Voici la liste des articles publiés par notre cabinet.

Trois nouveaux décrets d’application publiés le 29 septembre 2017 viennent préciser les contours des obligations d’information et de transparence des plateformes numériques à l’égard des internautes.

Les obligations d’information :

Sont désormais précisés le contenu, les modalités et les conditions d'application de l’obligation d’information « loyale, claire et transparente » des opérateurs de plateforme, dont l’activité repose sur le classement, le référencement, la mise en relation de plusieurs parties en vue de la vente, l’échange ou le partage d’un bien ou service.

Le décret précise ainsi :

-        Celles des informations qui devront être mises en ligne sur les modalités de référencement, de déréférencement et de classement ;

-        les modalités de cette mise en ligne (rubrique spécifique, information accessible sans besoin d’identification, etc.).

Devront par exemple figurer dans une rubrique spécifique les informations suivantes :

-        les règles applicables pour être référencé ;

-        les critères de classement par défaut des contenus et des offres de biens ou services, notamment leurs principaux paramètres ;

-        le cas échéant, l’existence d’un lien capitalistique ou d’une rémunération entre l’opérateur de la plateforme et les offreurs référencés dès lors que ce lien ou que cette rémunération exercent une influence sur le référencement ou le classement des contenus, des biens ou des services proposés ou mis en ligne.

A noter que les opérateurs permettant à des professionnels de conclure, par le biais de leur plateforme, des contrats de prestations de service ou de vente avec des consommateurs devront également mettre à disposition de ces professionnels un espace au sein de la plateforme pour leur permettre de communiquer les informations obligatoires préalables à la vente ou à la fourniture du service (notamment celles sur le droit de rétractation).

Le cas des avis en ligne de consommateurs

Tout opérateur de plateforme ou éditeur de site internet qui exerce à titre principal ou accessoire la collecte, la modération, la diffusion d’avis en ligne provenant de consommateurs devra, à compter du 1er janvier 2018, indiquer :

-        à proximité de l’avis, de manière claire et visible, les informations suivantes :

  • L'existence ou non d'une procédure de contrôle des avis ;
  • La date de publication de chaque avis, ainsi que celle de l'expérience de consommation concernée par l'avis ;
  • Les critères de classement des avis parmi lesquels figurent le classement chronologique.

 

-        dans une rubrique spécifique facilement accessible :

  • L'existence ou non de contrepartie fournie en échange du dépôt d'avis ;
  • Le délai maximum de publication et de conservation d'un avis.

Le décret précise également les obligations à respecter en cas de contrôle des avis, au regard notamment de la réglementation applicable en matière de protection des données à caractère personnel.

 

L’obligation de diffuser des « bonnes pratiques »

Les plateformes dont l’activité de mise en relation dépasse un seuil de connexion de 5 millions de visiteurs uniques par mois sur une année civile seront tenues de diffuser sur leur site les bonnes pratiques visant à renforcer leurs obligations de clarté, de transparence et de loyauté.

Le décret ne précise pas en revanche ce que devront contenir ces « bonnes pratiques ».

A noter :

-        le seuil de connexion s’apprécie au regard de la seule activité de mise en relation ;

-        Les opérateurs concernés ont jusqu’au 1er janvier 2019 pour rédiger et mettre en ligne ces bonnes pratiques.

Compte tenu de ce qui précède, nous vous recommandons :

-        d’ici janvier 2018 d’intégrer au sein de votre plateforme les mentions d’information obligatoires en matière de référencement / de collecte et diffusion d’avis de consommateur 

-        anticiper et initier dès maintenant la préparation des bonnes pratiques à diffuser au sein de votre plateforme à compter du 1er janvier 2019.

Ces derniers mois, la CNIL a accentué ses opérations de contrôle et la mise en place de sanctions.

La CNIL a notamment effectué un contrôle au sein des locaux d’ALLOCAB suite à une plainte d’un client concernant la conservation de ses coordonnées bancaires.

Plusieurs manquements à la loi Informatique et Libertés ont ainsi été constatés et la Présidente de la CNIL a mis en demeure ALLOCAB de s’y conformer et notamment de :

-        définir une durée de conservation des données ;

-        ne pas conserver les données relatives aux cryptogrammes de cartes bancaires au-delà du temps nécessaire à la réalisation de la transaction ;

-        procéder à la purge des données des clients ayant demandé la suppression de leurs comptes ;

-        prendre toute mesure nécessaire pour garantir la sécurité et la confidentialité des données des personnes concernées, notamment sur les procédures relatives à la création, à la récupération et au stockage des mots de passe.

Lors d’un second contrôle sur place, la CNIL a constaté que les mesures annoncées par ALLOCAB n’avaient pas été mises en œuvre :

-        des données relatives à des comptes inactifs et des cryptogrammes de cartes bancaires étaient encore présents dans le système d’information ;

-        la sécurité des données n’était pas suffisamment assurée.

Nonobstant les dysfonctionnements techniques avancés par ALLOCAB pour justifier le fait que certains manquements aient perdurés, la formation restreinte de la CNIL sanctionné ALLOCAB d’une amende de 15.000 euros dans une décision rendue publique[1].

Si cette sanction peut sembler modique, il faut garder à l’esprit que le nouveau Règlement européen qui sera applicable à compter du 25 mai 2018 prévoit un relèvement sensible des capacités de sanctions de la CNIL : jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total !

Pour rappel la conformité à la loi informatique et libertés impose notamment :

-        de respecter les droits des personnes concernées en accédant à leur demande d'exercice;

-        une obligation de définir et de respecter une durée de conservation des données proportionnée à la finalité du traitement ;

-        une obligation d’assurer la sécurité et la confidentialité des données è dans ce cadre il convient notamment d’adopter des mesures garantissant la robustesse des mots de passe.

èEn cas de doute dans la mise en place d’un traitement, il ne faut plus hésiter à faire valider votre politique de protection de données par un conseil juridique rompu à ces questions.



[1]Délibération de la formation restreinte n° SAN 2017-002 du 13 avril 2017 prononçant une sanction pécuniaire à l'encontre de la société ALLOCAB

La procédure d’agrément par le ministère de la Santé pour l’hébergement de données de santé va laisser sa place à une procédure de certification[1]. L’objectif :  diminuer le risque de violation des données à caractère personnel en matière de santé en renforçant les conditions de leur hébergement.

Le règlement européen du 27 avril 2016 définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

  • Qui est visé par la nouvelle certification ?

La certification HDS concerne tout hébergeur (personne physique ou morale) :

-        mettant à disposition et maintenant en condition opérationnelle :

  • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  • l’infrastructure matérielle ou virtuelle du système d’information utilisé pour le traitement de données de santé ;
  • la plateforme d’hébergement d’applications du système d’information utilisé pour le traitement de données de santé.

-        administrant et exploitant un système d’informations contenant des données de santé ;

-        sauvegardant des données de santé.

  • Quels changements et pourquoi ?

L’objectif poursuivi est notamment d'accroître la sécurité des données de santé hébergées et de réduire le délai d’instruction. Le coût de la certification est à la charge des hébergeurs auprès des organismes de certification accrédités à cette fin par le Comité Français d’Accréditation (COFRAC).

Cette nouvelle procédure qui remplace la procédure d’agrément et apporte également des changements concernant le contenu du contrat d’hébergement, qui devra inclure de nouvelles clauses rendues obligatoires telles que :

  • la mention de l’interdiction d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • l’engagement l’hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.
  • Quand ?

Le régime actuel demeure applicable :

-        pour tous agrément délivré avant le 1er janvier 2018, jusqu’à leur échéance ;

-        aux agréments demandée au plus tard le 31 décembre 2017 et délivrés après le 1er Janvier 2018.

Les agréments expirant pendant l’année 2018 seront prolongés de 6 mois, l’objectif étant de permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

  • Nos recommandations :

Pour anticiper cette nouvelle certification et l’arrivée du nouveau règlement européen sur la protection des données personnelle (le RGPD), pour tout hébergeur concerné nous recommandons en particulier :

-        anticiper et préparer la certification ;

-        pour toute société traitant des données à caractère personnel, de réaliser un audit :

  • des différentes mesures de sécurité mises en place, afin d’identifier celles à modifier pour être en conformité, selon le type de données que vous traitez,
  • de vos contrats, pour intégrer les clauses nécessaires, si besoin dans le cadre d’un DPA.


[1] Ordonnance n°2017-27 publiée le 12 janvier dernier et le projet de décret pris en application de celle-ci

Dans un arrêt du 6 juillet dernier, la Cour d’appel de Grenoble a notamment retenu que « les retards quant à la réalisation du site [Internet] en cause sont imputables à la [cliente] compte tenu […] de ses nombreuses demandes de modifications ».

Dans les faits, une société a confié à un prestataire spécialisé l’amélioration de son site internet de vente en ligne.

La mise en œuvre du projet a connu de nombreuses difficultés, en particulier sur les points suivants :

-        dossier de spécifications :

  • le client a mis près de 3 semaines pour valider le dossier de spécifications rédigé par le Prestataire dans les délais contractuels, générant ainsi un retard sur le planning prévisionnel contractuel.

-        réalisation de la maquette du site :

  • pas moins de 24 versions ont été réalisées avant d’en obtenir validation ;
  • de nombreux emails ont été échangés pendant presque un mois pour valider la conception graphique du site.

-        multiples interventions et demandes de modifications du client à l’origine d’importants retards.

-        la recette provisoire prévue au contrat, qui devait permettre au client de faire état d’éventuels dysfonctionnements et d’émettre des réserves pour permettre au prestataire d’effectuer les corrections nécessaires, n’a pas été réalisée (sans que le bien-fondé de ce refus soit justifié par le client).

Pour l’ensemble de ces raisons, la Cour a confirmé le jugement de première instance et a notamment :

-        prononcé la résiliation du contrat aux torts exclusifs du client ;

-        condamné le client au paiement :

  • du coût total de la prestation restant impayée et des pénalités de retard ;
  • des coûts supplémentaires de main d’œuvre chiffrés à hauteur de 10 000 euros.

 

En conclusion, lorsque vous achetez la réalisation d’un projet informatique, nous vous recommandons d’être particulièrement vigilant :

-        aux dispositions du contrat ; en particulier les clauses sur les obligations à la charge du client, la recette mais aussi celles sur l’encadrement des obligations de conseil du prestataire et les conséquence en cas de manquements;

-        à la définition précise de vos besoins et objectifs ;

-        au respect de votre obligation de collaboration

-        sur la gouvernance de vos projets

Le marché de la revente de logiciels d’occasion est en pleine expansion : d’ailleurs qui n’a jamais été tenté de revendre ou d’acquérir ses logiciels par ce canal ?

De la plateforme d’intermédiation d’achat et de revente aux « grossistes » d’achat et de revente de logiciel : qu’en est-il réellement ? Quelles sont les conditions pour que de telles reventes soient légales ?

En 2012, la Cour de justice de l’union européenne a confirmé, sous certaines conditions, la possibilité de revendre des logiciels d’occasion.

Voici un aperçu non exhaustif de ces conditions, nécessaires, pour vous assurer de la légalité d’une telle opération.

Les conditions préalables : pour permettre à une entreprise de revendre les licences qu’elle a acquises, elle devra s’assurer au préalable qu’elle :

-        a acquis le logiciel :

  • au sein de l’Union Européenne,
  • de manière légitime en s’acquittant du paiement correspondant ;
  • de manière « définitive » sous une licence illimitée (durée du droit d’auteur) ;

-        a cessé d’utiliser ce logiciel et qu’elle l’a totalement désinstallé de son système ;

-        ne va pas scinder le volume de licence pour ne revendre que le surplus ;

-        va revendre le logiciel selon sa configuration commerciale initiale.

Concernant, l’acheteur de ces licences revendues d’occasion, il doit : 

-        acquérir cette licence au sein de l’Union Européenne ;

-        se soumette aux termes de la licence d’origine ;

-        utiliser ce logiciel d’une manière conforme à sa destination.

Notons en outre notamment que :

-        Les contrats de services « dissociables » de la vente de logiciel conclus pour une durée déterminée (le contrat de maintenance par exemple) ne sont pas automatiquement transférables ; ce qui pourrait limiter l’intérêt d’acheter des logiciels d’occasion.

-        Le logiciel peut être revendu avec les corrections et mises à jour intervenues jusqu’à la revente dès lors que le contrat de maintenance associé au contrat de licence ait pu être cédé avec l’accord de l’éditeur

-        Nombreux éditeurs ont encore pour pratique d’interdire la revente de logiciel contractuellement. Or, la Cour de justice a précisé que ces clauses étaient sans effet.

-        S’agissant des copies de sauvegarde, un arrêt de la CJUE du 12 octobre 2016[1] a précisé que la revente par l’acquéreur initial d’une copie de sauvegarde d’un logiciel à un sous-acquéreur suppose l’autorisation de l’auteur.

En conséquence de ce qui précède :

-        Pour sécuriser une telle démarche de revente de logiciels d’occasion, il est recommandé :

  • de l’inscrire dès l’origine dans la négociation de vos contrats de licence et de maintenance afin notamment de sortir des notions de « package » / « bundle » qui rendent la revente compliquée et de prévoir aussi, par exemple, la cession des contrats de maintenance associés.
  • d’encadrer cette vente dans un contrat spécifique avec vos acheteurs qui devra notamment prévoir toutes les obligations à la charge de l’acheteur, notamment pour vous éviter d’avoir à supporter les risques d’une action en contrefaçon de la part de l’éditeur du fait de cet achat d’occasion.

 -        Pour sécuriser votre projet d’achat de tels logiciels d’occasions, il est recommandé : 

  • de faire un audit précis des licences que vous projetez d’acquérir pour vous assurer qu’elles entrent bien dans les critères autorisés
  • d’encadrer cet achat dans un contrat spécifique qui devra notamment prévoir toutes les garanties utiles de la part du revendeur, notamment pour vous éviter d’avoir à supporter les risques d’une action en contrefaçon de la part de l’éditeur du fait de cet achat d’occasion.

 


[1] CJUE, 12 octobre 2016, n° C-166/15, Aleksandrs Ranks c/ Microsoft