Le développement du cross-canal induit de nouvelles prises de risques, tant au niveau stratégique, juridique que technique. L'objet de cette présentation est d'en proposer une cartographie.
2. LE CABINET HAAS SOCIÉTÉ D’AVOCATS
« C E LUI QUI NE DÉ FE ND PA S SE S DR OITS
DA NS L’É C ONOM IE NUM É R IQUE M É R ITE DE
LE S PE R DR E ».
3.
4. • 1er Cabinet Conseil spécialisé dans le e-Commerce
• Plus de 150 clients en France, Espagne, Belgique, Pays-Bas, Royaume-Uni
Nous aidons les entreprises à savoir où elles vont (la Stratégie e-Commerce)
puis comment y arriver (les opérations, l’organisation, la technologie, les fusions-acquisitions).
Nous sommes les architectes de leur projet e-Commerce.
12. 12
La cartographie des risques juridiques
6
1
4
3
2
5
Quasiment
certain
Rare
Mineur Impact Très
significatif
Probabilité
Risques identifiés :
1. Réversibilité des données
2. Défaut de
sécurité/confidentialité lié à
un sous-traitant
3. Non-respect des
dispositions de la Loi HAMON
4. Traçabilité des données
5. Absence de cessions des
DPI sur les créations
informatiques
6. Localisation des données
14. 14
Les indicateurs de rentabilité dans un contexte multi/omni-canal :
- Attribution des budgets marketing
- Analyse des points de contact du client
- Rentabilité ramenée au client
28. Les grandes notions
(Article 2 de la loi Informatiques et Libertés du 6 janvier 1978)
28
NOTIONS DÉFINITIONS
Données à
caractère
personnel
Toute information relative à une personne physique identifiée ou qui peut être
identifiée, directement ou indirectement, par référence à un numéro
d'identification ou à un ou plusieurs éléments qui lui sont propres.
Traitement de
données à
caractère
personnel
Toute opération ou tout ensemble d'opérations portant sur de telles données,
quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement,
l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, diffusion ou
toute autre forme de mise à disposition, le rapprochement ou l'interconnexion,
ainsi que le verrouillage, l'effacement ou la destruction.
Fichier de
données à
caractère
personnel
Tout ensemble structuré et stable de données à caractère personnel accessibles
selon des critères déterminés,
31. Les grands principes à respecter
(Article 6 de la loi Informatiques et Libertés du 6 janvier 1978)
31
PRINCIPES CONDITIONS DE LICEITE DU TRAITEMENT
Finalité
Chaque traitement de données à caractère personnel doit avoir une finalité
déterminée, explicite et légitime. Une fois que les données sont collectées pour
une finalité, il n’est, par principe, plus possible de les utiliser pour la réalisation
d’un traitement ayant une finalité différente.
Loyauté et
licéité
Les données doivent être collectées de manière loyale et licite.
Proportionnal
ité
les données collectées doivent être adéquates, pertinentes et non excessives au
regard de la finalité du traitement.
Exactitude Les données collectées doivent toujours être complètes, exactes et à jour.
Durée de
conservation
les données sont conservées le temps nécessaire au regard de la finalité du
traitement. Toute conservation au-delà de cette durée est illicite, sauf à des fins
historiques, statistiques ou scientifiques.
32. Le respect des droits des personnes
32
Droit
d’information
Droit d’opposition
Droit d’accès
Droit de
communication
Droit de
rectification
42. 42
Délibération n°2014-298 du 7 aout 2014 condamnant la Société
ORANGE à un avertissement public
« La société a l'obligation d'assurer la sécurité et la confidentialité
des données à caractère personnel de ses clients et prospects et elle
ne saurait minimiser sa responsabilité par le recours à plusieurs
prestataires »
59. MERCI POUR VOTRE ATTENTION
Nous avons des réponses, avez-vous des questions?
59
60. Pour nous contacter :
Jean-Paul CRENN
05 62 21 10 31
jpcrenn@webcolibri.com
60
Notas do Editor
Le terme Multicanal caractérise l’expérience d’un client qui utilise les différents supports mis à la disposition par l’entreprise pour effectuer ses achats. Les supports sont le magasin, le catalogue, Internet, le mobile, la tablette, la télévision, le centre d’appels, etc…
Le multicanal n’est pas nouveau, puisqu’avant l’avènement d’Internet et du mobile, il était possible d’acheter sur différents canaux : magasins, centres d’appels, catalogues,… Ce qui est nouveau, c’est la multiplication des canaux disponibles : ordinateur, smartphone, tablette, bornes interactives, télévision connectée. Le nombre de canaux va continuer à augmenter avec les objets connectés comme la voiture, le réfrigérateur, etc…
Le terme de Cross canal caractérise l’expérience d’un client qui fait une utilisation combinée de plusieurs canaux pour un même achat. Par exemple, le client imprime une configuration d’un produit sur le site Internet et va en magasin l’acheter ou bien le client fait son choix sur le catalogue et va acheter le produit directement sur le site Internet ou encore le client effectue son achat sur sa télévision et va retirer son produit dans le magasin le plus proche.
Le terme d’Omni canal vise à décrire l’utilisation simultanée de deux canaux : le mobile dans un magasin ou la tablette sur le canapé devant la télévision. Le terme est également utilisé pour qualifier la nécessaire cohérence entre les différents canaux afin que les clients puissent interagir à travers les canaux de manière fluide et pratique.
Cela implique que les configurations, les choix effectués sur un canal soient mémorisés et pris en compte sur chaque canal. Imaginez que vous soyez obligé de recréer un compte en passant d’un ordinateur à une tablette, ou à la caisse d’un magasin.
Ces termes nouvellement apparus sont là également pour accompagner un discours venu des prestataires, largement relayé par les experts du marketing digital qui se résume à la sentence suivante : les commerçants qui ne pensent pas « multicanal » sont voués à disparaître. Il faut tout d’abord faire preuve de discernement dès l’instant où des jugements de cet ordre sont exprimés de manière aussi péremptoire et sans chiffres à l’appui. Et ce n’est pas le fait que tout le monde répète la même chose qui fera que cette chose gagne en vérité.
Chiffres tirés de l’Etude DigitasLBI d’avril 2014
Définition de « ROPO » ( Research Online Purchase Offline) : désigne le fait de rechercher des informations sur les produits en ligne pour ensuite les acheter en magasin,
92% des consommateurs français se renseignent sur internet avant d’acheter en magasin.
23% sur tablette;
32% sur mobile;
64% sur ordinateur portable.
Chiffres tirés de l’Etude DigitasLBI d’avril 2014
Le nouveau rôle du point de vente et comportements d’achats émergents.
27% des consommateurs français ayant utilisé des outils multimédia en magasin ont déclaré que cela avait influencé leur décision d’achat.
16% des consommateurs français quitteraient le magasin si après avoir consulté leur Smartphone, ils trouvaient que le produit était moins cher ailleurs.
75% des possesseurs de Smartphones français l’utilisent pour faciliter leur shopping en magasin.
Chiffres tirés de l’Etude DigitasLBI d’avril 2014
54% des français qui utilisent un Smartphone pour rechercher de l’information sur un produit le font depuis un lieu public ou en itinérance.
20% des possesseurs de Smartphones français ont acheté via leur Smartphone depuis ces 3 derniers mois.
37 % des français déclarent que l’usage du smartphone a changé leur façon de faire leurs achats en magasin.
Le risque doit être évalué en fonction de sa probabilité et son l’importance de son impact.
La loi n° 2014-344 du 17 mars 2014 relative à la consommation (dite Loi HAMON) a profondément modifié le cadre juridique applicable à l’e-commerce.
Outre les informations que tout professionnel doit fournir au consommateur à un stade précontractuel (article L111-1 du code de la consommation vise notamment les caractéristiques essentielles du bien ou du service; Le prix du bien ou du service ou encore la date ou le délai auquel le professionnel s'engage à livrer le bien ou à exécuter le service), le cybercommerçant doit respecter une obligation d’information spécifique,
En effet, l’article L121-17 du même code impose d’informer le consommateur sur :
L’existence du droit de rétractation, les conditions, le délai et les modalités d'exercice de ce droit ainsi que le formulaire type de rétractation;
Le cas échéant, le fait que le consommateur ne bénéficie pas du de rétractation ;
Les informations relatives aux coordonnées du professionnel, le cas échéant aux coûts de l'utilisation de la technique de communication à distance, à l'existence de codes de bonne conduite, le cas échéant aux cautions et garanties, aux modalités de résiliation, aux modes de règlement des litiges et aux autres conditions contractuelles.
L’article L121-19 du code de la consommation prévoit :
Lorsque le contrat est conclu à distance, le professionnel fournit au consommateur, de manière lisible et compréhensible, les informations prévues au I de l'article L. 121-17 ou les met à sa disposition par tout moyen adapté à la technique de communication à distance utilisée.
Par ailleurs, l’article L121-19-1 du code de la consommation qui vise plus spécifiquement les contrats conclus via Smartphone:
Lorsque la technique de communication à distance utilisée impose des limites d'espace ou de temps pour la présentation des informations, le professionnel fournit au consommateur, avant la conclusion du contrat et dans les conditions mentionnées au I de l'article L. 121-17, au moins les informations relatives aux caractéristiques essentielles des biens ou des services, à leur prix, à son identité, à la durée du contrat et au droit de rétractation. Le professionnel transmet au consommateur les autres informations mentionnées au I par tout autre moyen adapté à la technique de communication à distance utilisée.
Ainsi, le cybercommerçant devra prendre en compte et modifier la présentation de ces information selon le support de communication utilisé!
L’objectif de ce renforcement de l’obligation d’information: est clair: s’assurer que le consommateur achète en toute connaissance de cause.
Afin de limiter les hypothèses de mécontentement de ce contractant réputé « partie faible » au contrat, la loi HAMON est venue renforcer un droit exorbitant du droit commun : le droit de rétractation.
En cas de vente à distance avec un professionnel, le consommateur dispose d'un délai de 14 jours pour se rétracter.
En cas de rétractation, le consommateur renvoie le bien et le professionnel le rembourse au plus tard dans les 14 jours qui suivent la date à laquelle il a été informé de sa décision de rétractation.
Le délai de 14 jours court à compter du jour : 1° De la conclusion du contrat, pour les contrats de prestation de services ; 2° De la réception du bien par le consommateur ou un tiers, autre que le transporteur, désigné par lui, pour les contrats de vente de biens et les contrats de prestation de services incluant la livraison de biens.
ATTENTIONDans le cas d'une commande portant sur plusieurs biens livrés séparément ou dans le cas d'une commande d'un bien composé de lots ou de pièces multiples dont la livraison est échelonnée sur une période définie, le délai court à compter de la réception du dernier bien ou lot ou de la dernière pièce. Pour les contrats prévoyant la livraison régulière de biens pendant une période définie, le délai court à compter de la réception du premier bien.
Ce droit ne s’applique pas notamment aux contrats de fourniture :
de biens ou de services dont le prix dépend des taux du marché financier,
de biens confectionnés à votre demande ou nettement personnalisés,
de biens qui peuvent se détériorer ou se périmer rapidement,
de biens que vous avez ouverts et qui ne peuvent pas être renvoyés pour des raisons d'hygiène ou de protection de la santé,
de biens qui par leur nature sont indissociables d'autres articles,
de cassettes vidéo, CD, DVD ou de logiciels informatiques si vous les avez ouverts ,etc.
Le droit de rétractation n'existe pas non plus pour les contrats :
conclus lors d'une enchère publique,
de prestations de service d'hébergement, de transport de biens, de location de voitures, de restauration ou d'activités de loisirs fournies à une date ou selon une périodicité déterminée (billet de train, de spectacle...),etc.
ATTENTION : le cybermarchand doit informer le consommateur de l’existence, des modalités d’exercice voire des exceptions au droit de rétractation.
Dans le cas contraire, l’article L121-21-1 du code de la consommation prévoit que le délai de rétractation est prolongé de douze mois à compter de l'expiration du délai de rétractation initial.Toutefois, lorsque la fourniture de ces informations intervient pendant cette prolongation, le délai de rétractation expire au terme d'une période de quatorze jours à compter du jour où le consommateur a reçu ces informations.
L’article L121-21-2 du code de la consommation impose au consommateur d’informer le professionnel de sa décision de rétractation en lui adressant, avant l'expiration du délai, le formulaire de rétractation ou toute autre déclaration, dénuée d'ambiguïté, exprimant sa volonté de se rétracter.
EN PRATIQUELe professionnel peut également permettre au consommateur de remplir et de transmettre en ligne, sur son site internet, le formulaire ou la déclaration prévus au premier alinéa du présent article. Dans cette hypothèse, le professionnel communique, sans délai, au consommateur un accusé de réception de la rétractation sur un support durable. IMPORTANT
La charge de la preuve de l'exercice du droit de rétractation dans les conditions prévues au présent article pèse sur le consommateur.
L’article L121-21-3 du code de la consommation prévoit que le consommateur renvoie ou restitue les biens au professionnel ou à une personne désignée par ce dernier, sans retard excessif et, au plus tard, dans les quatorze jours suivant la communication de sa décision de se rétracter,Le consommateur ne supporte que les coûts directs de renvoi des biens, sauf si le professionnel accepte de les prendre à sa charge ou s'il a omis d'informer le consommateur que ces coûts sont à sa charge.
Néanmoins, lorsque les biens sont livrés au domicile du consommateur au moment de la conclusion du contrat, le professionnel récupère les biens à ses frais s'ils ne peuvent pas être renvoyés normalement par voie postale en raison de leur nature. La responsabilité du consommateur ne peut être engagée qu'en cas de dépréciation des biens résultant de manipulations autres que celles nécessaires pour établir la nature, les caractéristiques et le bon fonctionnement de ces biens, sous réserve que le professionnel ait informé le consommateur de son droit de rétractation.
Selon l’article L121-21-4 du code de la consommation lorsque le droit de rétractation est exercé, le professionnel est tenu de rembourser le consommateur de la totalité des sommes versées, y compris les frais de livraison, sans retard injustifié et au plus tard dans les quatorze jours à compter de la date à laquelle il est informé de la décision du consommateur de se rétracter. IMPORTANT – EN PRATIQUE
Pour les contrats de vente de biens, à moins qu'il ne propose de récupérer lui-même les biens, le professionnel peut différer le remboursement jusqu'à récupération des biens ou jusqu'à ce que le consommateur ait fourni une preuve de l'expédition de ces biens, la date retenue étant celle du premier de ces faits. Au-delà, les sommes dues sont de plein droit majorées :
Le taux d'intérêt légal si le retard est inférieur à 10 jours
5 % si le retard est compris entre dix et vingt jours
10 % si le retard est compris entre vingt et trente jours
20 % si le retard est compris entre trente et soixante jours
50 % entre soixante et quatre-vingt-dix jours
+ 5 % par nouveau mois de retard jusqu'au prix du produit, puis du taux d'intérêt légal. Le professionnel effectue ce remboursement en utilisant le même moyen de paiement que celui utilisé par le consommateur pour la transaction initiale, sauf accord exprès du consommateur pour qu'il utilise un autre moyen de paiement et dans la mesure où le remboursement n'occasionne pas de frais pour le consommateur. Le professionnel n'est pas tenu de rembourser les frais supplémentaires si le consommateur a expressément choisi un mode de livraison plus coûteux que le mode de livraison standard proposé par le professionnel.
Sur la livraison
Les livraisons doivent être effectuées sous 30 jours maximum. A défaut, le consommateur doit mettre en demeure le professionnel de livrer dans un délai raisonnable et en cas de non livraison dans ce délai, il peut résoudre le contrat.
Transfert des risques
Le vendeur est responsable jusqu’à la livraison du bien au consommateur en matière de vente à distance. En ce qui concerne les litiges liés au transport du bien, le délai de 3 jours pour notifier les défauts constatés au transporteur continuera de s’appliquer.
Moyens de paiement
Obligation d’informer le consommateur sur les moyens de paiement. La surfacturation de certains moyens de paiement est interdite.
Hotlines
Les appels sur les hotlines des professionnels ne peuvent plus être surtaxés.
Sur les DCP :
En résumé, toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence…) sont des données à caractère personnelle. La donnée est à caractère personnelle que l’identification soit directe (ex. : son nom apparaît dans un fichier) ou indirecte (ex. : n° d’immatriculation, adresse e-mail, adresse IP, n° de téléphone, photographie...).
En conséquence, les données relatives aux personnes morales ne sont pas visées. De même, les données dites anonymes (qui ne permettent aucune identification de la personne) ne sont pas régies par ce texte.
Cour d’appel de Besançon, 31 janvier 2007
Les informations traitées et diffusées sur un site internet permettant d’identifier nommément une personne constituent un traitement de données à caractère personnel au sens de l’article 2 de la Convention Européenne pour la protection des personnes à l’égard des traitements automatisés des données à caractère personnel du 28 janvier 1981, à laquelle se conforme la loi Informatique et Libertés du 6 janvier 1978 modifiée.
Sur les TDCP :
Toute opération sur des données à caractère personnel est concernée.
Selon l’article 11 de la loi Informatique et libertés, la Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante. La loi Informatique et libertés confère à la CNIL des missions et des pouvoirs.
11 MISSIONS:
Informe le public
Labellise
Apprécie l’évolution des technologies
Recense les fichiers
Reçoit les plaintes
Contrôle et Sanctionne
Informe le Procureur
Autorise
Publie les normes
Rend des avis
Recommande
6 POUVOIRS:
Pouvoir d’autorisation et d’avis
Pouvoir de saisine
Pouvoir d’investigation
Pouvoir de sanction
Pouvoir d’informer
Pouvoir normatif.
Dispense
Par délibération, la CNIL a prévu la dispense de formalité préalable pour 17 types de traitements, strictement définis, tels que la gestion du fichier d’adhérents par les associations ou la gestion des fichiers de fournisseurs comportant des personnes physiques
Déclaration normale
Identification de l’ensemble des traitements mis en œuvre
Définition de leur finalité, de la durée de conservation des données, des mesures de sécurité et de confidentialité, des personnes ayant accès aux traitements…
Déclaration simplifiée
Ex. : Norme simplifiée n° 48 concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects
Application stricte des dispositions des normes simplifiées
Autorisation préalable
Traitements de données sensibles comme:
Les données biométriques, les données sociales…
L’interconnexion de fichiers de finalités différentes
Certains transferts hors UE
Autorisation unique
Les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation.
Ces formalités doivent être accomplies avant la mise en place du traitement, c’est-à-dire notamment avant toute collecte de données
SANCTION: 5 ans d’emprisonnement de 300.000 euros d’amende (art 226-16 du code pénal)
Les données traitées doivent respecter les grands principes suivants :
Finalité: par exemple, pour un traitement consistant à collecter des adresses électroniques dont la finalité déclarée est la diffusion d’une newsletter relative à l’escalade, la CNIL va autoriser l’envoi d’e-mails d’informations relatives à l’escalade mais prohiber la vente du fichier à des cybercommerçants pour une sollicitation de nature commerciale.
Sanction: 5 ans d’emprisonnement et 300.000 euros d’amende (art 226-21 du code pénal).
Loyauté et licéité: Par exemple, si mon fichier de contacts pour ma newsletter relative à l’escalade à été constitué grâce à un formulaire de collecte licite sur mon site, je peux exploiter ce fichier.
Sanction :5 ans d’emprisonnement et 300.000 euros d’amende (art 226-18 du code pénal)
Proportionnalité (données adéquates, pertinentes et non excessives): Par exemple, je peux collecter le nom de la personne et son adresse mail pour lui envoyer ma newsletter relative à l’escalade, mais je ne peux lui demander des précisions sur ses opinions religieuses.
Exactitude
Durée de conservation
Sanctions : 5 ans d’emprisonnement de 300.000 euros d’amende (art 226-20 du code pénal)
Le droit à l’information : Selon l’article 32 IEL, le responsable de traitement doit informer la personne concernée de:
Identité du responsable de traitement ou de son représentant
Finalité du traitement
Caractère obligatoire ou facultatif des réponses
Conséquences d’un défaut de réponse
Destinataires ou catégories de destinataires des données
Droits des personnes
Droit d’accès, droit de rectification, droit d’opposition
Transfert de données en dehors de l’Union européenne
Le droit d’opposition : selon l’article 38 IEL, toute personne peut s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.Elle peut, sans justification, s’opposer à toute utilisation de ses données à des fins de prospection commerciale. Elle peut, sans justification, s’opposer à la commercialisation des données la concernant.
Ex: Cass. Crim., 14 mars 2006, n°05-83.423 : « La Chambre criminelle rappelle qu’est déloyal fait de recueillir, à leur insu, des adresses électroniques personnelles de personnes physiques sur l'espace public d'internet, ce procédé faisant obstacle à leur droit d'opposition ».
Le droit d’accès, de communication et de rectification : selon les articles 39 et 40 IEL, tout personne a le droit d’accéder, de se faire communiquer et de rectifier les données la concernant.
Accès : Toute personne peut interroger le responsable d’un traitement pour savoir s’il détient des informations sur elle
Communication : Toute personne peut demander au responsable de traitement la communication des données la concernant
Rectification : Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des données la concernant lorsque des erreurs sont décelées ou si des données interdites sont traitées
Que dit la CNIL?
Fonctionnement des dispositifs de mesure de fréquentation des magasins
Dans un centre commercial, par exemple, des boîtiers captent les données émises par le téléphone portable (adresses MAC de la carte réseau par exemple) et calculent la position géographique des personnes. Ces systèmes permettent d'établir des statistiques de fréquentation, pour savoir combien de personnes ont fréquenté un centre commercial tel jour et à telle heure mais aussi avoir connaissance des trajets d'une même personne à l'intérieur du centre.
Quelles mesures pour garantir l’anonymat des personnes ?
Des mesures doivent être prises pour garantir l'anonymat des personnes, par exemple :
les données émises par le téléphone portable doivent être supprimées lorsque son porteur sort du magasin;
ou l'algorithme d'anonymisation utilisé doit assurer un fort taux de collision, c'est-à-dire qu'un identifiant en base doit correspondre à de nombreuses personnes. Le consentement préalable et éclairé des personnes est nécessaire pour pouvoir conserver les données non anonymisées plus longtemps. Ce consentement doit se manifester par une action positive (par exemple, accoler son téléphone sur un boitier spécifique).
Comment informer les personnes et quels sont leurs droits ?
Une information claire doit être affichée dans les lieux où sont mis en place ces dispositifs afin de garantir une réelle transparence vis-à-vis du public. Cette information doit, notamment, préciser la finalité du dispositif et l'identité de son responsable. Lorsque les données sont anonymisées, l'exercice du droit d'accès, de rectification et d'opposition ne peut pas s'appliquer. A défaut d'anonymisation, le consentement des personnes est nécessaire.
Quelles formalités auprès de la CNIL ?
Ces dispositifs doivent faire l'objet d'une déclaration auprès de la CNIL sauf s'ils entrent dans le champ d'application des dispositions précitées de l'article L. 581-9 du code de l'environnement, c'est-à-dire qu'ils ont pour finalité de mesurer l'audience d'un dispositif publicitaire, ou d'analyser la typologie ou le comportement des personnes passant à proximité d'un dispositif publicitaire. Dans ces cas, ils doivent faire l'objet d'une autorisation.
Cette partie sera consacrée aux éléments essentiels devant figurer dans un contrat portant sur le Cross-Canal à l’exception des problématique de sécurité, confidentialité, localisation et réversibilité qui feront l’objet d’une analyse dans la partie suivante.
Focus sur la cession des droits de propriété intellectuelle grevant l’application.
Obligation d’une cession formalisée et répondant aux conditions de l’article L131-3 du CPI:
« La transmission des droits de l'auteur est subordonnée à la condition que chacun des droits cédés fasse l'objet d'une mention distincte dans l'acte de cession et que le domaine d'exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et quant à la durée.
Lorsque des circonstances spéciales l'exigent, le contrat peut être valablement conclu par échange de télégrammes, à condition que le domaine d'exploitation des droits cédés soit délimité conformément aux termes du premier alinéa du présent article.
Les cessions portant sur les droits d'adaptation audiovisuelle doivent faire l'objet d'un contrat écrit sur un document distinct du contrat relatif à l'édition proprement dite de l'oeuvre imprimée.
Le bénéficiaire de la cession s'engage par ce contrat à rechercher une exploitation du droit cédé conformément aux usages de la profession et à verser à l'auteur, en cas d'adaptation, une rémunération proportionnelle aux recettes perçues ».
Selon l’article 34 de la loi Informatique et libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Selon l’article 34 de la loi Informatique et libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Selon l’article 34 de la loi Informatique et libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Selon l’article 34 de la loi Informatique et libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Selon l’article 34 de la loi Informatique et libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Le responsable de traitement doit veiller à ce que ses sous-traitants assurent les mêmes garanties de sécurité et de confidentialité.
Exemple d’ORANGE:
Une faille de sécurité chez un prestataire ayant réalisé des opérations de marketing pour l'opérateur Orange a causé une fuite de données personnelles. La CNIL a sanctionné l'opérateur.
Le 25 avril 2014, l'opérateur Orange a été obligé de notifier à la CNIL une violation des données à caractère personnel ayant impacté 1 340 000 clients. Le 7 août 2014, la CNIL a sanctionné l'opérateur d’un avertissement public qui entache gravement la réputation du groupe qui propose par ailleurs de nombreux services d'hébergement et de prestations informatiques.Mais ce n'est pas l'imprudence ou l'incompétence des équipes internes d'Orange qui est pointée par la CNIL. Sa responsabilité est liée au fait que la société était responsable des traitements et des données concernées. Que la faille ayant entraîné la fuite de données soit dû à une erreur d'un prestataire de marketing direct ne change rien. La CNIL observe en effet : « la société a l'obligation d'assurer la sécurité et la confidentialité des données à caractère personnel de ses clients et prospects et elle ne saurait minimiser sa responsabilité par le recours à plusieurs prestataires. »La CNIL insiste donc sur l'impossibilité pour une entreprise de se défausser de sa responsabilité sur ses prestataires. Orange se devait de vérifier elle-même, pas seulement par une clause contractuelle, que son sous-traitant opérait dans des conditions de sécurité satisfaisantes.La sanction est restée limitée d'une part parce que les données n'ont pas été jugées comme « sensibles », d'autre part parce que les corrections nécessaires ont été rapidement apportées une fois l'incident détecté
Sanctions : 5 ans d’emprisonnement de 300.000 euros d’amende (art 226-17 du code pénal).
Il faut renforcer la sécurité et la confidentialité des données traitées par un tiers en encadrant contractuellement cette opération!
« Le Prestataire s’engage à ne pas conserver les Données au-delà de la durée de conservation fixée par le Client au regard des finalités pour lesquelles elles ont été collectées, et en tout état de cause à ne pas les conserver après la fin du Contrat. »
Le modèle de clause suivant peut être utilisé lorsque le prestataire est sous-traitant. Selon la nature des données, la clause doit identifier le plus précisément possible la durée de conservation.
Cela étant, les finalités et corrélativement les durées de conservation peuvent varier d’une donner à l’autre. Peut-être serait-il judicieux de préciser dans une annexe les finalités et durées afférentes aux données.
« Au terme du Contrat ou en cas de rupture anticipée de ce dernier pour quelque cause que ce soit, le Prestataire et ses éventuels sous-contractants restitueront sans délai au Client une copie de l’intégralité des Données dans le même format que celui utilisé par le Client pour communiquer les Données au Prestataire ou à défaut, dans un format structuré et couramment utilisé.
Cette restitution sera constatée par procès-verbal daté et signé par les Parties.
Une fois la restitution effectuée, le Prestataire détruira les copies des Données détenues dans ses systèmes informatiques dans un délai raisonnable et devra en apporter la preuve au Client dans un délai raisonnable suivant la signature du procès-verbal de restitution. »
Le modèle de clause suivant peut être utilisé que le prestataire soit sous-traitant ou responsable conjoint du traitement. La restitution des données intervient généralement à la fin du contrat. Si la restitution peut être prévue dans la clause de réversibilité que nous verrons ultérieurement, le contrat peut aussi contenir une clause dédiée à cette problématique.
En effet, certains contrats contiennent des « surprises ». Par exemple certains ne prévoient aucun moyen de récupérer les données. Celles-ci étant rendues inaccessibles par le prestataire, le seul moyen d’y accéder à nouveau est de poursuivre ou renouveler le contrat. Ainsi la clause doit essentiellement contenir l’obligation, pour le prestataire et ses sous-traitants, de restitution des données, les modalités de restitution et le délai pour le faire.
« Dans le cadre de l’exécution du Contrat, le Prestataire agira uniquement sur les instructions du Client. A ce titre, le Prestataire s’engage à ne pas utiliser les Données pour son propre compte ou pour celui d’un tiers.
Conformément à l’article 34 de la loi Informatique et Libertés modifiée, le Prestataire s’engage à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment de les protéger contre toute destruction accidentelle ou illicite, perte accidentelle, altération, diffusion ou accès non autorisés, notamment lorsque le Traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite ou communication à des personnes non autorisées. »
Le modèle de clause suivant peut être utilisé lorsque le prestataire est sous-traitant.
La clause doit imposer une obligation, qui sera de moyen, au prestataire pour garantir la sécurité des données. Il est important de lister le plus exhaustivement les risques contre lesquels il doit faire en sorte de se prémunir.
Cette clause doit aussi prévoir que les données ne pourront pas être transférées à des personnes non autorisées.
Le contrat doit prévoir l’accès aux journaux de traçabilité des actions effectuées sur les données par les personnels du client et par ceux du prestataire. En outre, le contrat doit aussi prévoir un devoir d’information du client pour toute anomalie détectée par le prestataire.
« Le Prestataire tient à la disposition du Client les traces de connexion aux Données traitées par les personnels autorisés des Parties et, le cas échéant, des personnes concernées, et ce pendant une durée de [inscrire la durée de conservation des traces de connexion par le prestataire] mois. »
Ce type de clause est relativement simple à écrire, l’obligation de tenir à disposition les traces de connexion doit être clairement établie et surtout, une durée de conservation doit être fixée. Cette durée doit à la fois être raisonnable pour que l’obligation ne soit pas trop contraignante pour le prestataire (une durée trop longue coutera plus chère en termes de stockage et pourra de ce fait ne pas être respectée).
Le principe est que tout flux transfrontière de données à caractère personnel est interdit. Mais deux séries d’exceptions existent :
Article 68 loi I&L : la première exception veut que les transferts de données à caractère personnel soient autorisés si le pays d’accueil des données a une « un niveau de protection suffisant » des données à caractère personnel. La liste des pays considérés comme ayant un niveau de protection adéquat est disponible sur le site de la CNIL.
En outre, la « protection adéquate » peut aussi être assurée par :
Des Clauses contractuelles types (adoptées par la Commission européenne).
Des règles contraignantes d’entreprise (« BCR » pour Binding Corporate Rules)
La signature du « Safe Harbor » (cela ne vaut que pour les entreprises américaines qui ont signé le Safe Harbor, sorte d’engagement de conformité avec la règlementation européenne et mis en place par le Ministère du commerce américain).
Article 69 loi I&L : il est possible de réaliser des flux transfrontières dans des cas précisés par l’article (consentement express de la personne dont les données sont transférées, sauvegarde de la vie de la personne concernée ou de l’intérêt public, respect d’obligations permettant d’assurer la constatation, l’exercice ou la défense d’un droit en justice, consultation, dans des conditions régulières, d’un registre public qui, en vertu de dispositions législatives ou réglementaires, est destiné à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt légitime, exécution d’un contrat entre le responsable du traitement et l’intéressé, ou de mesures précontractuelles prises à la demande de celui-ci, conclusion ou à l’exécution d’un contrat conclu ou à conclure, dans l’intérêt de la personne concernée, entre le responsable du traitement et un tiers ou une décision de la Cnil).
En cas de non respect des règles édictées en matière de flux transfrontières, différentes dispositions du Code pénal sont susceptibles de s’appliquer.
En particulier, les dispositions relatives au non-respect des formalités préalables prévues par la loi
(déclaration ou autorisation, y compris sur les transferts de données) :
Art. 226-16 : « Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».
Art. 226-16 A : « Le fait de ne pas respecter, y compris par négligence, les normes simplifiées ou d'exonération établies à cet effet par la Commission nationale de l'informatique et des libertés est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».
En outre, l’Art. 226-22-1 du Code pénal dispose : « Le fait, hors les cas prévus par la loi, de procéder ou de faire procéder à un transfert de données à caractère personnel faisant l'objet ou destinées à faire l'objet d'un traitement vers un État n'appartenant pas à la Communauté européenne en violation des mesures prises par la Commission des Communautés européennes ou par la Commission nationale de l'informatique et des libertés mentionnées à l'article 70 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 € d'amende. »
Le contrat doit contenir :
L’indication claire et exhaustive des pays hébergeant les centres de données du prestataire où les données seront traitées.
L’assurance d’une protection adéquate à l’étranger (notamment grâce à des Clauses contractuelles types ou à des règles contraignantes d’entreprise « BCR »).
Le contrat peut aussi contenir la possibilité de limiter les transferts de données uniquement vers des pays membres de l’Espace Economique Européen ou vers des pays tiers reconnus comme assurant un niveau de protection adéquat par décision de la Commission européenne.
L’Information immédiate du client en cas de requête provenant d’une autorité administrative ou judiciaire étrangère.
La clause de réversibilité reste, suivant la typologie de contrats conclus, une clause essentielle garante d'une pérennité, soit d'un système d'information mis en œuvre, soit de prestations associées, soit enfin de la poursuite d'utilisation des données du client.
La réversibilité doit se concevoir comme la possibilité, en cas d'arrêt des prestations, prévu (terme du contrat), souhaité (résiliation pour convenance) ou subi (résiliation pour faute), de poursuivre ces dernières auprès d'un tiers ou, a minima, de récupérer l'acquis ou des données existantes, et ce dans une optique de ne pas être en dépendance technologique.
L'attention portée à la rédaction de cette clause est donc essentielle en ce que les textes n'organisent pas (sauf le cas échéant en matière de marché public) de régime applicable par défaut.
1. La première question que doit se poser le rédacteur est de définir si la réversibilité est nécessaire à l'objet du contrat, et si l'exiger a une réalité techniquement opérationnelle. En effet, devenue quasi clause de style, on voit certaines fois fleurir une clause de réversibilité qui est sans apport ni cohérence avec l'objet même du contrat.
2. En deuxième lieu et si la réversibilité est envisageable, il convient de s'interroger sur l'objet de cette dernière. Quels sont les objectifs à atteindre ? Sauvegarder a minima des acquis réalisés en cours de projet, garantir une poursuite totale des prestations sans rupture de service... Cette question aura notamment deux incidences importantes sur :
- la ou les étapes auxquelles cette réversibilité peut intervenir ;
- le sort de ce qui aura été réalisé à la date de la réversibilité.
3. En troisième lieu, le périmètre de la réversibilité doit être identifié. Le contrat se prête-t-il à des réversibilités partielles (allotissement dans un contrat par exemple) ou seule une réversibilité intégrale est-elle envisageable ?
4. En quatrième lieu, il est fortement recommandé que le contrat identifie, dès sa signature, les contraintes et pré requis applicables à la mise en œuvre de la réversibilité (impératifs techniques, phases à respecter sur le plan informatique).
5. En cinquième lieu, au vu des éléments déjà identifiés, il conviendra alors de préciser les délais applicables à la réversibilité ( préavis de mise en œuvre, durée). ATTENTION: il convient de prévoir que le contrat peut survivre à son terme initial, pour les besoins de la mise en œuvre de la réversibilité (prolongation possible du contrat pour régir la réversibilité).
6. En sixième lieu, la question de son prix doit être abordée (généralement une estimation sous forme de plafond maximum au moment de la signature du contrat avec réévaluation au jour de notification de la rupture).
7. Enfin, la bonne fin des opérations de réversibilité donnera lieu également, comme pour le plan de réversibilité, à une procédure de recette (définie dans le plan même ou au contrat) permettant de constater la bonne fin des opérations.
8. En dernier lieu, et suivant la typologie du contrat, et plus particulièrement dans des contrats d'infogérance classiques, d'autres éléments feront notamment l'objet d'une attention toute particulière tels, par exemple, la restitution ou le transfert de propriété des matériels objet du contrat, le sort de contrats conclus avec des tiers, le régime applicable aux équipes dédiées à la prestation initiale (transfert ou non des équipes sur le fondement de l'article L. 1224-1 du Code du travail), les étapes de transfert de connaissance dans le cadre de la réversibilité.
« La réversibilité a pour objet de garantir au Client la restitution des Données et la reprise des Services objet du Contrat par ses soins, ou par un tiers, au terme du Contrat. Dans le mois suivant la signature du Contrat, le Prestataire soumettra au Client un Plan de réversibilité définitif établi sur la base de celui annexé à la signature du Contrat. Ce dernier fera l'objet d'une recette dans les conditions visées au Contrat.
Sauf hypothèse de résiliation anticipée du Contrat, le Prestataire devra soumettre un devis relatif aux opérations de réversibilité, conformément aux termes, unités d'oeuvre et conditions visés au Plan de réversibilité, dans les cinq (5) mois précédents le terme du Contrat, les opérations de réversibilité devant débuter au plus tard trois (3) mois avant le terme du Contrat.
Les dispositions du Contrat survivront au terme ou à la résiliation de ce dernier pour les besoins, le cas échéant, de la finalisation des opérations de réversibilité.
Sauf hypothèse contraire visée à l‘article résiliation, les coûts de la réversibilité seront à la charge du Client. Pendant toute la période de la réversibilité et jusqu'à la recette des opérations de réversibilité des Services concernés, les Niveaux de Services restent opposables au Prestataire ».
En outre, il est possible d’encadrer les éventuelles évolutions du système (objet du contrat) de la manière suivante :
« En cas d'évolution de la Solution et/ou du Système objet des Services, ces évolutions ne pouvant remettre en cause les pré requis, conditions ou la durée des opérations de réversibilité tels que prédéfinis, sauf meilleur accord entre les Parties, le plan de réversibilité sera mis à jour au plus tard dans le mois suivant ladite évolution ».
« La réversibilité a pour objet de garantir au Client la restitution des Données et la reprise des Services objet du Contrat par ses soins, ou par un tiers, au terme du Contrat. Dans le mois suivant la signature du Contrat, le Prestataire soumettra au Client un Plan de réversibilité définitif établi sur la base de celui annexé à la signature du Contrat. Ce dernier fera l'objet d'une recette dans les conditions visées au Contrat.
Sauf hypothèse de résiliation anticipée du Contrat, le Prestataire devra soumettre un devis relatif aux opérations de réversibilité, conformément aux termes, unités d'oeuvre et conditions visés au Plan de réversibilité, dans les cinq (5) mois précédents le terme du Contrat, les opérations de réversibilité devant débuter au plus tard trois (3) mois avant le terme du Contrat.
Les dispositions du Contrat survivront au terme ou à la résiliation de ce dernier pour les besoins, le cas échéant, de la finalisation des opérations de réversibilité.
Sauf hypothèse contraire visée à l‘article résiliation, les coûts de la réversibilité seront à la charge du Client. Pendant toute la période de la réversibilité et jusqu'à la recette des opérations de réversibilité des Services concernés, les Niveaux de Services restent opposables au Prestataire ».
En outre, il est possible d’encadrer les éventuelles évolutions du système (objet du contrat) de la manière suivante :
« En cas d'évolution de la Solution et/ou du Système objet des Services, ces évolutions ne pouvant remettre en cause les pré requis, conditions ou la durée des opérations de réversibilité tels que prédéfinis, sauf meilleur accord entre les Parties, le plan de réversibilité sera mis à jour au plus tard dans le mois suivant ladite évolution ».
« La réversibilité a pour objet de garantir au Client la restitution des Données et la reprise des Services objet du Contrat par ses soins, ou par un tiers, au terme du Contrat. Dans le mois suivant la signature du Contrat, le Prestataire soumettra au Client un Plan de réversibilité définitif établi sur la base de celui annexé à la signature du Contrat. Ce dernier fera l'objet d'une recette dans les conditions visées au Contrat.
Sauf hypothèse de résiliation anticipée du Contrat, le Prestataire devra soumettre un devis relatif aux opérations de réversibilité, conformément aux termes, unités d'oeuvre et conditions visés au Plan de réversibilité, dans les cinq (5) mois précédents le terme du Contrat, les opérations de réversibilité devant débuter au plus tard trois (3) mois avant le terme du Contrat.
Les dispositions du Contrat survivront au terme ou à la résiliation de ce dernier pour les besoins, le cas échéant, de la finalisation des opérations de réversibilité.
Sauf hypothèse contraire visée à l‘article résiliation, les coûts de la réversibilité seront à la charge du Client. Pendant toute la période de la réversibilité et jusqu'à la recette des opérations de réversibilité des Services concernés, les Niveaux de Services restent opposables au Prestataire ».
En outre, il est possible d’encadrer les éventuelles évolutions du système (objet du contrat) de la manière suivante :
« En cas d'évolution de la Solution et/ou du Système objet des Services, ces évolutions ne pouvant remettre en cause les pré requis, conditions ou la durée des opérations de réversibilité tels que prédéfinis, sauf meilleur accord entre les Parties, le plan de réversibilité sera mis à jour au plus tard dans le mois suivant ladite évolution ».