FORMATION CERTIFIANTE :MISSIONS ET ENJEUX JURIDIQUES DES TECHNOLOGIES DE L’INFORMATION CHAPITRE 1 – JOUR 1 et 2 : MISE EN PLACE D’UN SYSTÈME DE TRAITEMENT DE DONNÉES NUMÉRIQUES I. Obligation de collaboration entre les parties A. Lors de la formation du contrat / Obligation de conseil B. Lors de l’exécution du contrat C. Critères pour identifier un client compétent ou novice : rôle du contrat dans la qualification II. Définir le ou les objets des engagements A. Généralités B. Particularités des principaux contrats informatiques 1. Licence (propriétaire et libre) 2. Intégration et spécificités de l’ERP 3. Maintenance 4. Infogérance 5. ASP / SaaS 6. Cloud Computing pour des prestations de stockage (IaaS) CAS PRATIQUE : A partir d’un QCM, associer les clauses présentées au contrat informatique correspondant III. Organiser les relations financières, gérer les adaptations de prix en lien avec les évolutions de projet IV. Définir les livrables et les moyens Recette V. Identifier les garanties à obtenir Quid des vices cachés Page 1 CAS PRATIQUE : Cas pratique visant à la mise en œuvre des garanties de services VI. Gérer la propriété intellectuelle des résultats A. Droit d’auteur sur les développements logiciels B. Brevetabilité des algorithmes ? CAS PRATIQUE : Cas pratique visant à la mise en œuvre des garanties de propriété intellectuelle VII. Gérer les conséquences des inexécutions A. Rupture du contrat pour inexécution (modalités) B. Responsabilité du prestataire / Force Majeure / Obligation de ne pas faire CAS PRATIQUES : Revue des points essentiels du processus de recette. QCM permettant d’appréhender les notions et les enjeux associés aux clauses de responsabilité A partir d’un cas pratique, identifier les enjeux associés à l’obligation de sauvegarde des données. C. Accès aux codes sources D. Remplacement du prestataire défaillant / Préjudice E. Rédaction des avenants F. Contentieux et modes alternatifs de règlement des différends CHAPITRE 2 : DONNÉES NUMÉRIQUES JOUR 2 et 3 – RÈGLES SPÉCIFIQUES AUX DONNÉES PERSONNELLES (I) I. Protection des données à caractère personnel par la loi Informatique et Libertés A. Application de la loi Informatique et Libertés 1. Définitions : notions de traitement, de fichier, de données à caractère personnel, de responsable de traitement et de destinataire Page 2 2. Champ d’application matériel a) règles générales concernant les données dépourvues de caractère sensible b) régime particulier des données sensibles c) encadrement des traitement des données de santé formalités préalables selon l’objet : recherche dans le domaine de la santé, ou analyse des pratiques/activités de soins et de prévention contenu du dossier (selon l’objet) méthodologies de référence pour les traitements de recherche médicale droits des personnes (information et dérogation en cas de recherche médicale, consentement, obligations du responsable) mise en œuvre du traitement ayant pour objet l’analyse ou l’évaluation des pratiques de soins et de prévention garantie du responsable d’un traitement ayant pour objet l’analyse ou l’évaluation des pratiques de soins et de prévention conditions de sécurité pour garantir la confidentialité 3. Champ d’application territorial 4. La Cnil a) Statut et composition b) Organisation de la commission plénière de la commission restreinte des services c) Différentes missions de la Cnil CAS PRATIQUE : Donner les principales caractéristiques : d’une donnée à caractère personnel, d’un traitement de données à caractère personnel, d’un responsable de traitement de données à caractère personnel. B. Conditions de licéité d’un traitement de données à caractère personnel 1. Principes de légitimité et finalité des traitements (proportionnalité, pertinence et adéquation des données à la finalité poursuivie) Spécificité du Big Data 2. Principe de conservation limitée des données Page 3 3. Respect des droits des personnes dont les données à caractère personnel sont collectées a) le consentement (notion, nécessité et exceptions) exemple des cookies b) le droit à l’information (avec obligations qui en résultent pour le responsable) c) les droits d’accès, de rectification, suppression et d’opposition (avec modalités et obligations qui en résultent) 4. Mise en place de mesures de sécurité (physique et logique) et de confidentialité des données à caractère personnel Cas particulier de la sous-traitance, notamment dans le Cloud Computing 5. Déclarations et autres formalités préalables a) formalités à accomplir b) manière dont la Cnil les instruit C. L’encadrement des transferts de données hors de l’Union européenne 1. Principes 2. Moyens destinés à encadrer le transfert a) Contrats-types b) Binding Corporate Rules 3. Formalités préalables 4. Obligations du responsable (information) 5. Spécificité du Cloud Computing (localisation des serveurs) CAS PRATIQUES : Cas pratique sur l’application de la loi Informatique et Libertés dans l’hypothèse d’une société américaine avec des serveurs localisés en Italie et des internautes français concernés par le traitement : détermination de la loi applicable QCM sur les obligations d’un sous-traitant au sens de l’article 35 de la loi Informatique et Libertés Peut-on transférer des données personnelles hors de l’Union européenne ? Si oui, comment organiser un tel transfert ? D. Pouvoir de contrôle a posteriori de la CNIL Page 4 1. Différentes formes de contrôle a posteriori 2. Formalisme associé à une procédure de contrôle 3. Modalités pratiques d’exercice d’une procédure de contrôle 4. Droits et obligations du responsable de traitement et des représentants de la CNIL 5. Suites consécutives à un contrôle E. Sanctions découlant de la loi Informatique et Libertés 1. Sanctions administratives a) différentes procédures de sanction pouvant être mises en œuvre par la CNIL b) fonctionnement de la commission réunie en formation restreinte et déroulement d’une séance c) formalisme associé, droits et obligations du responsable mis en cause et voies de recours d) conditions de publication et de publicité des sanctions 2. Sanctions pénales a) délit d’entrave à l’action de la CNIL b) sanctions pénales liées : aux atteintes aux droits d’accès, de rectification et d’opposition de la personne au non respect de la loi informatique et libertés, au non respect des exigences relatives : - aux formalités préalables, - à la sécurité des données, - à la durée de conservation des données, - à la finalité des traitements, et - au traitement des données sensibles 3. Sanctions civiles (nullité pour illicéité d’objet et d’autres exemples comme les sanctions en droit du travail invalidées) II. Mise en œuvre des conditions de conformité A. Mise en place d’un CIL Page 5 1. Désignation (modalités, procédure) et statut 2. Conditions dans lesquelles la liste des traitement doit être tenue par le correspondant 3. Traitement des réclamations adressées au responsable de traitement 4. Bilan annuel d’activité 5. Alerte du responsable sur les manquements constatés 6. Relations entre la CNIL et le correspondant 7. Fin de mission (conditions, procédure) B. Audits de conformité et analyses d’impact CAS PRATIQUES : Expliquer l’intérêt d’instaurer un CIL dans une entreprise de moins de 50 salariés Caractériser l’utilité du principe de finalité. Que pouvez-vous en dire en lien avec les traitements « Big Data » ? III. Nouveaux enjeux pour la protection des données à caractère personnel A. Projet de règlement européen 1. Système de guichet unique 2. Principe d’accountability : vers le remplacement des formalités de déclarations préalables par une responsabilisation du responsable de traitement 3. Intégration du concept de Privacy by Design 4. Délégués à la protection des données (DPD) : les nouveaux CIL 5. Augmentation des amendes et renforcement du pouvoir de contrôle 6. Nouvelle catégorie des données pseudonymes 7. Solidarité des responsables ou sous-traitants du traitement 8. Notifications des violations de données à caractère personnel 9. Droit à l’oubli ou simple « droit à l’effacement »… B. Gouvernance et coopération des autorités de régulation Page 6 Conclusion : rôle des citoyens dans la protection des données à caractère personnel CHAPITRE 2 : DONNÉES NUMÉRIQUES JOUR 4 – DEMATERIALISATION ET SECURITE PARTIE 1 : DÉMATÉRIALISATION I. Dématérialisation et actes juridiques A. Écrit électronique 1. Principe d’équivalence 2. Conditions d’admission 3. Contestation de l’écrit électronique a) En cas de signature électronique simple : au signataire d’en prouver la fiabilité b) En cas de signature électronique sécurisée : à la partie qui conteste cette signature d’en démontrer la falsification 4. Conventions de preuve 5. Illustrations jurisprudentielles B. Signature électronique 1. Fonctions de la signature électronique a) Manifestation du consentement b) Garanties d’authentification et d’intégrité 2. Distinction entre les signatures (décret de 2001) : électronique sécurisée électronique simple scannée 3. Impacts sur la valeur probante a) Exigences relatives à un dispositif sécurisé de signature électronique Page 7 b) Renversement de la charge de la preuve 4. Prestataires de service de certification électronique a) Cryptologie b) Liste des prestataires CAS PRATIQUE : QCM sur les caractéristiques d’un dispositif sécurisé de création de signature électronique QCM sur les notions d’écrit et de signature électroniques C. Archivage et notion de support durable 1. Principes généraux a) Définition Norme ISO 15489 Norme AFNOR NFZ – 42-013, Mars 2009 L.211-1 du code du patrimoine b) Illustrations Données à caractère personnel (recommandations de la CNIL aux entreprises) Données de connexion (obligation de conservation) Archives publiques (libre communicabilité sauf secret imposé par la loi) 2. Encadrement des durées de conservation a) Durée générale de prescription légale (loi du 17 juin 2008) b) Règles spécifiques Contrats électroniques B2C Documents comptables Pièces sur lesquelles peuvent s’exercer le droit de communication de l’Administration Bulletins de paie 3. Encadrement des supports de conservation a) Matière commerciale b) Matière civile c) Matière fiscale Page 8 d) Généralisation de la dématérialisation 4. Focus sur des thèmes récents en matière d’archivage a) Archivage en matière de facturation et de TVA b) Extension du périmètre de l’archivage fiscal liée à la dématérialisation des données et aux nouvelles dispositions en matière de contrôle des comptabilités c) Frais de personnel d) Notion de copie fidèle et durable (facture, double original) e) Archivage interne ou externe, nécessité d’un tiers archiveur ? II. Dématérialisation et faits juridiques A. Courriels électroniques 1. Non application des articles 1316-1 et -4 du code civil 2. Liberté de la preuve et appréciation souveraine B. Valeur probatoire des éléments saisis sur support informatique 1. Diversité des acteurs (DGCCRF, Cnil, administration fiscale) 2. Respect des principes régissant l’administration de la preuve a) Loyauté b) Fiabilité CAS PRATIQUES : A partir d’un cas pratique, il s’agit d’analyser la valeur probante de courriers électroniques A partir d’un cas pratique, il s’agit d’analyser le respect des principes de loyauté et de fiabilité de la preuve PARTIE 2 : SÉCURITÉ DES SYSTÈMES D’INFORMATION I. Risques tenant aux nouveaux usages des outils de communication : cyber-criminalité A. Data breach Page 9 1. Incidents types 2. Réglementation européenne 3. Réglementation française a) Notion de STAD b) Délit d’accès illicite à un STAD c) Délit de maintien illicite dans un STAD 4. Illustrations jurisprudentielles a) Risques internes b) Risques externes B. Débat sur le vol d’information C. Phishing D. Hacking CAS PRATIQUES : Déterminer les fondements juridiques permettant d’introduire une action en cas d’intrusion dans une base de données Quelles actions de sécurité à mettre en place en amont pour prévenir le vol de fichiers électroniques de l’entreprise dans laquelle la direction générale vous a confié une mission à ce sujet ? II. Recommandations pour la sécurité des systèmes d’information A. Politique de sécurité (mots de passe, identifiants, sécurité du réseau, accès physique contrôlé…) B. Identification de l’accès aux données C. Confidentialité relative aux prestataires D. Politique de prévention 1. Anticipation 2. Sensibilisation E. Assurance des systèmes d’information Page 10 F. Normes de sécurité propres au secteur public III. Réaction à adopter A. Nécessité d’identifier l’auteur de l’infraction 1. OCLCTIC 2. BEFTI 3. Whois 4. Requête sur la base des articles 6 de la LCEN et 145 du CPC B. Procédure 1. Plainte auprès du procureur général 2. Plainte avec constitution de partie civile 3. Citation directe FORMATION CERTIFIANTE : MISSIONS ET ENJEUX JURIDIQUES DES TECHNOLOGIES DE L’INFORMATION CHAPITRE 3 : DONNÉES NUMÉRIQUES ET INTERNET JOUR 5 - INTERNET, VECTEUR DE COMMUNICATION PARTIE 1 : INTERNET, VECTEUR DE COMMUNICATION EXTERNE I. Contenus illicites : principes de responsabilité Responsabilité du fait du contenu fonction de l’activité en cause A. Activité de transmission 1. Opérateurs de communications électroniques : définition et statut 2. Irresponsabilité et neutralité technique 3. Illustrations jurisprudentielles Page 11 B. Activités d’hébergement et de fourniture d’accès 1. Dispositions communes aux hébergeurs et aux fournisseurs d’accès a) Définitions b) Dispositif de signalement : obligation de lutter contre certaines infractions (lutte contre l’apologie des crimes contre l’humanité, incitation à la haine raciale, apologie des crimes et délits, et diffusion d’images pédophiles) c) Responsabilité allégée de la LCEN notification (connaissance du contenu) prompt retrait absence d’obligation générale de surveillance (notice and take down / notice and stay down) d) Prévenir ou faire cesser un dommage 2. Dispositions spécifiques a) Les hébergeurs obligations légales illustrations jurisprudentielles b) Les fournisseurs d’accès obligations légales illustrations jurisprudentielles C. Fourniture de contenus 1. Définition et statut 2. Responsabilité en cascade pour la presse électronique 3. Responsabilité de droit commun (fonctions d’intermédiation technique) CAS PRATIQUE : A partir d’un QCM, identifier les attributions et responsabilités des différents acteurs de la communication sur Internet Page 12 II. Contenus illicites : application in concreto des principes de responsabilité A. Moteurs de recherche 1. Activité de suggestion (Google Suggest) 2. Fourniture de liens commerciaux (Google Adwords) B. Plateformes de commerce en ligne C. Liens hypertextes 1. Framing 2. Liens profonds 3. Liens simples D. Forums de discussion E. Blogs F. Réseaux sociaux III. Lutte contre les contenus illicites A. Conservation des données de connexion et données d’identification des auteurs de contenus litigieux 1. Régime applicable aux opérateurs de communications électroniques 2. Régime applicable aux FAI et hébergeurs B. Retrait du contenu illicite C. Blocage de sites internet CAS PRATIQUES : A partir d’un cas pratique, préciser les conditions de contestation en présence d’un lien commercial dirigeant vers une société concurrente A partir d’un QCM, déterminer les demandes à formuler devant un tribunal pour supprimer un contenu illicite sur Internet. PARTIE 2 : INTERNET, VECTEUR DE COMMUNICATION INTERNE Page 13 I. Interférences entre les vies professionnelle et personnelle du salarié Contrôle de l’employeur sur l’usage de l’outil de travail : principes A. Fondement du pouvoir de contrôle 1. Pouvoir disciplinaire 2. Usage sur les temps et lieu de travail B. Conditions d’exercice du pouvoir de contrôle 1. Présomption de l’usage à caractère professionnel 2. Limites a) contrôle loyal, transparent et proportionné au but poursuivi b) respect des droits et libertés du salarié droit au respect de la vie privée secret des correspondances 3. Preuve nécessaire de la faute du salarié C. Modalités pratiques 1. Les différents types de contrôle 2. Mise en œuvre du droit de contrôle 3. Conservation des informations collectées dans le cadre des contrôles techniques 4. De l’administrateur réseau au correspondant à la protection des données 5. Saisies de disque dur par huissier CAS PRATIQUES : A partir d’un cas pratique, déterminer les conditions dans lesquelles l’accès à la messagerie personnelle sur le lieu et pendant le temps de travail est légitime Page 14 A partir d’un cas pratique, préciser la force probante de propos tenus dans un groupe Facebook relatés à l’employeur Préconisations pratiques et rédaction d’une charte II. A. Objet 1. Par typologies de supports a) téléphone au travail b) utilisation fautive d’accès à Internet c) Intranet d) utilisation fautive d’e-mails e) matériels portables et travail hors du lieu de travail 2. Par typologies d’atteintes aux droits de propriété intellectuelle et incorporelle a) droit de propriété incorporelle de l’employeur b) protection de l’image de marque de l’employeur c) droit de propriété incorporelle des tiers 3. Respect du savoir-vivre et droit à la déconnexion 4. Utilisation par les représentants du personnel B. Violation C. Publicité III. Utilisation fautive d’outils de communication en dehors du temps et du lieu de travail A. L’abus dans la liberté d’expression du salarié sur les réseaux sociaux B. La preuve du caractère abusif des propos tenus par le salarié Page 15 FORMATION CERTIFIANTE : MISSIONS ET ENJEUX JURIDIQUES TECHNOLOGIES DE L’INFORMATION CHAPITRE 3 : DONNÉES NUMÉRIQUES ET INTERNET JOUR 6 - INTERNET, RÉSEAU DE COMMERCIALISATION I. Les acteurs A. Fournisseurs et distributeurs 1. Vente en ligne et distributeurs intégrés La revente en ligne étudiée au regard du Règlement 330 du 20.04.2010, de ses lignes directrices, de la pratique décisionnelle des autorités de concurrence et de la jurisprudence a) Possibilité pour le fournisseur : d’interdire à ses distributeurs la revente en ligne ? de se réserver la revente en ligne ? b) Revente en ligne : distinction entre distribution sélective et distribution exclusive c) Modalités de contrôle par le fournisseur du site internet ouvert par le distributeur d) Question de la différenciation de prix selon que les biens ou services sont vendus en magasins ou en ligne 2. Vente en ligne et distributeurs hors réseau a) Distribution parallèle : le fournisseur peut-il agir contre les pure players ? les pure players peuvent-ils distribuer les produits d’un fournisseur sans passer par son réseau ? b) Droit de la concurrence déloyale et du parasitisme c) Distinction selon les formes de distribution CAS PRATIQUE : A partir d’un cas pratique, identifier les principales actions visant à protéger un réseau de distribution en présence de pure players. B. Prestataires techniques Page 16 1. Critères de distinction 2. Régime de responsabilités C. Éditeurs de service 1. Critères de distinction 2. Régime de responsabilités en application a) de la LCEN b) du droit commun II. Le contrat en ligne et l’impact de la loi Hamon A. Obligations d’information (renforcement) B. Conclusion du contrat C. Opposabilité des conditions générales D. Droit de rétractation (régime modifié) E. Clauses abusives (lutte renforcée) F. Paiement en ligne G. Responsabilité de plein droit CAS PRATIQUE : A partir d’un QCM, identifier et préciser précontractuelles applicables au commerce en ligne III. les obligations Publicité et promotion A. Prospection 1. Opt-in 2. Opt-out B. Publicité en ligne C. Référencement CAS PRATIQUE : QCM sur les modes licites de publicité en ligne Page 17 D. Nouveaux usages liés aux réseaux sociaux FORMATION CERTIFIANTE : MISSIONS ET ENJEUX JURIDIQUES DES TECHNOLOGIES DE L’INFORMATION CHAPITRE 4 – JOUR 7 : COMMENT FAVORISER L’INNOVATION ET PROTÉGER SES DONNÉES NUMÉRIQUES I. Acteurs de l’innovation et création de l’entreprise innovante 1. Choix de la structure juridique adaptée 2. Protection des dirigeants 3. Aides fiscales et sociales II. Objets de l’innovation A. Marques 1. Risque de confusion 2. Caractère distinctif 3. Marque et liberté d’expression 4. Épuisement des droits 5. Utilisation de la marque dans une publicité comparative 6. Autres signes distinctifs B. Brevets 1. Activité inventive 2. Protection des algorithmes C. Droit d’auteur 1. Intérêt public et atteinte au droit d’auteur 2. Droit moral et liberté de création Page 18 3. Originalité et protection du logiciel 4. Savoir-faire non protégé en tant qu’œuvre de l’esprit 5. Caractère f fonctionnel d’une forme et protection au titre du droit d’auteur 6. Théorie de l’arrière-plan et communication au public d’une œuvre D. Bases de données 1. Notion d’investissement 2. Notion d’extraction non autorisée E. Noms de domaines F. Savoir-faire / protection par le secret CAS PRATIQUE : A partir d’un QCM, déterminer quel fondement de protection est applicable pour les : algorithmes, interfaces graphiques, codes sources, codes objets, organigrammes. III. Protection de l’innovation A. Dépôt aux fins d’enregistrement (qualité pour inscrire un acte) B. Dépôt à des fins probatoires CAS PRATIQUE : Quelles sont les formalités à effectuer auprès de l’INPI en matière d’acquisition et de cession de droits ? IV. Valorisation de l’innovation A. Licences 1. Licences exclusives Page 19 2. Licences non exclusives B. Cessions de droits 1. Cessions réalisées en interne a) Règles applicables b) Précautions à prendre vis-à-vis des salariés inventeurs c) Rémunération complémentaire d) Précautions à prendre vis-à-vis des salariés auteurs 2. Cessions réalisées en externe 1. Principes généraux 2. Clause de cession de droits 3. Clause de garantie : garantie d’éviction C. Transferts de technologies D. Valorisation des actifs incorporels E. Régime fiscal V. Défense de l’innovation A. Contrefaçon / concurrence déloyale B. Choix de l’action (civile/pénale) C. Saisie-contrefaçon D. Mesures provisoires E. Retenues en douane F. Action au fond G. Evaluation du préjudice CAS PRATIQUE : Page 20 VI. Quelles sont les différences entre une action en contrefaçon et une action en concurrence déloyale ? Préciser à ce titre : les conditions de recevabilité, les sanctions pouvant être prononcées par les juges Financement de l’innovation A. Favoriser le capital B. Recourir aux marchés financiers Rechercher des aides et des subventions Page 21