Programme détaillÃ

advertisement
FORMATION CERTIFIANTE :MISSIONS ET ENJEUX JURIDIQUES DES TECHNOLOGIES DE L’INFORMATION
CHAPITRE 1 – JOUR 1 et 2 : MISE EN PLACE D’UN SYSTÈME DE
TRAITEMENT DE DONNÉES NUMÉRIQUES
I.
Obligation de collaboration entre les parties
A. Lors de la formation du contrat / Obligation de conseil
B. Lors de l’exécution du contrat
C. Critères pour identifier un client compétent ou novice : rôle du
contrat dans la qualification
II.
Définir le ou les objets des engagements
A. Généralités
B. Particularités des principaux contrats informatiques
1. Licence (propriétaire et libre)
2. Intégration et spécificités de l’ERP
3. Maintenance
4. Infogérance
5. ASP / SaaS
6. Cloud Computing pour des prestations de stockage (IaaS)
CAS PRATIQUE :
 A partir d’un QCM, associer les clauses présentées au contrat informatique
correspondant
III.
Organiser les relations financières, gérer les adaptations de prix en
lien avec les évolutions de projet
IV.
Définir les livrables et les moyens
 Recette
V.
Identifier les garanties à obtenir

Quid des vices cachés
Page 1
CAS PRATIQUE :
 Cas pratique visant à la mise en œuvre des garanties de services
VI.
Gérer la propriété intellectuelle des résultats
A. Droit d’auteur sur les développements logiciels
B. Brevetabilité des algorithmes ?
CAS PRATIQUE :
 Cas pratique visant à la mise en œuvre des garanties de propriété
intellectuelle
VII.
Gérer les conséquences des inexécutions
A. Rupture du contrat pour inexécution (modalités)
B. Responsabilité du prestataire / Force Majeure / Obligation de ne
pas faire
CAS PRATIQUES :
 Revue des points essentiels du processus de recette.
 QCM permettant d’appréhender les notions et les enjeux associés aux
clauses de responsabilité
 A partir d’un cas pratique, identifier les enjeux associés à l’obligation de
sauvegarde des données.
C. Accès aux codes sources
D. Remplacement du prestataire défaillant / Préjudice
E. Rédaction des avenants
F. Contentieux et modes alternatifs de règlement des différends
CHAPITRE 2 : DONNÉES NUMÉRIQUES
JOUR 2 et 3 – RÈGLES SPÉCIFIQUES AUX DONNÉES PERSONNELLES (I)
I.
Protection des données à caractère personnel par la loi Informatique et
Libertés
A. Application de la loi Informatique et Libertés
1. Définitions : notions de traitement, de fichier, de données à caractère personnel,
de responsable de traitement et de destinataire
Page 2
2. Champ d’application matériel
a) règles générales concernant les données dépourvues de caractère sensible
b) régime particulier des données sensibles
c) encadrement des traitement des données de santé
 formalités préalables selon l’objet : recherche dans le domaine de la
santé, ou analyse des pratiques/activités de soins et de prévention
 contenu du dossier (selon l’objet)
 méthodologies de référence pour les traitements de recherche
médicale
 droits des personnes (information et dérogation en cas de recherche
médicale, consentement, obligations du responsable)
 mise en œuvre du traitement ayant pour objet l’analyse ou
l’évaluation des pratiques de soins et de prévention
 garantie du responsable d’un traitement ayant pour objet l’analyse ou
l’évaluation des pratiques de soins et de prévention
 conditions de sécurité pour garantir la confidentialité
3. Champ d’application territorial
4. La Cnil
a) Statut et composition
b) Organisation
 de la commission plénière
 de la commission restreinte
 des services
c) Différentes missions de la Cnil
CAS PRATIQUE :
 Donner les principales caractéristiques :
 d’une donnée à caractère personnel,
 d’un traitement de données à caractère personnel,
 d’un responsable de traitement de données à caractère personnel.
B. Conditions de licéité d’un traitement de données à caractère personnel
1. Principes de légitimité et finalité des traitements (proportionnalité, pertinence et
adéquation des données à la finalité poursuivie)
 Spécificité du Big Data
2. Principe de conservation limitée des données
Page 3
3. Respect des droits des personnes dont les données à caractère personnel sont
collectées
a) le consentement (notion, nécessité et exceptions)
 exemple des cookies
b) le droit à l’information (avec obligations qui en résultent pour le
responsable)
c) les droits d’accès, de rectification, suppression et d’opposition (avec
modalités et obligations qui en résultent)
4. Mise en place de mesures de sécurité (physique et logique) et de confidentialité
des données à caractère personnel
 Cas particulier de la sous-traitance, notamment dans le Cloud Computing
5. Déclarations et autres formalités préalables
a) formalités à accomplir
b) manière dont la Cnil les instruit
C. L’encadrement des transferts de données hors de l’Union européenne
1. Principes
2. Moyens destinés à encadrer le transfert
a) Contrats-types
b) Binding Corporate Rules
3. Formalités préalables
4. Obligations du responsable (information)
5. Spécificité du Cloud Computing (localisation des serveurs)
CAS PRATIQUES :
 Cas pratique sur l’application de la loi Informatique et Libertés dans l’hypothèse
d’une société américaine avec des serveurs localisés en Italie et des internautes
français concernés par le traitement : détermination de la loi applicable
 QCM sur les obligations d’un sous-traitant au sens de l’article 35 de la loi
Informatique et Libertés
 Peut-on transférer des données personnelles hors de l’Union européenne ? Si
oui, comment organiser un tel transfert ?
D. Pouvoir de contrôle a posteriori de la CNIL
Page 4
1.
Différentes formes de contrôle a posteriori
2.
Formalisme associé à une procédure de contrôle
3.
Modalités pratiques d’exercice d’une procédure de contrôle
4.
Droits et obligations du responsable de traitement et des représentants de
la CNIL
5.
Suites consécutives à un contrôle
E. Sanctions découlant de la loi Informatique et Libertés
1. Sanctions administratives
a) différentes procédures de sanction pouvant être mises en œuvre par la
CNIL
b) fonctionnement de la commission réunie en formation restreinte et
déroulement d’une séance
c) formalisme associé, droits et obligations du responsable mis en cause et
voies de recours
d) conditions de publication et de publicité des sanctions
2. Sanctions pénales
a) délit d’entrave à l’action de la CNIL
b) sanctions pénales liées :
 aux atteintes aux droits d’accès, de rectification et d’opposition de la
personne
 au non respect de la loi informatique et libertés,
 au non respect des exigences relatives :
- aux formalités préalables,
- à la sécurité des données,
- à la durée de conservation des données,
- à la finalité des traitements, et
- au traitement des données sensibles
3. Sanctions civiles (nullité pour illicéité d’objet et d’autres exemples comme
les sanctions en droit du travail invalidées)
II.
Mise en œuvre des conditions de conformité
A. Mise en place d’un CIL
Page 5
1. Désignation (modalités, procédure) et statut
2. Conditions dans lesquelles la liste des traitement doit être tenue par le
correspondant
3. Traitement des réclamations adressées au responsable de traitement
4. Bilan annuel d’activité
5. Alerte du responsable sur les manquements constatés
6. Relations entre la CNIL et le correspondant
7. Fin de mission (conditions, procédure)
B. Audits de conformité et analyses d’impact
CAS PRATIQUES :
 Expliquer l’intérêt d’instaurer un CIL dans une entreprise de moins de 50
salariés
 Caractériser l’utilité du principe de finalité. Que pouvez-vous en dire en
lien avec les traitements « Big Data » ?
III.
Nouveaux enjeux pour la protection des données à caractère personnel
A. Projet de règlement européen
1.
Système de guichet unique
2.
Principe d’accountability : vers le remplacement des formalités de
déclarations préalables par une responsabilisation du responsable de traitement
3.
Intégration du concept de Privacy by Design
4.
Délégués à la protection des données (DPD) : les nouveaux CIL
5.
Augmentation des amendes et renforcement du pouvoir de contrôle
6.
Nouvelle catégorie des données pseudonymes
7.
Solidarité des responsables ou sous-traitants du traitement
8.
Notifications des violations de données à caractère personnel
9.
Droit à l’oubli ou simple « droit à l’effacement »…
B. Gouvernance et coopération des autorités de régulation
Page 6
Conclusion : rôle des citoyens dans la protection des données à caractère personnel
CHAPITRE 2 : DONNÉES NUMÉRIQUES
JOUR 4 – DEMATERIALISATION ET SECURITE
PARTIE 1 : DÉMATÉRIALISATION
I.
Dématérialisation et actes juridiques
A. Écrit électronique
1. Principe d’équivalence
2. Conditions d’admission
3. Contestation de l’écrit électronique
a) En cas de signature électronique simple : au signataire d’en prouver la
fiabilité
b) En cas de signature électronique sécurisée : à la partie qui conteste cette
signature d’en démontrer la falsification
4. Conventions de preuve
5. Illustrations jurisprudentielles
B. Signature électronique
1. Fonctions de la signature électronique
a) Manifestation du consentement
b) Garanties d’authentification et d’intégrité
2. Distinction entre les signatures (décret de 2001) :
 électronique sécurisée
 électronique simple
 scannée
3. Impacts sur la valeur probante
a) Exigences relatives à un dispositif sécurisé de signature électronique
Page 7
b) Renversement de la charge de la preuve
4. Prestataires de service de certification électronique
a) Cryptologie
b) Liste des prestataires
CAS PRATIQUE :
 QCM sur les caractéristiques d’un dispositif sécurisé de création de signature
électronique
 QCM sur les notions d’écrit et de signature électroniques
C. Archivage et notion de support durable
1.
Principes généraux
a) Définition
 Norme ISO 15489
 Norme AFNOR NFZ – 42-013, Mars 2009
 L.211-1 du code du patrimoine
b) Illustrations
 Données à caractère personnel (recommandations de la CNIL aux
entreprises)
 Données de connexion (obligation de conservation)
 Archives publiques (libre communicabilité sauf secret imposé par la
loi)
2.
Encadrement des durées de conservation
a) Durée générale de prescription légale (loi du 17 juin 2008)
b) Règles spécifiques
 Contrats électroniques B2C
 Documents comptables
 Pièces sur lesquelles peuvent s’exercer le droit de communication
de l’Administration
 Bulletins de paie
3.
Encadrement des supports de conservation
a) Matière commerciale
b) Matière civile
c) Matière fiscale
Page 8
d) Généralisation de la dématérialisation
4.
Focus sur des thèmes récents en matière d’archivage
a) Archivage en matière de facturation et de TVA
b) Extension du périmètre de l’archivage fiscal liée à la dématérialisation
des données et aux nouvelles dispositions en matière de contrôle des
comptabilités
c) Frais de personnel
d) Notion de copie fidèle et durable (facture, double original)
e) Archivage interne ou externe, nécessité d’un tiers archiveur ?
II.
Dématérialisation et faits juridiques
A. Courriels électroniques
1. Non application des articles 1316-1 et -4 du code civil
2. Liberté de la preuve et appréciation souveraine
B. Valeur probatoire des éléments saisis sur support informatique
1. Diversité des acteurs (DGCCRF, Cnil, administration fiscale)
2. Respect des principes régissant l’administration de la preuve
a) Loyauté
b) Fiabilité
CAS PRATIQUES :
 A partir d’un cas pratique, il s’agit d’analyser la valeur probante
de courriers électroniques
 A partir d’un cas pratique, il s’agit d’analyser le respect des
principes de loyauté et de fiabilité de la preuve
PARTIE 2 : SÉCURITÉ DES SYSTÈMES D’INFORMATION
I.
Risques tenant aux nouveaux usages des outils de communication :
cyber-criminalité
A. Data breach
Page 9
1. Incidents types
2. Réglementation européenne
3. Réglementation française
a) Notion de STAD
b) Délit d’accès illicite à un STAD
c) Délit de maintien illicite dans un STAD
4. Illustrations jurisprudentielles
a) Risques internes
b) Risques externes
B. Débat sur le vol d’information
C. Phishing
D. Hacking
CAS PRATIQUES :
 Déterminer les fondements juridiques permettant d’introduire une action
en cas d’intrusion dans une base de données
 Quelles actions de sécurité à mettre en place en amont pour prévenir le
vol de fichiers électroniques de l’entreprise dans laquelle la direction
générale vous a confié une mission à ce sujet ?
II. Recommandations pour la sécurité des systèmes d’information
A. Politique de sécurité (mots de passe, identifiants, sécurité du réseau,
accès physique contrôlé…)
B. Identification de l’accès aux données
C. Confidentialité relative aux prestataires
D. Politique de prévention
1. Anticipation
2. Sensibilisation
E. Assurance des systèmes d’information
Page 10
F. Normes de sécurité propres au secteur public
III.
Réaction à adopter
A. Nécessité d’identifier l’auteur de l’infraction
1. OCLCTIC
2. BEFTI
3. Whois
4. Requête sur la base des articles 6 de la LCEN et 145 du CPC
B. Procédure
1. Plainte auprès du procureur général
2. Plainte avec constitution de partie civile
3. Citation directe
FORMATION CERTIFIANTE : MISSIONS ET ENJEUX JURIDIQUES DES
TECHNOLOGIES DE L’INFORMATION
CHAPITRE 3 : DONNÉES NUMÉRIQUES ET INTERNET
JOUR 5 - INTERNET, VECTEUR DE COMMUNICATION
PARTIE 1 : INTERNET, VECTEUR DE COMMUNICATION EXTERNE
I.
Contenus illicites : principes de responsabilité
Responsabilité du fait du contenu fonction de l’activité en cause
A. Activité de transmission
1. Opérateurs de communications électroniques : définition et statut
2. Irresponsabilité et neutralité technique
3. Illustrations jurisprudentielles
Page 11
B. Activités d’hébergement et de fourniture d’accès
1. Dispositions communes aux hébergeurs et aux fournisseurs d’accès
a) Définitions
b) Dispositif de signalement : obligation de lutter contre certaines
infractions (lutte contre l’apologie des crimes contre l’humanité, incitation à
la haine raciale, apologie des crimes et délits, et diffusion d’images
pédophiles)
c) Responsabilité allégée de la LCEN
 notification (connaissance du contenu)
 prompt retrait
 absence d’obligation générale de surveillance (notice and take down /
notice and stay down)
d) Prévenir ou faire cesser un dommage
2. Dispositions spécifiques
a) Les hébergeurs
 obligations légales
 illustrations jurisprudentielles
b) Les fournisseurs d’accès
 obligations légales
 illustrations jurisprudentielles
C. Fourniture de contenus
1. Définition et statut
2. Responsabilité en cascade pour la presse électronique
3. Responsabilité de droit commun (fonctions d’intermédiation technique)
CAS PRATIQUE :
 A partir d’un QCM, identifier les attributions et responsabilités des différents
acteurs de la communication sur Internet
Page 12
II.
Contenus illicites : application in concreto des principes de
responsabilité
A. Moteurs de recherche
1. Activité de suggestion (Google Suggest)
2. Fourniture de liens commerciaux (Google Adwords)
B. Plateformes de commerce en ligne
C. Liens hypertextes
1. Framing
2. Liens profonds
3. Liens simples
D. Forums de discussion
E. Blogs
F. Réseaux sociaux
III.
Lutte contre les contenus illicites
A. Conservation des données de connexion et données d’identification des
auteurs de contenus litigieux
1. Régime applicable aux opérateurs de communications électroniques
2. Régime applicable aux FAI et hébergeurs
B. Retrait du contenu illicite
C. Blocage de sites internet
CAS PRATIQUES :
 A partir d’un cas pratique, préciser les conditions de contestation en présence
d’un lien commercial dirigeant vers une société concurrente
 A partir d’un QCM, déterminer les demandes à formuler devant un tribunal pour
supprimer un contenu illicite sur Internet.
PARTIE 2 : INTERNET, VECTEUR DE COMMUNICATION INTERNE
Page 13

I.
Interférences entre les vies professionnelle et personnelle du salarié
Contrôle de l’employeur sur l’usage de l’outil de travail : principes
A. Fondement du pouvoir de contrôle
1. Pouvoir disciplinaire
2. Usage sur les temps et lieu de travail
B. Conditions d’exercice du pouvoir de contrôle
1. Présomption de l’usage à caractère professionnel
2. Limites
a) contrôle loyal, transparent et proportionné au but poursuivi
b) respect des droits et libertés du salarié
 droit au respect de la vie privée
 secret des correspondances
3. Preuve nécessaire de la faute du salarié
C. Modalités pratiques
1. Les différents types de contrôle
2. Mise en œuvre du droit de contrôle
3. Conservation des informations collectées dans le cadre des contrôles
techniques
4. De l’administrateur réseau au correspondant à la protection des données
5. Saisies de disque dur par huissier
CAS PRATIQUES :
 A partir d’un cas pratique, déterminer les conditions dans lesquelles
l’accès à la messagerie personnelle sur le lieu et pendant le temps de
travail est légitime
Page 14

A partir d’un cas pratique, préciser la force probante de propos tenus
dans un groupe Facebook relatés à l’employeur
Préconisations pratiques et rédaction d’une charte
II.
A. Objet
1. Par typologies de supports
a) téléphone au travail
b) utilisation fautive d’accès à Internet
c) Intranet
d) utilisation fautive d’e-mails
e) matériels portables et travail hors du lieu de travail
2. Par typologies d’atteintes aux droits de propriété intellectuelle et incorporelle
a) droit de propriété incorporelle de l’employeur
b) protection de l’image de marque de l’employeur
c) droit de propriété incorporelle des tiers
3. Respect du savoir-vivre et droit à la déconnexion
4. Utilisation par les représentants du personnel
B. Violation
C. Publicité
III.
Utilisation fautive d’outils de communication en dehors du temps et
du lieu de travail
A. L’abus dans la liberté d’expression du salarié sur les réseaux sociaux
B. La preuve du caractère abusif des propos tenus par le salarié
Page 15
FORMATION CERTIFIANTE : MISSIONS ET ENJEUX JURIDIQUES TECHNOLOGIES DE L’INFORMATION
CHAPITRE 3 : DONNÉES NUMÉRIQUES ET INTERNET
JOUR 6 - INTERNET, RÉSEAU DE COMMERCIALISATION
I.
Les acteurs
A. Fournisseurs et distributeurs
1. Vente en ligne et distributeurs intégrés
La revente en ligne étudiée au regard du Règlement 330 du 20.04.2010, de ses lignes
directrices, de la pratique décisionnelle des autorités de concurrence et de la
jurisprudence
a) Possibilité pour le fournisseur :
 d’interdire à ses distributeurs la revente en ligne ?
 de se réserver la revente en ligne ?
b) Revente en ligne : distinction entre distribution sélective et distribution
exclusive
c) Modalités de contrôle par le fournisseur du site internet ouvert par le
distributeur
d) Question de la différenciation de prix selon que les biens ou services sont
vendus en magasins ou en ligne
2. Vente en ligne et distributeurs hors réseau
a) Distribution parallèle :
 le fournisseur peut-il agir contre les pure players ?
 les pure players peuvent-ils distribuer les produits d’un fournisseur
sans passer par son réseau ?
b) Droit de la concurrence déloyale et du parasitisme
c) Distinction selon les formes de distribution
CAS PRATIQUE :

A partir d’un cas pratique, identifier les principales actions visant à protéger un
réseau de distribution en présence de pure players.
B. Prestataires techniques
Page 16
1. Critères de distinction
2. Régime de responsabilités
C. Éditeurs de service
1. Critères de distinction
2. Régime de responsabilités en application
a) de la LCEN
b) du droit commun
II.
Le contrat en ligne et l’impact de la loi Hamon
A. Obligations d’information (renforcement)
B. Conclusion du contrat
C. Opposabilité des conditions générales
D. Droit de rétractation (régime modifié)
E. Clauses abusives (lutte renforcée)
F. Paiement en ligne
G. Responsabilité de plein droit
CAS PRATIQUE :
 A partir d’un QCM, identifier et préciser
précontractuelles applicables au commerce en ligne
III.
les
obligations
Publicité et promotion
A. Prospection
1. Opt-in
2. Opt-out
B. Publicité en ligne
C. Référencement
CAS PRATIQUE :
 QCM sur les modes licites de publicité en ligne
Page 17
D. Nouveaux usages liés aux réseaux sociaux
FORMATION CERTIFIANTE : MISSIONS ET ENJEUX JURIDIQUES DES TECHNOLOGIES DE L’INFORMATION
CHAPITRE 4 – JOUR 7 : COMMENT FAVORISER L’INNOVATION ET
PROTÉGER SES DONNÉES NUMÉRIQUES
I.
Acteurs de l’innovation et création de l’entreprise innovante
1. Choix de la structure juridique adaptée
2. Protection des dirigeants
3. Aides fiscales et sociales
II.
Objets de l’innovation
A. Marques
1. Risque de confusion
2. Caractère distinctif
3. Marque et liberté d’expression
4. Épuisement des droits
5. Utilisation de la marque dans une publicité comparative
6. Autres signes distinctifs
B. Brevets
1. Activité inventive
2. Protection des algorithmes
C. Droit d’auteur
1. Intérêt public et atteinte au droit d’auteur
2. Droit moral et liberté de création
Page 18
3. Originalité et protection du logiciel
4. Savoir-faire non protégé en tant qu’œuvre de l’esprit
5. Caractère f fonctionnel d’une forme et protection au titre du droit
d’auteur
6. Théorie de l’arrière-plan et communication au public d’une œuvre
D. Bases de données
1. Notion d’investissement
2. Notion d’extraction non autorisée
E. Noms de domaines
F. Savoir-faire / protection par le secret
CAS PRATIQUE :
 A partir d’un QCM, déterminer quel fondement de protection est
applicable pour les :

algorithmes,

interfaces graphiques,

codes sources,

codes objets,

organigrammes.
III.
Protection de l’innovation
A. Dépôt aux fins d’enregistrement (qualité pour inscrire un acte)
B. Dépôt à des fins probatoires
CAS PRATIQUE :
 Quelles sont les formalités à effectuer auprès de l’INPI en matière d’acquisition
et de cession de droits ?
IV.
Valorisation de l’innovation
A. Licences
1. Licences exclusives
Page 19
2. Licences non exclusives
B. Cessions de droits
1. Cessions réalisées en interne
a) Règles applicables
b) Précautions à prendre vis-à-vis des salariés inventeurs
c) Rémunération complémentaire
d) Précautions à prendre vis-à-vis des salariés auteurs
2. Cessions réalisées en externe
1. Principes généraux
2. Clause de cession de droits
3. Clause de garantie : garantie d’éviction
C. Transferts de technologies
D. Valorisation des actifs incorporels
E. Régime fiscal
V.
Défense de l’innovation
A. Contrefaçon / concurrence déloyale
B. Choix de l’action (civile/pénale)
C. Saisie-contrefaçon
D. Mesures provisoires
E. Retenues en douane
F. Action au fond
G. Evaluation du préjudice
CAS PRATIQUE :
Page 20

VI.
Quelles sont les différences entre une action en contrefaçon et une action
en concurrence déloyale ?
Préciser à ce titre :
 les conditions de recevabilité,
 les sanctions pouvant être prononcées par les juges
Financement de l’innovation
A. Favoriser le capital
B. Recourir aux marchés financiers
Rechercher des aides et des subventions
Page 21
Téléchargement