Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ISDay 2017 - Atelier Juridique

211 views

Published on

Problématiques juridiques et nouvelles technologies

Published in: Technology
  • Be the first to comment

  • Be the first to like this

ISDay 2017 - Atelier Juridique

  1. 1. Problématiques juridiques et nouvelles technologies 16h-17h - Salle 1
  2. 2. Aspectsjuridiquesliés àlamiseenplaced’unsystème d’information
  3. 3. Morvilliers Sentenac & Associés
  4. 4. Philippe Wallaert Avocatassocié 18rueLafayette31000Toulouse 0562275050 www.ms-associes.com wallaert@msgw.com
  5. 5. Le système d’information  définitiond’unsystèmed’information -unensembleorganiséderessources(personnes,matériels,logicielsetprocédures)permettantd’acquérir,de traiter, de stocker, de diffuser des informations(sousformededonnées,textes,images,sons,...)dansetentreles organisations. Qu’est-cequ’un système d’information?
  6. 6. Le système d’information  diversitédescomposantsd’unsystèmed’information -basesdedonnées -logiciels(ERP,CRM,…)propriétaireset/oulibres -internet,intranet,extranet -postesdetravail, ordinateursportables,tablettes,serveurs,imprimantes -dispositifsdestockage(BYOD) -téléphonesmobiles -dispositifsdesécurité(badges,video-surveillance,contrôlebiométrique,…) -messagerieélectronique -réseauxsociaux -extensionsdusystèmed’information(cloud,…) -utilisateurs Qu’est-cequ’un système d’information?
  7. 7. Organiserle système d’information  descontratssouventcomplexes,parfoisinternationaux,dansunenvironnementévoluantrapidement -informationprécontractuelle -interprétation: préambule,définitions -périmètrecontractuel:étendue,évolution -mécanismesd’ajustement:imprévision,modesalternatifsderèglementdesdifférends,recoursà unexpert,… -la signatureparleclientd’unprocès-verbalderecettedéfinitivesans réservenelibèrepasleprestatairedeson obligation de délivrance conforme; l’obligationdedélivrancedeproduitscomplexesn’estpleinementexécutée qu’une fois réalisée la mise au point effective de la chose vendue (Cass. Com., 26 novembre 2013, n°12- 25191) Contratsdes systèmes d’information
  8. 8. Organiserle système d’information  quelquesexemplesdecontratsdifférents,mais avecsouventdesproblématiquescommunes -infrastructures(matériels,…) -hébergeur: niveaudeservice(SLA) -conceptionetréalisationdesiteinternet -fournisseurd’accèsà Internet -éditeur(logicielscomplexes,…) -externalisation niveaudeservice(disponibilité),garantie,localisationdesdonnées,sauvegardes,réversibilité,… Contratsdes systèmes d’information
  9. 9. Organiserle système d’information  descontratsdessystèmesd’informationauxcontratssurlessystèmesd’information -conditionsgénéralesdeventeenligne: dématérialisationdela relationcontractuelle(preuve,validité),protection desconsommateurs -conditionsd’utilisationdesservices:siteinternet(mentionslégalesobligatoires,politiquedesdonnéespersonnelles etcookies,conditionsd’utilisation,…) -contratsdeservice:Saas Contratsdes systèmes d’information
  10. 10. Sécuriser lesactifs incorporels  desactifs incorporelssusceptiblesd’êtreprotégéspardesdroits -oeuvresprotégéespar ledroitd’auteur(chartegraphique,logo,texte,son,photo,vidéo,…) -logiciels -basesdedonnées  destitulairesdesdroitspouvantêtretrèsvariés -salarié -prestataireextérieur -stagiaire  la nécessitéd’organiserla traçabilitédescréationsetl’acquisitiondesdroits L’acquisitiondes actifs incorporels
  11. 11. Sécuriser lesactifs incorporels  choixdunomdedomaine -La règle“premierarrivé,premierservi”neconfèreaucuneprimautéd’ordrejuridique;desrecherchesd’antériorités s’imposentpréalablement. -unnomdedomainenonexploiténeconstituepas a prioriunecontrefaçond’unemarqueantérieure,saufdans certainscas (abus,marquenotoire).  dépôtdemarque -La marqueconfèreundroitdepropriétéexclusif,limitéà certainségardsmais trèsefficace. Laprotectiondes actifs incorporels
  12. 12. Sécuriser lesactifs incorporels  respectdesformalitésobligatoires -toutfichierinformatisécontenantdesdonnéesà caractèrepersonneldoitfairel'objetd'unedéclarationauprèsdela CNIL et la vente par la société […] d'un tel fichierqui,n'ayantpas étédéclaré,n'étaitpas danslecommerce,avait un objetillicite.(Cass.com.,25juin2013, n°12-17037) Laprotectiondes actifs incorporels
  13. 13. Prendre encompte la protection des données personnelles  définition : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée "personne concernée"); est réputée être une "personne physique identifiable" une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation,unidentifiantenligne,ouà unouplusieursélémentsspécifiquespropresàsonidentitéphysique,physiologique,génétique,psychique,économique,culturelleousociale.(article4) -adresseIP:L’adresseIPestunedonnéepersonnelle(Cass,Civ,1ère,3novembre2016, n°15-22595; CJUE,aff. C-70/10, 24 novembre 2011, point 51; CJUE,aff.C-582/14, 16octobre2016) Attention:LenouveauRèglementGénéralsurlaProtectiondesDonnées seraapplicablele25mai 2018 Donnéepersonnelle
  14. 14. Prendre encompte la protection des données personnelles  responsabilitéduresponsabledutraitement(article4-7) -“accountability”(considérant76, article24) -“privacybydefault”et“privacybydesign”(considérant78, article25) -designationd’undéléguéà laprotectiondesdonnées(considérant97, articles37, 38, 39) -tenued’unregistredesactivitésdetraitement(considérant82, article30)  licéitédutraitement -respectdesprincipesfondamentauxdestraitements(article5) -consentement:manifestationdevolontélibre,spécifique,éclairéeetunivoquerésultantd’unedéclarationoud’un acte positif clair (opt-in actif) (considérants32, 40, 42, 43, 171; articles4, 7) exceptions:intérêtslégitimespoursuivisparleresponsabledutraitementouuntiers(considérant47, article6f) Attention:LenouveauRèglementGénéralsurlaProtectiondesDonnées seraapplicablele25mai 2018 Donnéepersonnelle
  15. 15. Prendre encompte la protection des données personnelles  obligations -informationdespersonnesconcernées(articles12, 13, 14, 15) -sécurité(considérant39, article32) etconfidentialité(article5),notification(article33) etcommunication(article34) -renforcementdesdroitsdespersonnesconcernées:retraitduconsentement(article7), effacement“droitàl’oubli” (article 17), portabilité des données personnelles(considérant68, article20)  transfertsdedonnéespersonnellesvers despaysn’appartenantpasà l’UE -privacyshield,bindingrules,clausestypes,decisiond’adéquation Attention:LenouveauRèglementGénéralsurlaProtectiondesDonnées seraapplicablele25mai 2018 Donnéepersonnelle
  16. 16. Controler l’activité des salariés  Il est dans la fonction des administrateurs de réseaux d’assurer le fonctionnement normal et la sécurité des réseaux et systèmes d’information, ce qui entraine qu’ils aient accès aux messageriesetà leurcontenu,pourlesdébloquerouéviterdesdémarcheshostiles.(CAParis,11e Ch.Sect.A17 décembre2001, n°00-07565) Roleetpouvoirs del’administrateurdes réseaux
  17. 17. Contrôler l’activité des salariés  respectdesprincipesfondamentaux,ycomprisautempsetau lieudetravail -toutsalariéa droitau respectdesa vieprivéeetdesa libertéd’expression -l'employeurnepeutapporterauxdroitsdespersonnesetauxlibertésindividuellesetcollectivesderestrictionsqui ne seraient pas justifiées par la nature de la tâcheà accomplirniproportionnéesau butrecherché  interdictiond’unesurveillanceconstanteetpermanentesurl’activitéinformatiquedessalariés -interdictiondel’utilisationd’un“keylogger” Controlede l’activitédes salariés
  18. 18. Contrôler l’activité des salariés  contrôledesconnexionsinternetdessalariés;lesconnexionssontprésuméesavoiruncaractèreprofessionnel  interdiction de mettre en oeuvre un traitement de données personnellesrelatives à des infractions pénales ou destinées à en établir l’existence (CE, 11 mai 2015, n°375669, logiciel permettantdedétecterdesinfractionsà caractèrepédopornographique)  usage abusif d’Internet sur le temps de travail (Cass. Soc., 9 juillet 2008, n°06-45800; Cass. Soc., 9 février2010, n°08-45253; Cass. Soc., 18 mars 2009, n°07-44247; Cass. Soc., 16 mai 2007, n°05-43455, ; Cass. Soc., 26 février 2013, n°11-27372; Cass. Soc., 21 septembre 2011, n°10-14869; Cass. Soc., 10 mai 2012, n°10-28585; Cass. Soc., 23 novembre 2011, n°10-30833; Cass.Soc.,18décembre2013, n°12-17832)  traçage informatique(Cass.Soc.18 juillet2000, n°98-43485) Controlede l’utilisationd’Internet
  19. 19. Contrôler l’activité des salariés  contrôledesfichiersidentifiéscommepersonnelsstockésdanslesystèmed’information - deux conditions alternatives : (1) présence ou information du salarié, ou (2) existence d’un risque ou d’un événement particulier pour l’organisation (Cass. Soc., 17 mai 2005, n°03-40017; Cass.Soc.,11décembre2001, n°99-43030; Cass.Soc.,8décembre2009, n°08-42097)  présomption du caractère professionnel des fichiers stockés dans le système d’information (Cass. Soc., 18 octobre 2006, n°04-48025; Cass. Soc., 18 octobre 2006, n°04-47400; Cass. Soc., 21 octobre 2009, n°07-43877; Cass. Soc., 8 décembre 2009, n°08-44840; Cass. Soc., 15 décembre 2009, n°07-44264; Cass. Soc., 10 mai 2012, n°11-13884; Cass. Soc., 4 juillet2012, n°11-12502; Cass.Soc.,19juin2013, n°12-12138 et12-12139; Cass. Soc.,12 février2013, n°11-28649)  sanctiondusalariéquistockedesfichiersillicites(Cass.Soc.,16 mai 2007, n°05-43455; Cass. Soc.,15 décembre2010, n°09-42691) Controledes fichiers informatiques
  20. 20. Contrôler l’activité des salariés  Contrôledel’usagedela messagerieélectroniquepar lessalariés - conditions (information préalable des salariés, consultation des IRP, déclaration à la CNIL) : Cass. Soc. 22 mai 1995, n°93-44078; Cass. Soc., 8 octobre 2014, n°13- 14991); présomption de caractère professionnel, sauf pour les messages personnels identifiés comme tels; contenu des messages : impossibilité d’utiliser les messages relevant de la vie privée mêmenonidentifiéscommepersonnels - emails personnels et correspondance privée : Cass. Soc., 2 octobre 2001, n°99-42942; Cass. Soc., 15 décembre 2010, n°08-42486; Cass. Soc., 18 octobre 2011, n°10-26782; Cass. Soc., 26 juin 2012, n°11-14022; Cass. Soc., 16 mai 2013, n°12-11866; Cass. Soc., 26 juin 2012, n°11-15310; Cass. Soc., 5 juillet 2011, n°10-17284; Cass. Soc., 18 décembre 2013, n°12-17832; Cass. Soc., 18 octobre 2011, n°10-25706; Cass. Soc., 10 mai 2012, n°11-11252; Cass. Soc., 15 décembre 2009, n°07-44264; Cass. Soc., 2 février 2011, n°09-72313; Cass.Soc.,2février2011, n°09-72449; Cass.Soc.,16 mai2013, n°12-13372) -contrôledelamessageriepersonnelledusalariéCass.Soc.,26 janvier2016, n°14-15360; Cass.Soc.,7avril2016, n°14-27949 Controlede lamessagerieélectronique
  21. 21. Contrôler l’activité des salariés  ContrôledesSMS -accès auxSMS nonpersonnelsd’untelephoneprofessionnelCass. Soc.,23 mai 2007, n°06-43209; Cass. Soc.,10 février 2015, n°13-14779; Cass. Soc. Avis,13novembre2014, n°13-14779 Controlede lamessagerieélectronique
  22. 22. Contrôler l’activité des salariés  possibilité de sanctionner des faits commis en dehors du temps de travail (CA Reims, 9 juin 2010, n°09-03209; CA Besançon, 15 novembre 2011, n°10-02642; CA reims, 24 octobre2012, n°11-01249)  Facebook : les propos publiés sur le mur Facebookdu profil privé d’un salarié, accessibles à ses seuls amis, en nombre très restraint, ne constituent pas une injure publique (Cass. Soc., 10 avril2013, n°11-19530)  caractèreprivédesproposéchangéssurFacebook?  contrôledel’utilisationdeTwittersurletempsdetravail (CAChambéry,25 février2016, n°15-01264) Cas particulierdes réseauxsociaux
  23. 23. Contrôler l’activité des salariés  intérêtdela charte  forcecontraignantedelacharte  opposabilitédelacharte:consultationdesIRP,communicationà l’Inspectiondutravail,informationdessalariés L’utilitéd’unecharted’utilisation du système d’information
  24. 24. Contrôler l’activité des salariés  finalités pouvant justifier la mise en oeuvre d’un système de géolocalisation : respect d’une obligation légale ou réglementaire, suivi et facturation d’une prestation, sûreté ou sécurité dusalariéouduvéhicule,meilleureallocationdesmoyenspourdesprestationsàaccomplirdansdeslieuxdispersés -suividutempsdetravail :finalitéaccessoire,uniquementlorsquecesuivinepeutpas êtreréalisépard’autres moyens  typesdedonnéescollectées:identificationdusalarié,donnéesrelativesauxdéplacements,donnéescomplémentairesassociéesà l’utilisationduvéhicule  conditions:informationpréalabledessalaries,consultationdesIRP,déclarationà la CNIL Géolocalisation
  25. 25. Protéger le système d’information  vol de données : le fait « d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier de manière frauduleuse les données (…) » contenues dans un STAD est puni de5ans d’emprisonnementetde150 000€ d’amende(article323-3 duCodePénal)  aspirationdesdonnéesd’unsiteinternet(TGIParis,12e Ch.Corr.1, 20juin2016)  consultationd’unsiteinternetinsuffisammentsécurisé(CAParis,12e Ch.Sect.A,30 octobre2002)  attaquesdusystèmed’information:contamination(virus,vers,trojans,cryptolocker,…),paralysie(dénideservice),détournement(fishing,fraudeau Président) (articles323-1 etsuivantsduCodePénal Piratage
  26. 26. Protéger le système d’information  Liens - unhyperlien sur un siteinternet, vers une œuvre protégéepar le droit d’auteuret publiéesans autorisationde l’auteur, ne constituepas une «communication aupublic»si la personnequiinsèrel’hyperlienagit sans butlucratifetsans connaîtrel’illégalitédela publicationdecetteœuvre(CJUE,8septembre2016, aff.C-160/15)  Référencement -Googleadwords(CJUE,23mars 2010, aff.C-236/08, C-237/08 etC-238/08; CJUE,22 septembre2011, n°C-323/09; Cass. Com.,25septembre2012)  Basesdedonnées -extractiondedonnéesd’unebasededonnées(Cass.Com.,23mars 2010; Cass.Com.,10février2015, n°12-26023). Contrefaçon
  27. 27. MERCI POURVOTRE PRESENCE! Philippe Wallaert Avocat associé +33622727666 wallaert@msgw,com

×