est destiné à renforcer la mise en oeuvre des principes contenus dans la convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et entrée en vigueur le 1er octobre 1985. L’ajout de deux dispositions importantes à la  » convention mère  » a été décidé : imposer l’instauration par les États Parties d’une ou plusieurs autorités de contrôle, renforçant ainsi la protection des droits et libertés de l’individu à l’égard du traitement des données à caractère personnel. encadrer soigneusement les flux transfrontières de données à caractère personnel vers les pays ou organisations n’étant pas Parties à la convention. Projet de loi n°37 du 24 octobre 2006