Bonjour, veuillez faire une sélection:

(*format pdf)

(** à défaut d'un CP en format pdf, vous pouvez nous envoyer les infos ici)

Vos infos

Suivez-nous

(Mais pas de trop près quand même...)

Avis d'Experts

Affaire IBM C/ MAIF : La promotion de l’agilité ou les enseignements d’une saga judiciaire sur les rapports client prestataire

Jean-Pierre Gasnier, avocat

Publié

le

Jean-Pierre Gasnier – Avocat spécialiste en droit de l’informatique et des TIC s’ intéresse dans cet Avis d’Expert à l’analyse d’un important arrêt en matière informatique : l’affaire IBM c/ MAIF qui permet de nous éclairer quant aux précautions à envisager en général dans les contrats d’intégration et plus généralement les contrats informatiques dans lesquels il y a du développement.

Affaire IBM C/ MAIF :  La promotion de l’agilité ou les enseignements d’une saga judiciaire sur les rapports client prestataire

C’est une véritable saga judiciaire qui vient de se clôturer par une décision de la Cour d’appel de Bordeaux du 25 janvier 2015.

La MAIF, qui avait fait appel à IBM pour un projet d’intégration ayant amplement dérapé en coûts et en délais, avait obtenu d’un tribunal la nullité du contrat au motif que IBM avait fait preuve de réticence dolosive vis-à-vis de son client, autrement dit lui avait volontairement caché les conséquences de certaines décisions.

L’affaire après avoir été entendue par la Cour d’appel puis par la Cour de cassation est revenue devant la Cour d’appel de Bordeaux après cassation. A l’issue de cette décision, alors que devant la première cour d’appel le client avait été condamné à payer de très importantes sommes à titre de factures impayées, la seconde cour d’appel statuant après cassation décide de prononcer la résolution du contrat aux torts du prestataire, IBM.

Il convient de s’intéresser aux enseignements de cette décision et d’en tirer les leçons qui s’imposent dans les rapports entre prestataires et clients.

En effet, la cour d’appel fait grief au prestataire en sa qualité de maître d’œuvre, d’avoir laissé dériver le projet au regard des délais prévus au contrat d’intégration en raison « d’un planning sans élasticité construit à partir d’une conception générale fonctionnelle ». De là à en déduire que la cour promeut le recours aux méthodologies agiles, il n’y a qu’un pas que nous sommes assez prêt à franchir. En effet, la Cour précise que pour une première période en janvier 2005, « IBM s’était engagée sur un calendrier sur la base d’une conception générale pertinente au niveau fonctionnel, mais non suffisante pour établir un planning contenant une « fenêtre de tir » du fait d’un calendrier critique qui n’était plus tenable dès avril 2005 ». Ce sont ces manquements du prestataire qui sont directement, selon la cour, à l’origine de l’échec du projet et qui en raison de leur gravité justifient la résolution du contrat aux torts exclusifs d’IBM « eu égard à l’impossibilité de refondre le projet initial à des conditions acceptables pour la MAIF en termes de délais et de budget ».

Autrement dit, le fait que le contrat et la position de IBM dans leur rigidité ne permettent pas une révision des conditions du contrat ou à tout le moins de trouver les conditions d’un nouvel accord sont la cause de l’échec. Il est donc plus que vivement conseillé, dans les contrats d’intégration, de prévoir des dispositions permettant de renégocier ou à tout le moins d’ajuster les délais et/ou le prix.

Cela étant, l’arrêt est également intéressant en ce qu’il relève une très forte implication du client dansl le projet, dépassant le simple rôle de maître d’ouvrage pour déborder sur la maîtrise d’œuvre. On peut alors s’étonner que la cour ait prononcé la résolution du contrat aux torts exclusifs du prestataire, puisqu’elle a par ailleurs relevé que «les augmentations du budget étaient « en partie liées aux exigences de la maîtrise d’ouvrage » donc du client et que les équipes techniques de celui-ci, « loin d’être de simples exécutants du projet ont été des acteurs important puisqu’ elles l’ont activement copiloté avec IBM ».

On pourrait penser que cette motivation plaide, au contraire de la précédente, en défaveur de l’agilité. Il n’en n’est rien. En effet, dans un contrat agile bien rédigé, les rôles des uns et des autres sont parfaitement définis et la collaboration active des parties ne signifie pas l’anarchie ou l’ingérence du client dans le travail du prestataire et vice versa. C’est cela que la cour pointe du doigt ici. Attention donc dans la conduite de projet à ce respect du périmètre de chacun. Encore faut-il qu’il ait été clairement envisagé.

D’ ailleurs, dans les conclusions du rapport d’expertise, il avait été mentionné  que « les difficultés de pilotage et d’organisation du projet étaient aussi imputable à un fort cloisonnement et à un manque de collaboration solidarité entre les différentes équipes (…) voire un esprit de corps incompatible avec le travail d’équipe ».

L’histoire se termine par la condamnation d’IBM a payer 1,6 millions d’Euros au titre des sommes déjà payées par la MAIF et devant être restituées, outre 5 millions d’Euros au titre des « conséquences du retard de mise en œuvre du logiciel ». De quoi faire réfléchir à la rédaction soigneuse des contrats, trop souvent négligés si ce n’est rédigés à la hâte plusieurs mois après le démarrage du chantier….

Quoi qu’on puisse penser de la décision et de ses aspects par certains côtés critiquables juridiquement, pour qui a une vue d’ensemble de cette saga judiciaire, il apparaît clairement que se dégage l’obligation pour les parties et les rédacteurs de contrats, d’introduire de la flexibilité dans les contrats d’intégration. Triomphe de l’agilité ? On le dirait. Une affaire en tout cas  qui risque d’en inspirer pus d’un !

Jean-Pierre Gasnier – Avocat associé Cabinet AKHEOS – Spécialiste en droit de l’informatique et des TIC

Facebook Comments
Lire la suite
Commenter

Répondre

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.

Avis d'Experts

[Avis d’Experts] Quel cheminement juridique, technique et organisationnel pour une conformité RGPD ?

Le règlement RGPD entrera en vigueur le 25 mai 2018. Il comporte un certain nombre d’obligations vis-à-vis du détenteur des données personnelles à savoir tout citoyen européen. Alors quel cheminement juridique, technique et organisationnel faut-il emprunter pour une conformité RGPD ?

Publié

le

Quel dirigeant ou directeur métier, quel DSI ou directeur juridique, n’a pas eu ces derniers mois un flot de demandes de contacts et d’offres promotionnelles pour « gérer la conformité » RGPD ? En effet derrière ce sigle se cache l’application du Règlement européen sur la protection des données 2016/679 du 27 avril 2016 (dit Règlement « RGPD »).
Ce règlement majeur en matière de confidentialité des données personnelles entrera en vigueur le 25 mai 2018. Il comporte un certain nombre d’obligations vis-à-vis du détenteur des données personnelles à savoir tout citoyen européen. Renversant les problématiques habituelles de gestion des données, le principe d’octroi à tout un chacun de droits de gestion et d’information sur l’usage de ses données personnelles est un sacré challenge pour les informaticiens, les juristes et finalement pour tout manager chargé d’organiser son métier. Le règlement touche les entreprises comme les collectivités et les associations.

Les bonnes questions à se poser et quels sont les risques ?
Pour donner une idée globale de l’effort à fournir, il va falloir se poser des questions clés en matière juridique, technique et organisationnelle. Par exemple, quelles sont ces données personnelles ? Comment les collectons-nous ? Dans quel but ? Ce but est-il légal ? Comment protégeons-nous ces données ? Sont-elles gérées par affectation de pseudonymes, pour éviter de voir en clair de qui il s’agit ? Dans quelles applications, quelles bases de données, quelles sauvegardes ? Comment supprimons-nous ces données si la personne à laquelle elles appartiennent en fait la demande ? Comment faire face à une demande d’information ou de contrôle émanant des pouvoirs publics ou d’un groupement de personnes ? Comment gérer une fuite de données personnelles ?…
Il y a matière à œuvrer d’autant plus que les risques sont significatifs ! En effet, le RGPD prévoit des sanctions directes sous forme d’amendes (jusqu’à de 4% du CA annuel mondial ou 20M€). Sans parler de la crise de e-réputation à gérer : l’image de l’organisation peut être gravement atteinte.
Les dirigeants doivent aussi songer aux risques de sanctions civiles et pénales engendrées par le RGPD : procès intentés sous forme d’actions de groupe par les personnes lésées (clients, administrés, salariés…), procès individuels en violation d’un texte pénal (en moyenne le Code pénal prévoit des peines maximales de 1,5 M€ pour les entreprises et 5 ans d’emprisonnement).
Ceci étant dit, les dirigeants sont habitués à prendre des risques et ceux apportés par la RGPD, fussent-ils significatifs, viennent grossir des rangs déjà nourris. Il est alors important de souligner le rôle moteur que doivent prendre les collaborateurs directs du dirigeant : il s’agit des Directeurs et Managers de la Direction Juridique, de la Direction des Systèmes d’Information, des Directions Métiers.
En RGPD, le pragmatisme doit être premier et persévérant. Deux grandes phases sont à mener pour créer et gérer le processus GDPR de son organisation : la phase Concevoir et Construire, la phase Opérer et Maintenir. Elles peuvent être traitées en parallèle ou de façon consécutive selon le contexte de votre organisation.

La Phase Concevoir & Construire (Design & Build)
Première chose à faire, se donner un cadre, comprendre sa situation propre et formuler un plan d’action. Cette phase est celle qui permet de cadrer le sujet et de lancer les projets juridiques, techniques et organisationnels nécessaires. C’est une phase d’audit et d’investissement. Elle regroupe les activités visant à sensibiliser et à former le management et les effectifs, à mobiliser les ressources clés pour travailler sur les axes juridiques, techniques et organisationnels, à cadrer et initier le Registre des Traitements (un dossier clé pour les contrôles ultérieurs). C’est aussi durant cette phase que l’on effectue des audits d’impact sur la confidentialité des données personnelles (Privacy Impact Assesment PIA) et que l’on définit le programme de projets RGPD. Ce programme d’action structure les projets juridiques, techniques et organisationnels à articuler et à gérer entre 2018 et 2020. Votre organisation va devoir mettre à jour des contrats internes et externes, des applications web ou traditionnelles, des architectures informatiques, des réseaux… Aménager ou créer des procédures de travail et les faire appliquer sera aussi un enjeu majeur…

La Phase Opérer & Maintenir (Run & Maintain)
Cette phase est celle qui gère le quotidien RGPD, elle vise la création et le maintien en conditions opérationnelles, avec les niveaux de traçabilité requis. Elle regroupe les activités visant à sensibiliser et former les nouveaux entrants, à gouverner et à manager le processus RGPD (pour disposer d’un dossier clair et probant en cas de contrôle…), réaliser les opérations typiques du RGPD (détection des incidents de diffusion de données personnelles, alerte des personnes impactées et de la CNIL, accueil et réponses aux demandes d’information des personnes…). Dans la phase il s’agira également de maintenir et apurer le Registre des Traitements mais aussi les processus et procédures RGPD, les applications, l’infrastructure technique et les contrats.

La chaine de responsabilité
Durant ces deux phases, deux types d’acteurs sont à mobiliser : les processeurs « fonctionnels » qui sont les acteurs qui vont permettre de gérer les traitements et sous-traitements sous leur angle fonctionnel (à travers les différentes applications contributives) et les processeurs « techniques » qui sont les acteurs qui portent les traitements : infogérants, intégrateurs, distributeurs, constructeurs de machines, hébergeurs, data center, opérateurs télécom… Le dirigeant et son équipe directe doivent aborder la chaine de responsabilité en matière de gestion des données personnelles pour trouver la limite de partage des eaux entre la responsabilité de l’organisation et celle de tiers.

En conclusion
Il apparaît que le processus RGPD attendu par l’Europe est difficile à mettre en œuvre car il est complexe en soi et qu’il convoque d’autres sujets techniques délicats. Le renforcement de la confidentialité des données personnelles doit en particulier s’appuyer sur une bonne maturité en cybersécurité.
Ceci étant dit, pas de panique, la CNIL, organisme français chargé de contrôler l’application du règlement RGPD, saura en 2018 faire preuve de souplesse pour accompagner les organisations dans leur démarche de maturation RGPD.
Attention la mise en place de ce processus RGPD n’est pour autant ni facile ni rapide. Des compétences existent sur le marché pour accompagner le Dirigeant et ses Directions. Il est utile de faire appel à des sociétés extérieures spécialisées pour traiter les sujets juridiques, techniques et organisationnels.
Des logiciels sont également à disposition au niveau des opérations détaillées (audit d’impact, recensement des traitements, analyse des bases de données, suivi des demandes de service, suivi des alertes…) et au niveau de la visibilité globale du processus RGPD (dossier d’audit dynamique des traitements, pilotage de la maturité vers la conformité…).
C’est l’alliance de travaux détaillés et d’une vision claire des Dirigeants, Directeurs et Managers sur leur avancement global en conformité RGPD qui fera la différence. Il faut être en mesure de prouver ses actions, disposer d’un solide dossier d’audit interne, pour se préparer aux requêtes ou aux actions en justice à venir.
On notera quand même que la RGPD est aussi une source d’opportunités : proposer des produits et services conformes RGPD donne aujourd’hui une avance concurrentielle significative à toutes les organisations qui collectent et traitent des données personnelles. Ajoutons pour terminer que proposer des objets connectés aux consommateurs européens implique d’ores et déjà un fort niveau de confidentialité et de sécurité informatique « by design », dès la conception des produits et services.
Faisons confiance aux Dirigeants pour séparer le bon grain de l’ivraie en matière de confidentialité et de sécurité de l’information. « Primus habere quod necesse est, sed quod sat est » (d’abord avoir ce qui est nécessaire puis ce qui suffit) disait Sénèque dans ses Lettres à Lucillius à l’époque romaine : il serait bon de reprendre ce conseil à son compte pour naviguer plus sereinement en RGPD en ce siècle de transformation numérique intense.

 

Frédéric Vilanova
Vice-Président CLUSIR-PACA
Dirigeant d’Effective Yellow

 

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’experts] Protection des données personnelles et sécurité numérique : quoi de neuf ?

Publié

le

Nombreux sont ceux qui ont entendu parler de la loi informatique et liberté qui, transposant notamment une directive communautaire d’octobre 1995, régissait la protection des données personnelles, à savoir les droits et obligations des entreprises et les droits des personnes concernées par la collecte et le traitement de ces données.

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce règlement intervient après deux arrêts importants de la Cour de Justice de l’Union européenne[1] qui ont souligné la nécessité de prévoir des garanties effectives et concrètes pour la protection des données. Il manifeste également la volonté claire de l’Union européenne de garantir les droits des personnes sur leurs données personnelles comme des droits fondamentaux conformément à l’article 16 du Traité FUE[2].

Ce règlement a également pour effet d’instaurer un droit totalement unifié dans l’ensemble des pays membres de l’Union Européenne.

Que contient ce texte ?

1./ Il énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • la nécessité d’obtenir de la personne qu’elle indique clairement qu’elle consent au traitement des données à caractère personnel article 7), notamment le consentement parental pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • les droits à la rectification, à l’effacement des données et à l’oubli (article 17)
  • l’encadrement des activités de profilage et notamment la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage (article 20)
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).
  • le droit à la portabilité des données d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants). Parmi ces obligations figure celle, essentielle, consistant à mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.

Par ailleurs plusieurs dispositions de ce règlement constituent des nouveautés :

Ainsi, le chapitre V, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue un point majeur de ce règlement. Il institue notamment un recours quasi systématique au binding corporate rules, ce qui doit inciter les entreprises à se doter d’outils de compliance.

De plus, le règlement instaure un « mécanisme de cohérence » (article 57), ainsi que des dispositions relatives aux  autorités de contrôle (chapitre VI et VII) destinées à renforcer la coopération entre ces dernières et à développer un véritable marché intérieur des données.

Les articles 78 et suivants traitent des sanctions, qui se voient renforcées (jusque 4% du chiffre d’affaires annuel total mondial) afin d’assurer une meilleure efficacité.

Mais surtout, le règlement invite les entreprises à mettre en place étude d’impact sur la vie privée, avant tout lancement d’un nouveau produit ou service, faisant ainsi la promotion de la Privacy by design. Le respect de la vie privée et des données personnelles doit être pris en compte dès la conception du produit ou du service.

Si les obligations des entreprises en matière de sécurité et notamment de sécurisation de leur environnement numérique et d’adoption de règles de compliance sont renforcées, le règlement prévoit également un allègement de nombreuses obligations administratives.

La gestion du risque constitue donc un des aspects majeurs de ce règlement et incombe aux entreprises et aux  autorités qui gèrent des données personnelles. Cela ne sera pas sans conséquence sur la responsabilité civile des entreprises qui doivent a minima suivre quelques recommandations :

Faire auditer les traitements de données de l’entreprise sous l’angle technique, juridique et managerial et mettre en place les études d’impact (Privacy Impact Assesment).

Faire auditer leur système d’information afin de s’assurer de la sécurisation effective des données (il ne s’agit pas seulement de s’assurer de l’existence d’un firewall).

Adopter des règles de compliance.

S’assurer qu’elles sont bien couvertes par leurs assurances responsabilité civile pour les risques concernés.

jp-gasnier-2

Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

 

[1] Arrêt de la CJUE du 8 avril 2014. Cette décision invalide la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a ; arrêt de la CJUE du 6 octobre 2015, qui invalide la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[2] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne

 

Facebook Comments
Lire la suite

Avis d'Experts

[Avis d’Experts] Panorama de droit du numérique

Publié

le

L’adoption de la nouvelle réglementation sur les données personnelles

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce texte énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • l’obligation d’obtenir le consentement préalable de toute personne dont les données sont collectées, cette personne devant être clairement informée du ou des traitements que subiront ses données. Le consentement parental est obligatoire pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • un droit renforcé afin d’obtenir la rectification, au besoin l’effacement des données et un droit à l’oubli.
  • la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage et un contrôle renforcé en cas de profilage consenti
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité à charge des personnes traitant des données personnelles. Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.
  • le droit à la portabilité des données personnelles traitées, d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants), notamment l’obligation de mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées.

Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Par ailleurs, le chapitre V du règlement, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales institue notamment un recours quasi systématique aux binding corporate rules, (contrats destinés à encadrer le traitement et la sécurisation des données), ce qui doit inciter les entreprises à se doter d’outils de compliance.

Projet de loi pour une république numérique

Même si certains le déplorent, le data mining ou « fouille de données » n’échappe pas, en l’état actuel du droit, au règles qui régissent le droit d’auteur et le droit des producteurs de bases de données. Il est donc nécessaire pour effectuer des opérations de big data, d’obtenir les autorisations nécessaires des auteurs lorsque les données traitées sont soumises au droit d’auteur et du producteur de la base de données lorsque ces données sont récupérées dans une base, ce qui est le cas quasi systématiquement.

Il est toutefois apparu nécessaire au législateur de créer une exception afin de permettre le développement du traitement de données en masse. Ainsi, le texte du projet de loi voté par l’Assemblée nationale le 20 juillet dernier dispose que l’auteur ne pourra interdire les « copies ou reproductions numériques réalisées à partir d’une source licite, en vue de l’exploitation de textes et de données incluses ou associées aux écrits scientifiques pour les besoins de la recherche publique, à l’exclusion de toute finalité commerciale ».

Clairement, cette exception, qui n’est pas un texte encore en vigueur, ne concerne que les chercheurs, mais ne saurait s’appliquer aux entreprises traitant du data mining à titre commercial. Dans la mesure où le texte vise les traitements en dehors de toute visée commerciale, il ne devrait pas être possible de contourner la règlementation en confiant à des chercheurs publics certains traitements à visée commerciale, sous couvert de recherche.

Bref, les entreprises devront toujours veiller au respect du droit d’auteur, sans se bercer d’illusions.

Contrefaçon de logiciel commise par un coauteur

Dans un arrêt rendu par la première chambre civile le 15 juin 2016, la Cour de cassation a considéré que « l’exploitation d’un logiciel par un de ses co-auteurs sans l’accord de l’autre porte nécessairement atteinte aux droits de celui-ci et constitue une contrefaçon ». En l’espèce, deux personnes avaient développé un logiciel. L’un des développeurs, qui estimait être seul auteur a assigné en contrefaçon la société qui exploitait le logiciel et le second créateur qui revendiquait, lui aussi, la qualité d’auteur à titre exclusif.

La société faisait valoir que le logiciel lui appartenait car les auteurs étaient ses salariés. Or, le Code de la propriété intellectuelle prévoit que les logiciels créés par les salariés dans l’exercice de leur fonctions ou sur instruction de l’employeur, appartiennent à l’(employeur.  La Cour de cassation a approuvé le raisonnement de la cour d’appel qui a rejeté les arguments de la société au motif que la divulgation du logiciel était intervenue avant la création de la société et qui avait constaté qu’aucun apport des droits sur le logiciel à la société n’avait été fait. Dès lors, le logiciel développé par deux co-auteurs ne pouvait être qu’une œuvre de collaboration. Il en résulte que l’exploitation par un des co-auteurs suppose l’accord de l’autre. A défaut, il s’agit d’une contrefaçon.

On en saurait assez rappeler la nécessité de s’assurer de la titularité des droits d’auteur sur les logiciels, surtout dans les startups qui emploient souvent des stagiaires ou qui exploitent des logiciels créés avant que le société ne soit elle-même créée. La consultation d’un juriste spécialisé peut s’avérer plus qu’utile et éviter bien des déboires.

Protection du secret des affaires

L’Union européenne vient d’adopter une directive (Directive UE n° 2016/943 du 8 juin 2016) consacrant la protection du secret des affaires. Il ne s’agit pas ici de faire une présentation exhaustive de ce texte qui devra être intégré dans le droit des états membres avant le 9 juin 2018.

Il faut toutefois retenir que le secret des affaires, comme son nom l’indique, doit être couvert par le secret. En quoi cela concerne-t-il les activités numériques ? Tout simplement parce qu’il appartient à celui qui se prévaut du secret sur quelque information sensible, de prouver qu’il a mis en œuvre les moyens destinés à préserver ce secret, notamment les moyens physiques destinés à protéger l’accès à ses réseaux, en tenant compte de l’état actuel de la technique.

Soulignons également que des moyens juridiques devront être mis en place (accords de confidentialité rédigés le plus clairement possible, clauses dans les contrats de travail, les pactes d’actionnaires etc.)

Enfin, le secret des affaires ne crée pas un droit de propriété intellectuelle sur les informations. Sa communication doit donc être entourée de précautions. Les « NDA » (accords de confidentialité) que l’on peut trouver sur le net sont largement insuffisants..

« Les informations courantes et l’expérience et les compétences obtenues par les travailleurs dans l’exercice normal de leurs fonctions » sont exclus du champ du secret des affaires. Reste à définir la notion d’exercice normal des fonctions, ce qui suppose que les entreprises prennent soin d’établir des fiches de poste claires. Sont également exclues de la protection « les informations qui sont généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou qui leur sont aisément accessibles ».

Nul doute, au vu de ce texte, que la rédaction des accords de confidentialité, qui sont trop souvent  et à tort, perçus comme de simple formulaires à remplir, va s’en trouver profondément bouleversée.

jp-gasnier-2Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

Facebook Comments
Lire la suite

Facebook

Trending

X
X