Voici la liste des articles publiés par notre cabinet.

Passation dématérialisée, open data et signature électronique

Le plan de Transformation Numérique de la Commande Publique, adopté en décembre 2017, prévoit la dématérialisation complète de la commande publique sur une période de 5 ans, de 2017 à 2022.

Ce plan a été initié par la nécessité de transposer plusieurs directives européennes[1], et s’inscrit dans le cadre de la numérisation des services publics et dans la perspective de la République numérique.

Les trois chantiers majeurs de ce plan de transformation sont :

  • la dématérialisation de la passation des marchés,
  • l’encadrement de la signature électronique et
  • l’accès au public des données essentielles des marchés.

Depuis le 1er avril 2018, les acheteurs ont déjà l’obligation d’accepter le Document Unique de Marché Européen (DUME) électronique, lorsque celui-ci est transmis par une entreprise candidatant à la passation d’un marché public. La signature électronique a également été réalignée récemment sur les règles européennes[2].

La prochaine étape est la généralisation de la passation des marchés publics par voie électronique, déjà en vigueur depuis le 1er avril 2017 pour les centrales d’achat. Cette dématérialisation « par défaut » s’accompagnera, pour le 1er octobre 2018 également, du déploiement d’une démarche d’open data sur les données essentielles des marchés publics et contrats de concessions.

Les modalités de cette dématérialisation sont fixées par le Décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics (pris en application de l’ordonnance n°2015-899 du 23 juillet 2015).

 

La fin de la passation des marchés publics sur document papier

A partir du 1er octobre 2018, les marchés publics dont la valeur du besoin est estimée égale ou supérieure à 25.000 euros HT (hors marchés de la défense et de la sécurité notamment[3]) devront obligatoirement être passés sous forme numérique. Les offres « papier » ne seront alors plus recevables.

La procédure de ces marchés devra intégralement être conduite via une plate-forme d’achat dématérialisée, dite « Profil d’acheteur », qui sera mise à disposition sur internet par les acheteurs, à destination des entreprises candidates. Elle permettra l’accès aux marchés et aux documents de consultation et permettra le dépôt des offres par voie électronique.

Accessibilité de l’information

Le profil d’acheteur en ligne permet à l’acheteur et aux candidats d’échanger via une messagerie électronique sécurisée (questions/réponses, informations, décisions, notification d’attribution…).

Il permet également au candidat de consulter les données essentielles du marché : identification de l’acheteur, nature et objet du marché, la procédure de passation, la durée, le montant et les principales conditions financières du marché, le lieu principal d’exécution du marché...

La plateforme présentera aussi les prérequis techniques et permettra de réaliser des tests de configuration de postes ainsi que des simulations de dépôt d’urgence.

Obligations pour l’acheteur

Accès universel

Les dispositifs utilisés pour communiquer par voie électronique (ainsi que leurs caractéristiques techniques) ne doivent pas être discriminatoires, ni restreindre l'accès des candidats à la procédure de passation : ils devront ainsi être communément disponibles et compatibles avec les solutions IT généralement utilisées sur le marché.

Sécurité des échanges

Il revient à l'acheteur d’assurer la confidentialité et la sécurité des transactions selon des modalités fixées par arrêté.

Les communications, les échanges et le stockage d'informations devront par ailleurs être effectués de manière à assurer l'intégrité des données et la confidentialité des candidatures, des offres et des demandes de participation et devront garantir que l'acheteur ne prendra connaissance de leur contenu qu'à l'expiration du délai prévu pour leur présentation.

L'acheteur pourra, si nécessaire, exiger l'utilisation d'outils et de dispositifs qui ne sont pas communément disponibles, tels que des outils de modélisation électronique des données du bâtiment ou des outils similaires.

Dans ce cas, l'acheteur se devra d’offrir d'autres moyens d'accès, (jusqu'à ce que ces outils et dispositifs soient devenus communément disponibles aux opérateurs économiques).

Les suites de la procédure dématérialisée

La signature électronique

Si l’opérateur économique est retenu par l’acheteur, ce dernier pourra exiger la signature du marché via l’utilisation de la signature électronique[4].

L'arrêté du 12 avril 2018 a modifié les modalités d'utilisation de la signature électronique et du certificat qualifié nécessaire pour que le signataire d'un marché public puisse être considéré comme ayant valablement donné son consentement, en renvoyant notamment aux exigences du règlement européen dit « eIDAS »[5].

La facturation électronique

Les règles de la facturation électroniques sont distinctes de celles qui encadrent la passation de marchés publics.

L’ordonnance de 2014 relative à la facturation électronique a fixé le calendrier suivant concernant l’obligation de facturation électronique pour les émetteurs de factures :

  • 1er janvier 2017 : obligation pour les grandes entreprises et les personnes publiques ;
  • 1 er janvier 2018 : obligation pour les entreprises de taille intermédiaire ;
  • 1 er janvier 2019 : obligation pour les petites et moyennes entreprises ;
  • 1er janvier 2020 : obligation pour les très petites entreprises.

 

Claudia Weber, Avocat Fondateur & Arthur Poirier, Avocat

ITLAW Avocats

www.itlaw.fr

 

[1] En particulier la Directive 2014/24/UE du 26 février 2014 sur la passation des marchés

publics (dite directive « secteurs classiques »)

[2] Arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique et abrogeant l'arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics

[3] Liste des exclusions au II de l’article 41 du décret ° 2016-360 du 25 mars 2016 relatif aux marchés publics

[4] L’article 102 du décret marchés publics du 25 mars 2016 dispose que « Le marché public peut être signé électroniquement, selon les modalités fixées par un arrêté du ministre chargé de l'Economie »

[5] Règlement européen n°910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques

La compagnie aérienne British Airways a révélé jeudi soir avoir subi un vol en ligne de données via son site internet de réservation de vol en ligne en les termes suivants : "Entre 22h58 (21h58 GMT) le 21 août 2018 et 21h54 le 5 septembre, les données personnelles et financières des clients faisant des réservations sur notre site internet et notre application mobile ont été compromises".

Les cyberattaques touchent de plus en plus d’entreprise et sont de plus en plus techniquement complexes.

Comment se préparer et y faire face ?

  1. Prévenir :

Il est aujourd’hui devenu indispensable et obligatoire dans certains cas[1] de protéger de manière efficace les systèmes d’informations, réseaux, objets connectés, site web d’une entreprise.

Cette sécurité passe par :

  • la mise en œuvre d’une politique de sécurité régulièrement mise à jour,

 

  • un audit régulier de l’ensemble de son système d’information, voire le recours à des procédures de bug bounty encadrées contractuellement,

 

  • identifier et respecter ses obligations légales et contractuelles par exemple assurer la sécurité des données à caractère personnel dans le respect de l’article 32 du RGPD, l’établissement d’un registre des failles de sécurité (en matière de données à caractère personnel), connaitre et maîtriser ses obligations contractuelles vis-à-vis de ses clients et tout tiers,

 

  • l’encadrement contractuel des obligations de ses prestataires et sous-traitants en matière de sécurité informatique,

 

  • la sensibilisation du personnel de l’entreprise par des formations internes (administrateurs et RSSI, salariés, direction générale) et la mise en œuvre de procédures internes efficaces (BYOD, nomadisme, procédure d’alerte, etc),

 

  • anticiper les risques avec un contrat de cyber assurance.

 

Enfin, n’oublions pas que l’ANSSI publie de nombreux guides en la matière, à destination des entreprises régulièrement mis à jour.

 

  1. Réagir en cas d’atteintes à son système d’information

 

  • S’organiser pour mettre fin dans les plus brefs délais à l’atteinte :

 

  • mettre en place une organisation de crise : afin de pouvoir investiguer rapidement et efficacement, il est nécessaire de définir les acteurs et actions nécessaires en vue de mobiliser les expertises et compétences pour la gestion de l’incident.

 

  • identifier et documenter précisément l’ensemble des caractéristiques de l’incident de sécurité. En matière de données à caractère personnel, l’entreprise devra notamment fournir les informations suivantes à la CNIL :
  • décrire la nature de la violation ;
  • les catégories et le nombre approximatif de personnes concernées par la violation ;
  • les catégories et le nombre approximatif d’enregistrements de données concernées ;
  • décrire les conséquences probables de la violation ;
  • décrire les mesures prises ou envisagées pour éviter que l’incident ne se reproduise ou atténuer les éventuelles conséquences négatives.

 

  • préserver des preuves fiables de l’incident de sécurité par l’organisation d’un constat réalisé par un huissier de justice et/ou une équipe d’experts techniques.

 

  • Identifier ses obligations légales, notamment en matière de :

 

  • notification à la CNIL[2] à dans les 72h « après avoir pris connaissance » de la violation de données à caractère personnel, « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

 

  • notification aux personnes concernées[3] à En matière de données à caractère personnel, « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

 

  • notification à l’ANSSI[4] à les « fournisseurs de service numérique » à savoir les Place de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage « déclarent, sans délai après en avoir pris connaissance, (…)  lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l'ampleur de son impact sur le fonctionnement de la société ou de l'économie. »

 

 

  • Définir une stratégie efficace de gestion du risque de l’entreprise :

 

  • déterminer une stratégie de communication à destination des clients, partenaires et tiers pour préserver l’image de l’entreprise.

 

  • envisager les recours judiciaires pour obtenir l’indemnisation de son préjudice. Il est possible soit d’engager des procédures d’identification des auteurs de l’infraction ou devant les juridictions civiles, soit de confier l’affaire au Procureur de la République en le saisissant pour un dépôt d’une plainte pénale avec constitution de partie civile.

 

Pour rappel, les atteintes aux systèmes de traitement automatisé de données sont sanctionnées par les articles 323-1 et suivants du Code pénal qui prévoient notamment que « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende » et « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

 

Enfin, il existe par ailleurs de nombreuses autres infractions prévues par le Code pénal, le Code de la propriété intellectuelle, etc

 

En conclusion, si l’anticipation de toutes formes cyberattaques apparaît être une chimère, sécuriser son système d’information et pouvoir le prouver est devenu une obligation pour chaque entreprise pour répondre à ses obligations légales.

 

Marine Hardy, Avocat responsable du Pôle « Sécurité » et Claudia WEBER, Avocat Fondateur

ITLAWAvocats

 

[1] L’article 226-17 du code pénal dispose « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »

[2] Article 33 du Règlement (UE) 2016/679 dit RGPD

[3] Article 34 du Règlement (UE) 2016/679 dit RGPD

[4] Article 13 de la Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité

Depuis une ordonnance du 3 août 2016, il est possible de procéder à l’expérimentation de « véhicules à délégation de conduite », plus communément appelés les voitures autonomes.

Condition préalable pour une telle expérience : obtenir une « autorisation de circulation » auprès du Ministre de l’intérieur et au Ministre des transports.

Classiquement, les conditions d’obtentions précises de cette autorisation ont été renvoyées à la publication d’un décret (publié le 20 mars 2018) puis d’un arrêté.

Deux ans après l’ordonnance précitée, un arrêté du 17 avril 2018 énonce les détails du contenu du dossier de demande d’autorisation.

Le dispositif légal encadrant l’expérimentation des véhicules à délégation de conduite en conditions réelles est donc complet.

Outre, les détails techniques et administratifs fixés par l’arrêté, nous avons relevé qu’il est pris soin de définir le « Véhicule DPTC » (véhicule à Délégation Partielle ou Totale de Conduite), comme un véhicule « (…) muni d'une ou plusieurs fonctionnalités permettant de déléguer au véhicule tout ou partie des tâches de conduite pendant tout ou partie du parcours du véhicule (….) la délégation est partielle lorsque le conducteur délègue au système électronique du véhicule une partie des tâches de conduite mais conserve a minima une action physique de conduite »  et qu’elle est totale « lorsque le conducteur délègue complètement au système électronique du véhicule l'ensemble des tâches de conduite ».

Il a été pris soin de préciser que « Cette définition exclut les aides à la conduite, qui ne dispensent pas le conducteur d'exercer les tâches de conduite »          

Au travers de cette définition apparait la notion de « délégation », par le conducteur, d’une partie de ses « tâches de conduite » à un « système électronique » mais qui doit pouvoir assurer de manière totalement autonome lesdites « taches » déléguées.

A la question de savoir si et dans quelle mesure cette délégation opérationnelle s’accompagnera un jour d’une délégation de responsabilité ou d’un partage de responsabilité, l’arrêté ne se prononce pas mais défini le « Conducteur de véhicules DPTC » comme la « personne physique responsable de la conduite d'un véhicule DPTC, titulaire du permis de conduire valide requis par les caractéristiques du véhicule concerné, que ce dernier fonctionne en mode délégué ou en mode conventionnel. »

La mise en place de l’expérimentation de « véhicules à délégation de conduite » ouvre la voie pour d’autres expériences de nouvelles technologies innovantes via des procédures de ce type.

Nos recommandations : Effectuer au préalable une analyse approfondie de l’ensemble des risques (notamment cachés) de ce type de projet : maitrise de sa responsabilité, conformité RGPD, protections des droits (brevets, propriété intellectuel, secret des affaires), etc

 

Claudia Weber, Avocat Associée & Marine Hardy, Avocat

ITLAW Avocats

www.itlaw.fr

Par délibération du 24 juillet 2018[1], la CNIL a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de l’Office Public de l’Habitat de Rennes pour avoir utilisé ses fichiers d’usagers pour des finalités incompatibles avec les finalités initiales. 

  • Les faits étaient les suivants 

En octobre 2017, la CNIL a été saisie d’une plainte faisant état de l’envoi par la Présidente de l’Office Public Habitat (OPH) de Rennes, également maire de la commune, d’un courrier tenant des propos particulièrement critiques à l’égard d’une décision du gouvernement de diminuer le montant des aides personnalisées au logement (APL). Ce courrier était adressé à l’ensemble des locataires du parc social, bénéficiaires, ou pas, de l’aide personnalisé au logement.

Une telle pratique étant susceptible de révéler une utilisation abusive du fichier des locataires de l’OPH à des fins politiques, la CNIL a demandé ses observations au responsable de traitement.

Celui-ci a répondu que la seule finalité de ce courrier était d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL, ce qui s’inscrivait pleinement dans ses missions de gestion locative et de mise en œuvre de politiques publiques concernant l’habitat social. 

Ce dossier a été présenté devant la formation restreinte de la CNIL.

  • Le manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées

Aux termes des dispositions de l’article 6 2° de la loi du 6 janvier 1978 modifiée, « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Afin de vérifier si l’envoi d’une telle correspondance s’inscrivait dans le cadre des finalités initiales du traitement des usagers, la formation restreinte de la CNIL a été amenée à apprécier la réelle fonction du courrier adressé à l’ensemble des locataires.

Malgré les arguments avancés par l’OPH, elle a considéré qu’un tel envoi ne revêtait pas une fonction purement informative, ne relevait en conséquence pas de la dispense de déclaration au bénéfice des traitements d’informations qui exclut notamment les correspondances à des fins politiques ou électorales, et ne s’inscrivait ni dans le cadre des missions légales de l’OPH, ni des finalités principales d’un traitement de locataires du parc social.

Ainsi, en usant de la sorte des fichiers de ses usagers, alors même que la communication par voie d’affichage dans les entrées de l’immeuble, effectuée en parallèle, permettait d’éviter un usage incompatible avec la finalité initiale de la collecte, l’OPH avait méconnu les dispositions de l’article 6 2° de la loi du 6 janvier 1978 modifiée.

La formation restreinte a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de l’OPH et, décidé, par délibération distincte du même jour, de rendre publique sa décision, notamment du fait du traitement intentionnel des données au mépris de leur finalité initiale et du nombre important de personnes concernées par une telle utilisation de leurs données.

  • En résumé sur les finalités

Les faits ayant conduits la CNIL à une telle décision sont antérieurs à l’entrée en application du RGPD, alors que les responsables de traitements étaient tenus à des formalités auprès de la CNIL faisant mention des finalités de leurs traitements.

Aujourd’hui, ces formalités ne sont plus requises. Pour autant, les dispositions de l’article 6 2° de la loi du 6 janvier 1978 dans sa nouvelle rédaction sont maintenues : les données sont « collectées pour des finalités déterminées explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités », disposition reprise par le RGPD en son article 5 b.

L’appréciation du respect de la finalité initiale, autrefois faite à partir de la déclaration à la CNIL, le sera désormais au regard des finalités dont les intéressés ont été informés en application des articles 14 du RGPD et 32 de la loi modifiée, ou encore de celles mentionnées dans le registre des activités traitements. Cela participe du principe d’un traitement de données licite, loyal et transparent.

Il est important de relever que, par cette décision, publiée, la CNIL, alors même qu’elle a relevé la mise en place par l’OPH de plusieurs mesures appropriées conformes à la nouvelle réglementation (registre des traitements, diagnostic de conformité des traitements, action de sensibilisation et de formation auprès des collaborateurs…) a tenu à alerter les acteurs du secteur social de l’importance du respect des principes fondateurs des dispositions relatives à la protection des données personnelles.

  • Nos recommandations

Les responsables de traitements sont tenus à des obligations de plus en plus nombreuses et complexes dans la mise en œuvre et l’utilisation de leurs fichiers. Pour autant, ils doivent respecter les principes fondamentaux de transparence, de pertinence et de loyauté.

Aussi, de manière permanente et pour toute utilisation des données à caractère personnel qu’ils détiennent dans le cadre de leurs activités, les responsables de traitement doivent cadrer et gérer :

  • Le périmètre des finalités pour lesquelles la collecte est opérée,
  • la teneur de l’information des personnes concernées quant à l’usage précis de leurs données,
  • le respect de l’exercice des droits des personnes concernées, en particulier le droit d’opposition.

En cas de modification des finalités nous recommandons aux responsables de traitement :

  • de procéder à une nouvelle information des intéressés et à une mise à jour de leur registre des traitements.
  • de procéder à une réévaluation de la nécessité de la conservation des données collectées si la finalité du traitement était amenée à être réduite. En effet, cette finalité initiale est l’élément de référence dans l’appréciation de la pertinence des données collectées et de leur durée de conservation

 

Odile Jami-Caston, Directrice du Pôle Protection des Données & Claudia Weber, Avocat Associée

ITLAW Avocats

www.itlaw.fr

 

[1] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000037261399

Le Conseil, la Commission et le Parlement européens sont parvenus à un accord relatif à la nouvelle directive sur les services de médias audiovisuels. Cette nouvelle directive met l’accent sur l’encadrement des plates-formes en ligne, telle que Netflix, qui devront respecter un quota de 30 % d’œuvres d’origine européenne et verser les contributions financières prévues par la réglementation des pays ciblés, c’est-à-dire des pays à qui le service est destiné, quel que soit le pays d’établissement. (Lire)

 

ITLAW Avocats

http://www.itlaw.fr