Voici la liste des articles publiés par notre cabinet.

Claudia Weber a été interviewée par le trimestriel Managers Europe magazine, édition janvier-février-mars 2019, à propos de l'expertise du cabinet dans le domaine de la cybersécurité. En voici le contenu. 

 

Votre cabinet est reconnu pour son expertise en droit des technologies. Quels sont vos domaines d’intervention spécifiques ?

Nous proposons des actions transversales pragmatiques adaptées aux risques et aux enjeux propres à chacun de nos clients. Nos domaines d’expertise concernent notamment l’informatique, les innovations technologiques, le numérique et le digital, Internet, le licensing, la propriété intellectuelle, la protection des données personnelles, l’audiovisuel… Cette année, nous avons renforcé notre pôle Sécurité & Cybersécurité, cette expertise étant désormais cruciale pour nos clients.

En effet, les cyberattaques d'envergure mondiale survenues en 2017 ont marqué le point de départ d’une réelle prise de conscience, à tous les niveaux, des enjeux de sécurité informatique. Il est rare qu’une semaine se passe sans l’annonce d’incidents de sécurité majeurs affectant une entreprise ou une institution. L’entrée en vigueur du Règlement général de protection des données (RGPD), qui oblige les entreprises à informer le public dans les plus brefs délais en cas de faille dans la sécurité des données à caractère personnel, conduit ces dernières à comprendre la nécessité d’une meilleure appréhension du sujet. Les enjeux de la sécurité et en particulier de la cybersécurité sont au cœur des débats.

ITLAW Avocats s’adapte aux nouveaux risques juridiques qui s’amplifient avec les innovations technologiques permanentes, comme l'Internet des objets (IoT), la mondialisation des systèmes d’information, le volume des flux des données et les nouvelles règlementations, tant européennes que nationales. Nos solutions permettent de faire face aux attaques de sécurité, par l’anticipation, la protection et la réponse aux attaques, qu'elles proviennent de l'intérieur ou de l'extérieur. La sécurité est désormais indissociable de tout projet informatique.

Comment intervenez-vous sur les sujets de cybersécurité ?

Lorsqu'une entreprise victime d'une cyberattaque fait appel à nous, notre rôle est de l’accompagner et d’avancer, avec notre client, dans le déroulement du processus légal. Nous identifions et analysons le problème pour accompagner notre client dans son organisation et mettre fin à l’atteinte dans les plus brefs délais. Cela inclut l’identification de ses obligations légales et la définition d’une stratégie efficace de gestion du risque au sein de l’entreprise (communication interne et externe, recours judiciaires). 

Notre réactivité est essentielle, il faut intervenir avant la disparition des éléments de preuve. La volatilité est caractéristique du secteur numérique ! La preuve, identifiée, est constatée par huissier. En parallèle de la préservation des preuves, nous envisageons les recours les plus adaptés aux objectifs de nos clients, y compris les recours judiciaires en déposant une plainte pénale demandant l’ouverture d’une enquête ou via des procédures spécifiques de demande d’autorisations judiciaires de retrouver les auteurs de l’incident au moyen, par exemple, d’une adresse IP.

Enfin, lorsque des données personnelles sont concernées par l'attaque, nous accompagnons nos clients dans la rédaction de la notification à la CNIL, désormais obligatoire. Nous rappelons que cette dernière doit intervenir dans les 72 heures à compter de la connaissance de la violation de données à caractère personnel. C’est ce qu’il se passe lorsque qu’un incident de sécurité sur un système informatique a eu lieu, mais nous agissons également beaucoup en amont afin de privilégier une maîtrise des risques chez nos clients.

Êtes-vous en mesure d'anticiper les cyberattaques ?

Je crois beaucoup à la prévention et à l'anticipation. Notre connaissance du sujet nous permet d’avoir une idée assez précise de certains risques inhérents à certains projets informatiques. Anticiper consiste par exemple à élaborer une gouvernance pertinente et aider nos clients à sécuriser d'un point de vue contractuel les actions à faire réaliser par les différents prestataires ou consultants afin de déterminer les engagements, les rôles et les responsabilités de chacun.

Enfin, il ne faut pas négliger les attaques provenant de « l'intérieur » et qui sont de plus en plus fréquentes. Par exemple, nous avons aidé l’un de nos clients victime d'une cyberattaque causée par un prestataire de services remercié qui, avant de partir, a supprimé l’ensemble des comptes administrateurs internes de la société. Une entreprise doit se prémunir de l’éventualité d’actes malveillants de la part de ses salariés ou de ses prestataires.

Managers Europe Magazine, janvier-février-mars 2019

 

La Cour de cassation considère que les juges du fond doivent apprécier au regard du principe de proportionnalité la licéité d’un dispositif de géolocalisation destiné à contrôler les temps de travail de salariés.


Dans son arrêt du 19 décembre 2018, la Chambre sociale de la Cour de cassation rappelle qu’en application du principe de proportionnalité de l’article L. 1121-1 du code du travail aux termes duquel « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché », la mise en place d’un dispositif de géolocalisation destiné à contrôler la durée du travail des salariés est licite seulement s’il est démontré que c’est le seul moyen d’assurer ce contrôle.

La Fédération Sud soulevait l’illicéité d’un dispositif de géolocalisation mis en place par la société Médiapost et enregistrant la localisation des distributeurs de courrier à échéance régulière de dix secondes au moyen d’un boîtier mobile porté et activé par ces derniers. Le caractère  disproportionné du système, notamment au regard de l’autonomie d’organisation des distributeurs, était invoqué.

La cour d’appel de Lyon, ayant considéré que la Fédération Sud n’établissait pas qu’il existait de moyen plus proportionné, s’était prononcée en faveur de la licéité du dispositif.

Considérant que la juridiction du fond n’avait pas caractérisé le système de géolocalisation mis en place comme étant le seul moyen d’assurer le contrôle de la durée du travail des salariés, la Haute juridiction casse l’arrêt d’appel de Lyon et pose les principes selon lesquels la géolocalisation des salariés à des fins de contrôle de leur temps de travail :

  • n’est licite que lorsque ce contrôle ne peut pas être réalisé par un autre moyen, fût-il moins efficace,
  • n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail.

Cette décision protectrice des droits des salariés rappelle utilement le principe de proportionnalité, lequel fait écho au principe de pertinence, au cœur du dispositif relatif à la protection des données à caractère personnel.

Odile JAMI-CASTON, juriste experte, directrice du pôle Data Privacy & RGPD Compliance et Lamia El Fath, avocate 

 

L’avocat général près la Cour de justice de l’Union européenne vient, tout récemment, de rendre ses conclusions sur la question préjudicielle posée par le Conseil d’Etat dans le cadre d’un litige opposant Google à la CNIL.  

Pour rappel, Google contestait la sanction de la CNIL lui reprochant de se limiter, dans le cadre d’une demande de déréférencement, aux seuls liens apparaissant à la suite des recherches lancées à partir d’adresses IP localisées en France. La CNIL souhaitait une extension de cette mesure à l’intégralité du traitement lié au moteur de recherche, sans distinction « entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche ».

Dans ses récentes conclusions, l’avocat général, tout en souhaitant un déréférencement « efficace et complet au niveau du territoire de l’Union », ne suit pas la CNIL.

Une décision de la CJUE d’autant plus attendue…

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance  

 

 

Déjà pris en compte dans la pratique judiciaire, le secret des affaires, depuis la loi du 30 juillet 2018, bénéficie d’une protection nouvelle, à la fois attendue et susceptible de modifier la procédure permettant la collecte de preuves prévue à l’article 145 du Code de procédure civile.

 

Depuis la loi du 30 juillet 2018 1 sur le secret de affaires, le Code de commerce s’est enrichi d’un nouveau titre dédié à « la protection du secret des affaires ».

Désormais « Est protégée au titre du secret des affaires toute information répondant aux critères suivants :

1° Elle n'est pas, en elle-même ou dans la configuration et l'assemblage exacts de ses éléments, généralement connue ou aisément accessible pour les personnes familières de ce type d'informations en raison de leur secteur d'activité ;
2° Elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;
3° Elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, compte tenu des circonstances, pour en conserver le caractère secret. » 2

 
Le texte ne distingue pas selon la nature, l’objet ou le support des informations qui peuvent donc concerner des documents, formules, méthodes, technologies (codes informatiques), etc. Le bénéfice de la protection dépend de la volonté du détenteur de protéger une information qu’il estime devoir rester secrète et des mesures prises par lui pour conserver ce caractère secret.


L’application de l’article 145 du CPC

Le secret des affaires est souvent un enjeu de la mise en œuvre de l’article 145 du Code de procédure civile. Selon ce texte, « s'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. »

Parfois appelée « référé probatoire », cette procédure peut être non contradictoire, ce qui présente l’intérêt de ne pas informer préalablement la personne concernée et de limiter ainsi le risque de dissimulation des preuves recherchées. Cependant, il existe un risque d’atteinte au secret des affaires.

Lorsqu’une telle atteinte est caractérisée, les conséquences pour l’initiateur de la procédure ne sont pas négligeables : annulation de la procédure, destruction des pièces saisies ou encore condamnation à des dommages et intérêts. Elles le sont également pour la personne visée par la mesure.

Avant la loi de juillet 2018, le recours, dans la pratique judiciaire, à la mise sous séquestre des éléments obtenus lors de l’exécution de la mesure d’instruction, protégeait déjà le secret des affaires.

Avec cette loi, et son décret d’application du 11 décembre 2018, les modalités de la recherche de l’équilibre entre l’accès aux preuves et la protection du secret des affaires sont précisées et encadrées.

 

Vers une modification des pratiques

Selon notre expérience, deux points peuvent d’ores et déjà être soulignés :

  • la définition du secret des affaires donnée par le Code de commerce apparaît restrictive. Désormais pour bénéficier de cette protection, il est nécessaire de prouver l’existence de mesures mises en œuvre pour conserver à l’information son caractère secret. Cette définition sera-t-elle retenue dans le cadre de l’application de l’article 145 du Code de procédure civile ? Le juge saisi demandera-t-il au défendeur de la mesure d’apporter cette preuve ?
  • la création de nouveaux pouvoirs pour le juge qui peut notamment, dès lors qu’une partie invoque l’atteinte au secret des affaires « prendre connaissance seule de cette pièce (…) [ou] décider de limiter la communication ou la production de cette pièce à certains de ses éléments, en ordonner la communication ou la production sous une forme de résumé ou en restreindre l'accès, pour chacune des parties, au plus à une personne physique et une personne habilitée à l'assister ou la représenter ». 3

 

En conclusion, la nouvelle définition du secret des affaires, sans interdire ni restreindre la mise en œuvre de la procédure au visa de l’article 145, va indéniablement conduire à une modification des pratiques en la matière.

Dans l’attente des premières décisions, on ne peut qu’insister sur la nécessité pour l’entreprise d’identifier ce qu’elle considère être ses secrets d’affaire et de mettre en place les procédures garantissant la pérennité de leur caractère secret.

 

[1] Loi du 30 juillet 2018 n°2018-670 transposant en droit français la directive européenne 2016/943

[2] Article L.153-1 du Code de commerce

[3] Articles L.153-1 et R.152-1 du Code de commerce


Jean-Christophe Ienné, avocat directeur du pôle PI, Internet, médias et audiovisuel et Marine Hardy, avocate responsable du pôle Innovations & sécurité

Le Journal du management n°68, Dossier droit du contentieux et arbitrage, Legi Team Editions, janvier-février 2019

 

 

Les précisions apportées par la grande chambre de la CJUE, dans son arrêt du 10 juillet 2018, quant à l’interprétation de la directive de 1995 sont utiles à la compréhension des concepts repris dans le RGPD.

Les faits, datant de 2013, portaient sur une interdiction faite par le contrôleur de protection des données finlandaises à la communauté des témoins de Jéhovah de collecter et de traiter des données à caractère personnel dans le cadre  des activités de porte-à-porte de ses membres au mépris des dispositions légales.

Un recours contre cette décision ayant été porté devant le tribunal administratif d’Helsinki, celle-ci a été annulée, le tribunal administratif ayant considéré que la communauté en cause n’était pas responsable du traitement des données personnelles ainsi constitué.

Le contrôleur de protection des données a contesté ce jugement devant la Cour administrative suprême de Finlande, laquelle a décidé de surseoir à statuer et a saisi la Cour de justice de l’Union européenne (CJUE) de différentes questions préjudicielles parmi lesquelles nous retiendrons ici :

  1. Un ensemble de données à caractère personnel collectées de manière non automatisée constitue-t-il un fichier, dès lors que les données peuvent être aisément retrouvées aux fins d’une utilisation ultérieure ?
  2. Une communauté religieuse qui organise une activité dans le cadre de laquelle des données personnelles sont collectées pour un traitement auquel seuls les prédicateurs ont accès en est-elle la responsable de traitement ?


1.    Sur la notion de fichier

Les données à caractère personnel collectées dans le cadre d’une activité de prédication de porte-à-porte comportant les noms, adresses et indications relatives aux personnes interrogées relèvent-elles du traitement des données à caractère personnel ?

Une réponse positive est apportée par la CJUE du fait :

  • de la répartition des fiches par secteur géographique destinées à faciliter les visites ultérieures des personnes déjà démarchées,
  • des informations relatives au contenu des conversations portant sur les convictions des personnes ainsi que leur nom et adresse,
  • de la mise en place de listes gérées par les paroisses de la communauté destinées à exclure des visites les personnes réfractaires.

Ces critères ainsi réunis permettent de retenir le caractère structuré de la collecte des données dont l’objectif est de préparer les visites ultérieures, d’exclure les personnes ne souhaitant plus être démarchées et de retrouver aisément les données relatives à des personnes déterminées.

2.    Sur la qualification de responsable de traitement

La CJUE a considéré la communauté des témoins de Jehovah comme responsable conjoint, avec ses membres, du traitement ainsi constitué par ces derniers dans le cadre d’une activité de prédication, organisée, coordonnée et encouragée par la communauté et dont l’objectif était de la servir en diffusant sa foi.

Cette décision traduit l’importance de la prise en considération de la finalité générale du traitement, comme l’a d’ailleurs tout récemment rappelé la formation restreinte de la CNIL dans une délibération du 19 décembre 2018 prononçant une sanction à l’encontre de la société Uber France.

Dans cette délibération, la CNIL rappelle la position du G 29 dans son avis du 16 février 2010 sur les notions de responsable du traitement et de sous-traitant. La qualification des acteurs doit ainsi reposer sur une analyse plus factuelle que formelle. En l’espèce, la détermination de la finalité du traitement l’emporte sur la détermination des moyens pour qualifier l’acteur comme responsable de traitement.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance