Voici la liste des articles publiés par notre cabinet.

La procédure d’agrément par le ministère de la Santé pour l’hébergement de données de santé va laisser sa place à une procédure de certification[1]. L’objectif :  diminuer le risque de violation des données à caractère personnel en matière de santé en renforçant les conditions de leur hébergement.

Le règlement européen du 27 avril 2016 définit les données de santé comme « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».

  • Qui est visé par la nouvelle certification ?

La certification HDS concerne tout hébergeur (personne physique ou morale) :

-        mettant à disposition et maintenant en condition opérationnelle :

  • des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ;
  • l’infrastructure matérielle ou virtuelle du système d’information utilisé pour le traitement de données de santé ;
  • la plateforme d’hébergement d’applications du système d’information utilisé pour le traitement de données de santé.

-        administrant et exploitant un système d’informations contenant des données de santé ;

-        sauvegardant des données de santé.

  • Quels changements et pourquoi ?

L’objectif poursuivi est notamment d'accroître la sécurité des données de santé hébergées et de réduire le délai d’instruction. Le coût de la certification est à la charge des hébergeurs auprès des organismes de certification accrédités à cette fin par le Comité Français d’Accréditation (COFRAC).

Cette nouvelle procédure qui remplace la procédure d’agrément et apporte également des changements concernant le contenu du contrat d’hébergement, qui devra inclure de nouvelles clauses rendues obligatoires telles que :

  • la mention de l’interdiction d’utiliser les données de santé hébergées à d’autres fins que l’exécution de l’activité d’hébergement de données de santé ;
  • l’engagement l’hébergeur de détruire les données de santé, sans en garder copie en fin de prestation.
  • Quand ?

Le régime actuel demeure applicable :

-        pour tous agrément délivré avant le 1er janvier 2018, jusqu’à leur échéance ;

-        aux agréments demandée au plus tard le 31 décembre 2017 et délivrés après le 1er Janvier 2018.

Les agréments expirant pendant l’année 2018 seront prolongés de 6 mois, l’objectif étant de permettre à l’hébergeur d’effectuer les démarches de certification nécessaires.

  • Nos recommandations :

Pour anticiper cette nouvelle certification et l’arrivée du nouveau règlement européen sur la protection des données personnelle (le RGPD), pour tout hébergeur concerné nous recommandons en particulier :

-        anticiper et préparer la certification ;

-        pour toute société traitant des données à caractère personnel, de réaliser un audit :

  • des différentes mesures de sécurité mises en place, afin d’identifier celles à modifier pour être en conformité, selon le type de données que vous traitez,
  • de vos contrats, pour intégrer les clauses nécessaires, si besoin dans le cadre d’un DPA.


[1] Ordonnance n°2017-27 publiée le 12 janvier dernier et le projet de décret pris en application de celle-ci

Dans un arrêt du 6 juillet dernier, la Cour d’appel de Grenoble a notamment retenu que « les retards quant à la réalisation du site [Internet] en cause sont imputables à la [cliente] compte tenu […] de ses nombreuses demandes de modifications ».

Dans les faits, une société a confié à un prestataire spécialisé l’amélioration de son site internet de vente en ligne.

La mise en œuvre du projet a connu de nombreuses difficultés, en particulier sur les points suivants :

-        dossier de spécifications :

  • le client a mis près de 3 semaines pour valider le dossier de spécifications rédigé par le Prestataire dans les délais contractuels, générant ainsi un retard sur le planning prévisionnel contractuel.

-        réalisation de la maquette du site :

  • pas moins de 24 versions ont été réalisées avant d’en obtenir validation ;
  • de nombreux emails ont été échangés pendant presque un mois pour valider la conception graphique du site.

-        multiples interventions et demandes de modifications du client à l’origine d’importants retards.

-        la recette provisoire prévue au contrat, qui devait permettre au client de faire état d’éventuels dysfonctionnements et d’émettre des réserves pour permettre au prestataire d’effectuer les corrections nécessaires, n’a pas été réalisée (sans que le bien-fondé de ce refus soit justifié par le client).

Pour l’ensemble de ces raisons, la Cour a confirmé le jugement de première instance et a notamment :

-        prononcé la résiliation du contrat aux torts exclusifs du client ;

-        condamné le client au paiement :

  • du coût total de la prestation restant impayée et des pénalités de retard ;
  • des coûts supplémentaires de main d’œuvre chiffrés à hauteur de 10 000 euros.

 

En conclusion, lorsque vous achetez la réalisation d’un projet informatique, nous vous recommandons d’être particulièrement vigilant :

-        aux dispositions du contrat ; en particulier les clauses sur les obligations à la charge du client, la recette mais aussi celles sur l’encadrement des obligations de conseil du prestataire et les conséquence en cas de manquements;

-        à la définition précise de vos besoins et objectifs ;

-        au respect de votre obligation de collaboration

-        sur la gouvernance de vos projets

Le marché de la revente de logiciels d’occasion est en pleine expansion : d’ailleurs qui n’a jamais été tenté de revendre ou d’acquérir ses logiciels par ce canal ?

De la plateforme d’intermédiation d’achat et de revente aux « grossistes » d’achat et de revente de logiciel : qu’en est-il réellement ? Quelles sont les conditions pour que de telles reventes soient légales ?

En 2012, la Cour de justice de l’union européenne a confirmé, sous certaines conditions, la possibilité de revendre des logiciels d’occasion.

Voici un aperçu non exhaustif de ces conditions, nécessaires, pour vous assurer de la légalité d’une telle opération.

Les conditions préalables : pour permettre à une entreprise de revendre les licences qu’elle a acquises, elle devra s’assurer au préalable qu’elle :

-        a acquis le logiciel :

  • au sein de l’Union Européenne,
  • de manière légitime en s’acquittant du paiement correspondant ;
  • de manière « définitive » sous une licence illimitée (durée du droit d’auteur) ;

-        a cessé d’utiliser ce logiciel et qu’elle l’a totalement désinstallé de son système ;

-        ne va pas scinder le volume de licence pour ne revendre que le surplus ;

-        va revendre le logiciel selon sa configuration commerciale initiale.

Concernant, l’acheteur de ces licences revendues d’occasion, il doit : 

-        acquérir cette licence au sein de l’Union Européenne ;

-        se soumette aux termes de la licence d’origine ;

-        utiliser ce logiciel d’une manière conforme à sa destination.

Notons en outre notamment que :

-        Les contrats de services « dissociables » de la vente de logiciel conclus pour une durée déterminée (le contrat de maintenance par exemple) ne sont pas automatiquement transférables ; ce qui pourrait limiter l’intérêt d’acheter des logiciels d’occasion.

-        Le logiciel peut être revendu avec les corrections et mises à jour intervenues jusqu’à la revente dès lors que le contrat de maintenance associé au contrat de licence ait pu être cédé avec l’accord de l’éditeur

-        Nombreux éditeurs ont encore pour pratique d’interdire la revente de logiciel contractuellement. Or, la Cour de justice a précisé que ces clauses étaient sans effet.

-        S’agissant des copies de sauvegarde, un arrêt de la CJUE du 12 octobre 2016[1] a précisé que la revente par l’acquéreur initial d’une copie de sauvegarde d’un logiciel à un sous-acquéreur suppose l’autorisation de l’auteur.

En conséquence de ce qui précède :

-        Pour sécuriser une telle démarche de revente de logiciels d’occasion, il est recommandé :

  • de l’inscrire dès l’origine dans la négociation de vos contrats de licence et de maintenance afin notamment de sortir des notions de « package » / « bundle » qui rendent la revente compliquée et de prévoir aussi, par exemple, la cession des contrats de maintenance associés.
  • d’encadrer cette vente dans un contrat spécifique avec vos acheteurs qui devra notamment prévoir toutes les obligations à la charge de l’acheteur, notamment pour vous éviter d’avoir à supporter les risques d’une action en contrefaçon de la part de l’éditeur du fait de cet achat d’occasion.

 -        Pour sécuriser votre projet d’achat de tels logiciels d’occasions, il est recommandé : 

  • de faire un audit précis des licences que vous projetez d’acquérir pour vous assurer qu’elles entrent bien dans les critères autorisés
  • d’encadrer cet achat dans un contrat spécifique qui devra notamment prévoir toutes les garanties utiles de la part du revendeur, notamment pour vous éviter d’avoir à supporter les risques d’une action en contrefaçon de la part de l’éditeur du fait de cet achat d’occasion.

 


[1] CJUE, 12 octobre 2016, n° C-166/15, Aleksandrs Ranks c/ Microsoft 

Par une délibération en date du 18 Juillet 2017, la CNIL a prononcé une sanction pécuniaire d’un montant de 40 000 € à l’encontre de la société HERTZ FRANCE suite à une violation des données de ses clients due à une négligence de son prestataire.

Informée le 15 octobre 2016 par l’éditeur du site internet ZATAZ, spécialisé dans la sécurité informatique et après vérification en ligne, la CNIL a prévenu la société HERTZ de l’existence de ladite violation. Aussitôt alertée, cette dernière en a informé son prestataire en charge du développement du site internet qui a procédé dans les 4 heures aux modifications nécessaires pour faire cesser cette faille de sécurité.

Les contrôles opérés par la CNIL ont révélé que :

-    les données de plus de 35 000 personnes avaient été affectées ;

-    la faille était due à « la suppression involontaire d’une ligne de code lors du remplacement de l’un des serveurs » ;

-    aucun cahier des charges n’avait été imposé par la société HERTZ à son sous-traitant lors de la réalisation du site ;

-    le niveau global de sécurité constaté chez le sous-traitant était insuffisant.

Si la CNIL a tenu compte de la réactivité dont a fait preuve la société HERTZ et son prestataire dans le traitement de l’incident, ainsi que des audits spontanés ultérieurement effectués chez le prestataire, elle a néanmoins considéré que la société HERTZ avait manqué à son obligation de sécurisation des données en faisant preuve de négligence dans le suivi des actions de son sous-traitant.

En conséquence, et au regard du nombre important de personnes concernées par cette violation, la Commission a prononcé une amende de 40 000 € et rendu publique sa décision de sanction.

Cette affaire a été l’occasion pour la CNIL de faire usage pour la première fois de ses pouvoirs de sanction renforcés par la loi pour une République numérique, l’autorisant notamment désormais à prononcer des sanctions pécuniaires sans mise en demeure préalable. Avant cette loi, seul un avertissement aurait pu être prononcé dans un tel cas.

En conclusion, nous recommandons :

  • aux responsables du traitement de veiller à bien contractualiser leurs relations avec leurs sous-traitants en vue notamment de soumettre ces derniers à des standards spécifiques en matière de sécurisation des données et de notification des incidents. 
  • aux sous-traitants, et notamment prestataires informatiques, de bien prendre en compte la protection des données dès la conception de leurs services ou produits et par défaut et de mettre en place des mesures permettant de garantir une protection optimale des données, conformément à leurs nouvelles obligations issues du Règlement européen de protection des données (RGPD).

A noter qu’à compter de l’entrée en application du RGPD le 25 Mai 2018, le sous-traitant pourra également voir sa propre responsabilité directement engagée et faire l’objet de sanctions administratives de la CNIL.

Depuis plusieurs années de grands éditeurs lancent des audits, parfois agressifs, auprès de leurs clients pour des montants parfois particulièrement déraisonnables. S’il parait légitime pour l’éditeur de vérifier que son client respecte bien les termes de la licence concédée, il ne doit pour autant pas abuser de ce droit ni de sa position d’éditeur.

Quelles sont les limites de ces audits ?

Souvent les éditeurs utilisent l’audit comme un moyen de pression visant par exemple à obtenir la souscription de nouvelles licences ou de nouveaux produits/services.

En 2016, la Cour d’Appel de Paris a considéré qu’Oracle avait agi « avec mauvaise foi et déloyauté » envers l’AFPA[1], relevant qu’Oracle avait entendu « profiter de son droit contractuel de procéder à un audit pour faire pression et obtenir la souscription de nouvelles licences …».

Oracle a été condamné au paiement de la somme 100 000 euros en réparation des « nombreuses perturbations dans le fonctionnement [de l’AFPA] engendrées par la forte mobilisation de ses équipes détournées du champ de ses missions habituelles » et de « l’atteinte à l’image » de l’AFPA ainsi générée.

L’éditeur peut-il exiger l’exécution de scripts ?

L’exécution de script qui consiste à installer un outil tiers sur le système d’information pour procéder au comptage des licences installées sur les systèmes d’information est très intrusive et fait peser sur le licencié des risques techniques mais aussi des risques en matière de confidentialité.

En 2014, les juges ont confirmé[2] qu’Oracle n’avait pas le droit de contraindre Carrefour à exécuter les scripts sur son système d’information en particulier pour les raisons suivantes :

-         aucune disposition contractuelle ou légale n’imposait à Carrefour une telle pratique ;

-         les scripts ne constituent pas une mesure d’instruction légalement admissible au sens des articles 145 du Code de procédure civile et L. 332-1-1 du Code de la propriété intellectuelle.

Aussi, une entreprise n'est pas, a priori, tenue d'exécuter des scripts dans son système d’information si aucune clause contractuelle ne l’y oblige.

Qu’en est-il des licences dites « d’accès indirects » ?

Certains éditeurs tentent d’imposer le paiement d’une redevance considérable au titre d’accès qualifiés « d’indirects » pour tout accès aux fonctionnalités des progiciels de l’éditeur ou aux données traitées par ceux-ci, par le biais d’une plateforme ou d’une application tierce telles que les applications CRM, BI ou encore en matière d’e-commerce.

En 2016, dans une décision très médiatique, DIAGEO/SAP[3], les juges de la Haute Cour de justice Anglaise, en interprétant les différentes définitions contractuelles, en déduisent que les clients finaux n’entrent pas dans le périmètre des licences qui ont été payées par DIAGEO et ont ainsi estimé que l’accès par des utilisateurs tiers, par le biais d’applications tierces, ouvrait droit à 64 millions d’euros de licences supplémentaires.

Cette décision est dépourvue d’effet jurisprudentiel en France et devrait avoir une issue différente en France compte tenu notamment du droit applicable en matière de propriété intellectuelle, à la propriété des données et des règles d’interprétations des contrats en droit français.

En conclusion, il est recommandé de :

-         négocier et sécuriser en amont vos contrats de licence et notamment les définitions d’utilisateurs, d’usage mais aussi les clauses d’audit pour anticiper les problématiques liées :

  • à la qualification des différents utilisateurs / tiers utilisant, accédant à vos plateformes de manière directe ou « indirecte »,
  • aux méthodes d’audit et leurs conséquences.

-         dès l’annonce d’un audit, piloter le dossier avec l’aide de spécialistes juridiques, techniques mais aussi financiers, pour vous assurer de la légalité des procédures d’audit mises en place mais aussi des conclusions formulées par l’éditeur, qui sont rarement en conformité avec le contrat et avec les lois françaises, en particulier le code de la propriété intellectuelle;

-         négocier les demandes formulées par l’éditeur suite à l’audit, qu’il s’agisse de régularisations de licences ou d’achat de nouvelles licences/nouveaux produits.



[1] CA Paris, 10 mai 2016, n° 14/25055, Oracle Corporation, Oracle International Corporation, Oracle France c/ Association nationale pour la formation professionnelle des adultes

[2] TGI Nanterre, ord. Référé, 12 juin 2014

[3] Haute Cour de justice anglaise, 16 février 2017