n°1 – Janvier / Février 2015

Bienvenue dans notre premier numéro de la Newsletter ATIPIC ! Nous mettons tout en œuvre pour vous proposer des rubriques répondant à vos attentes, de façon pragmatique et efficace, et en conservant bien entendu notre approche ATIPIC. Ainsi, vous découvrirez dans les pages qui suivent : -

« l’addition du mois », qui se propose d’additionner deux informations différentes pour en extraire la valeur ajoutée (soit 1+1=3, selon le principe qui nous est cher) ;

-

« si vous l’avez manqué », pour vous présenter une synthèse des principaux apports des articles que nous avons pu rédiger depuis la précédente Newsletter ATIPIC ;

-

« Le sujet du mois », réalisant un focus sur un sujet en particulier ;

-

« Vite vu, vite lu », parce que cela ne vaut pas la peine de consacrer plus de temps aux décisions étudiées ;

-

Ou encore « la réglementation en construction », pour vous permettre de garder un oeil sur l’état d’adoption des textes d’importance.

En fonction de leur succès ou de l’actualité, d’autre rubriques pourront également apparaître dans les prochains numéros. Nous sommes à votre écoute, n’hésitez pas à nous faire part de vos critiques sur [email protected] afin que nous puissions améliorer notre Newsletter. Si vous disposez de la version papier de notre newsletter et que vous souhaitiez accéder à la version électronique (afin de pouvoir cliquer sur les différents liens proposés par la suite, etc.), il vous suffit de flasher le QR Code figurant ci-dessus. Il nous reste à vous souhaiter une excellente lecture, ainsi que tous nos meilleurs voeux à l’occasion de cette nouvelle Année 2015 !

François Coupez, Avocat à la Cour, Associé

Sommaire Au menu de ce premier numéro de la Newsletter ATIPIC, ✓   Nous

parlerons de vol d’information et de protection du patrimoine informationnel dans « l’addition du mois » ;

p. 2 ✓

p. 2

p.  3

p.  3

✓

✓

«  Si vous l’avez manqué  » vous permettra de redécouvrir des synthèses concernant : -

le règlement 97-02 ;

-

l’arrêt de la Cour de cassation ayant analysé une donnée comme un bien ;

-

le Cloud computing et le contrat ;

-

et enfin les défis du BYOD face à la transition numérique de l’entreprise ;

«  Live from ATIPIC Avocat  » vous donnera des nouvelles… du Cabinet ;

✓

✓

« Vite lu, vite lu » vous mentionnera deux arrêts de la Cour de cassation : -

sur la signature électronique des courriers ;

p.  3

-

sur la faute grave en matière d’usage abusif d’internet ;

p.  4

«  Le sujet du mois  » fera un focus sur la recommandation de la Commission des clauses abusives «  relative aux contrats proposés par les fournisseurs de services de réseaux sociaux » ;

p.  4

Et nous terminerons ce numéro par «  la règlementation en construction ».

p.  7

1

L’addition du mois Voilà ce qu’il arrive lorsque l’on additionne deux informations différentes pour en tirer la substantifique moelle… Pillage du patrimoine informationnel + lutte anti-terroriste = pénalisation du «  vol » de données numériques ! Alors que le rapport de la délégation parlementaire au renseignement, rendu public le 18 décembre 2014 et porté par le député Jean-Jacques Urvoas, mettait en lumière l’accroissement exponentiel de la prédation du patrimoine économique - et en particulier informationnel - de nos entreprises, ledit député a profité de la loi du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme pour proposer un amendement un peu particulier. Cet amendement finalement adopté, en proposant de modifier l’article 323-3 du Code pénal, a tout simplement pénalisé le fait d’extraire, de détenir, de reproduire ou de transmettre frauduleusement des données contenues dans un système d’information. Soit l’équivalent du vol de données numériques, une Arlésienne juridique attendue depuis plus de 20 ans ! Cerise sur le gâteau : les peines maximales prévues pour ce nouveau texte sont bien supérieures à celle prévue pour le vol « classique » ! Ainsi, l’on passe de trois ans d'emprisonnement et 45 000 € d'amende à cinq ans d'emprisonnement et 75 000 € d'amende - voire sept ans d'emprisonnement et 100 000 € d'amende quand l’information est soutirée d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État. A noter : la solution choisie est celle que proposait le rapport Robert sur la cybercriminalité remis le 30 juin 2014, dans sa recommandation n°18 relative au secret des affaires : « Une solution simple et directement opérationnelle consisterait à incriminer spécifiquement, au même titre que le vol d’électricité (cf. art. 311-2 du code pénal), le vol de biens immatériels… ». Les données immatérielles sont donc maintenant protégées avec plus de vigueur que les biens matériels, signe que la transformation numérique et ses impacts sont implicitement pris en compte par le législateur.

Si vous l’avez manqué Nous vous proposons de revenir, dans une version résumée à l’essentiel, sur quelques articles publiés récemment par nos soins dans la presse papier ou électronique…

En matière de contrôle interne des établissements de crédit, ne dites plus «  règlement 97-02 CRBF » mais « arrêté du 3 novembre 2014 ! » - Blog ATIPIC - 14/11/2014 Le règlement n°97-02 du CRBF a été abrogé mais ses dispositions survivent, et notamment les obligations de l'article 14 (sécurité) qui sont transférées aux articles 89 et suivants, et les obligations en matière de prestations de services essentielles externalisées des articles 37-2 et suivants qui sont renvoyées aux articles 237 et suivants du nouvel arrêté.

Une donnée est un bien selon la Cour de cassation : et si l'intérêt de la décision était ailleurs ?… - Blog ATIPIC - 23/11/2014 La Cour de cassation a rappelé, dans une décision où un salarié démissionnaire s'apprêtant à rejoindre une société concurrente avait « exfiltré » d’une base de données interne à accès restreint 9824 fichiers et documents de son employeur, qu’en matière d’abus de confiance, une donnée est un bien. Rien d’extraordinaire ou d’innovant en cela : d’abord l’article 314-1 du Code pénal fait une appréciation large du bien susceptible de détournement. Ensuite parce que la Cour de cassation a déjà rendu plusieurs arrêts du même type (dont un portant sur un fichier de clientèle). L'élément à retenir de cette décision est plutôt que la base de données était spécifiquement indiquée comme étant à accès restreint, son utilisation étant encadrée par une charte d’utilisation des ressources informatiques et des services Internet qui, pour la Cour d’appel et donc in fine la Cour de cassation, permet d’apporter la preuve de l’intention frauduleuse de ce détournement. Un arrêt de plus montrant l’importance fondamentale des chartes en entreprise !

2

En matière de Cloud computing, contrats et audits sont bons à marier… - Blog ATIPIC - 25/11/2014 La consumérisation de l’IT conduit à la souscription, directement par les directions métier, de services de Cloud computing pour un coût souvent modeste mais la plupart du temps sans considérations des aspects contractuels et parfois sans réelle évaluation des risques. Le jugement de la première chambre du Tribunal de commerce de Paris du 12 juillet 2011 en avait montré les conséquences en cas d’indisponibilité prolongée du service (5 jours)… conforme au contrat qui en octroyait 30 ! Le client qui avait résilié aux torts du prestataire avait été condamné à payer l’indemnité de résiliation conformément au contrat (égale au montant des trimestres restant à courir). Dans une affaire plus récente, le contrat aurait pu promettre monts et merveilles, il n’aurait pas empêché l’issue fatale : la fermeture du service et la perte, pour les clients, de la majorité de leurs fichiers qui étaient hébergés dans le Cloud, à la suite du piratage du service. C’est là que l’audit, réalisé par le client ou un tiers reconnu, aurait pu pointer les fatales négligences et avertir les clients plus précautionneux avant qu’il ne soit trop tard… Et encore, bien d’autres aspects, que ce soit sur le plan de la gestion des risques, sur le plan technique ou sur le plan juridique, restent à sécuriser dans le cadre d’un projet Cloud. Gardons en tête que le contrat, comme les audits préalables et ultérieurs deviennent d’autant plus essentiels que la pression réglementaire s’intensifie sur les épaules de l’entreprise (obligations en terme de sécurité, de protection des données, de service rendu au client, etc.). La confiance envers ses prestataires «  infonuagiques » n’exclut pas le contrôle !

Les défis du BYOD face à la transition numérique de l’entreprise - Blog ATIPIC - 16/12/2014 Dans cette première partie d’un triptyque à paraître, les auteurs rappellent ce qu’est le BYOD (Bring Your Own Device) et la manière dont il se présente en entreprise. Soulignant que BYOD dans sa forme la plus pure fait face à nombre d’oppositions en France, ils pointent surtout l’émergence d’un nouveau phénomène destiné purement et simplement à le remplacer en l’englobant dans quelque chose de plus vaste, le BYOCL (pour Bring Your Own Connected Life). Alors que l’entreprise essaye de promouvoir l’utilisation des objets connectés et autres «  traqueurs d’activité » pour améliorer la productivité ou l’expérience d’achat du client, la question se posera à court terme de l’intégration des objets connectés personnels du salarié, de la même façon qu’elle a pu se poser en matière de tablettes ou de téléphones. Mais les problématiques juridiques concernées par cette utilisation sont bien plus vastes. Et les entreprises ne semblent pas y être préparées (à suivre dans les deux articles à paraître début janvier sur notre blog).

Live from ATIPIC Avocat Le Cabinet est heureux de vous annoncer que le jury du Conseil National des Barreaux vient d’attribuer à François Coupez, associé d’ATIPIC Avocat, le Certificat de spécialisation en « Droit des nouvelles technologies, de l’informatique et de la communication ». Ce certificat vient récompenser 15 ans de pratique professionnelle dans le domaine.

Vite vu, vite lu… Parce qu’il est inutile d’y perdre trop de temps On ne doit pas tout signer électroniquement (rappel) 
 Arrêt de la Cour de cassation du 27 novembre 2014 Un courrier adressé par l’URSSAF selon les formes requises (LRAR) devait-il être signé électroniquement et donc dûment identifier son signataire, ce qui n’était pas le cas en l’espèce ? Non, rappelle logiquement la Cour, rappelant que les dispositions sur la signature électronique ne s’appliquent qu’à des actes juridiques et non aux documents produits «  pour faire la preuve d’un fait, dont l’existence peut être établie par tous moyens de preuve, lesquels sont appréciés souverainement par les juges du fond ». Vite vu, car ce n’est qu’un rappel de l’arrêt de la Cour de cassation du 25 septembre 2013, qui ne faisait lui-même que rappeler Newsletter ATIPIC n°1 – Janvier / Février 2015

3

l’évidence du positionnement des articles 1316-1 et suivant du Code civil dans le titre III «  des contrats ou des obligations conventionnelles en général » dudit Code.

 

Faute grave en matière d’usage abusif d’internet : attention à ce que la lettre de licenciement mentionne précisément ! - Arrêt de la Cour de cassation du 29 octobre 2014 Si la Cour de Cassation a déjà eu l’occasion de valider les positions des Cours d’appel sur le fait qu’un usage abusif pouvait conduire à un licenciement, y compris pour faute grave, encore faut-il établir l'exactitude des faits imputés à celui-ci, et que ces faits démontrent une violation si grave du contrat de travail qu’elle rend impossible le maintien du salarié dans l’entreprise pendant son préavis. En l’occurrence, la lettre de licenciement n’énonçait qu’un seul motif : «  téléchargements illégaux et répétitifs au sein de l'entreprise »… alors même que l’employeur ne démontrait la réalité que d’un téléchargement et qui n’était en plus pas illicite (il démontrait également de multiples connexions privées, mais cela n’a pas été retenu par la Cour d’appel, car la lettre de licenciement ne le mentionnait pas). Vite lu car ce type de décision n’est pas nouveau. Mais la sanction peut être importante, des dommages intérêts supplémentaires ayant été octroyés dans cette affaire, du fait du caractère vexatoire de ce licenciement abusif.

Le sujet du mois

Recommandation n° 2014-02 de la Commission des clauses abusives «  relative aux contrats proposés par les fournisseurs de services de réseaux sociaux » : tromperie sur la marchandise ?

La Commission des clauses abusives a adopté le 7 novembre 2014, sur le rapport des professeurs Sauphanor-Brouillaud, Martial-Braz et Zolynski, la recommandation n° 2014-02 qui s’intéresse tout particulièrement aux services de réseaux sociaux. Parmi les 46 propositions concrètes émises dans le document, on retrouve des positions connues de la Commission. D’autres recommandations, par contre, pourront être qualifiées au minimum d’avant-gardistes, tant elles semblent s’éloigner de la réalité concrète du commerce électronique ou vont au-delà des textes (cf. protection des données à caractère personnel). Ce n’est toutefois pas l’essentiel : une des principales remarques que l’on peut faire à cette recommandation est tout simplement de faire des propositions qui sortent très largement du seul cadre des réseaux sociaux pour concerner, en réalité, un très grand nombre d’activités sur Internet. Mais avant de rentrer dans le vif des propositions faites, un rappel de ce qu’est la Commission des clauses abusives s’avère nécessaire.

 

La Commission des clauses abusives L’existence de cette commission est prévue par l’article L. 534-1 du Code de la consommation en ces termes : « La commission des clauses abusives, placée auprès du ministre chargé de la consommation, connaît des modèles de conventions habituellement proposés par les professionnels à leurs contractants non professionnels ou consommateurs. Elle est chargée de rechercher si ces documents contiennent des clauses qui pourraient présenter un caractère abusif ». Elle est composée de 13 membres dont 3 magistrats, 2 personnalités qualifiées en matière de droit ou de technique des contrats, de 4 représentants des professionnels et de 4 représentants des consommateurs. Son mode de saisine est assez large, puisqu’elle peut se saisir d’office de telle ou telle problématique (ce qu’elle a fait dans le cas présent), ou être saisie par le ministre chargé de la consommation, par les associations agréées de défense des consommateurs ou encore par les professionnels intéressés (art. L. 534-2). Elle peut également être saisie pour avis lorsque, à l'occasion d'une instance, le caractère abusif d'une clause contractuelle est soulevé, étant entendu que son avis ne lie pas le juge (art. R. 534-4). Ses pouvoirs la classent d’ailleurs dans le domaine des créateurs de « droit mou » ou encore « soft law » à la française : placée auprès de l’Institut national de la consommation, ce n’est pas une autorité administrative indépendante (comme l’est la CNIL) et n’a pas de pouvoirs de sanctions (à la différence de la DGCCRF). En pratique, elle « recommande la suppression ou la modification des clauses qui présentent un caractère abusif » (art. L. 534-3), ses recommandations n’ayant pas de pouvoir contraignant. Elles n’en revêtent pas moins ce que l’on pourrait désigner comme « une magistrature morale indéniable » (la question étant même posée du contrôle de l’application de ces recommandations par un superviseur sectoriel, en 4

l’occurence l'Autorité de contrôle prudentiel et de résolution pour le secteur financier (1)). La Commission des clauses abusives a émis 35 avis et 75 recommandations depuis sa création (par les articles 35 et suivants de la loi du 10 janvier 1978 sur la protection et l'information des consommateurs de produits et de services).

Approche de la notion de réseau social La présente recommandation de la Commission des clauses abusives commence logiquement par une précision terminologique concernant les services auxquels elle s’applique officiellement, c’est-à-dire les réseaux sociaux. Sur ce point, on retrouve à l’identique la notion de fourniture de service de réseautage social (« SRS »), sans qu’en soit crédité son auteur, c’est-àdire le Groupe de travail « de l’article 29 » sur la protection des données dans son avis 5/2009 sur les réseaux sociaux en ligne. La recommandation s’intéresse également à la nature même des actions réalisées par les différents acteurs, l’utilisateur d’un côté et le fournisseur du SRS de l’autre. Considérant que « la circonstance que l'utilisateur participe au fonctionnement du réseau et assure donc lui-même une prestation de service n'altère en rien sa qualité de consommateur ou non-professionnel », la Commission démontre de ce fait qu’elle est compétente à émettre une recommandation sur les conditions contractuelles du service en question, conclu entre un professionnel et un non-professionnel ou consommateur.

Une recommandation impactant en réalité l’ensemble des services de commerce électronique On ne peut que saluer l’effort pédagogique opéré par la Commission pour disséquer d’une part le fonctionnement économique des services de réseaux sociaux et d’autre part le détail des conditions contractuelles s’appliquant aux opérateurs. Sur ce dernier point, la recommandation, très didactique, poursuit les efforts engagés par la Commission depuis 2008 dans chacune de ses recommandations. Ainsi, les différentes recommandations et leurs explications sont classées, par ordre chronologique du point de vue de l’utilisateur : lisibilité et rédaction du contrat (I), formation du contrat (II), contenu du contrat (III), exécution du contrat (IV) et litiges (V), avant d’être reprises de façon plus synthétique. Cette recommandation est la 3ème de la Commission portant sur des services proposés spécifiquement sur internet, après les contrats de vente mobilière (n°07-02) la fourniture de voyage (n°08-01). Or, l’étude de cette recommandation montre une différence fondamentale avec les précédentes, dont le contenu était à chaque fois véritablement spécifique aux services visés. Elle se heurte en effet à un écueil inhérent au fonctionnement même des services fournis à l’heure actuelle sur Internet, écueil auquel la jurisprudence a été confrontée notamment quand il s’est agi d’appliquer le régime de responsabilité des hébergeurs aux services de réseau social. En réalité, ces services ne rentrent pas dans une « case » mais doivent être analysés de façon distributive, suivant les fonctions qu’ils peuvent offrir : hébergeurs du contenu des utilisateurs, utilisateurs de ce contenu, éditeurs de leur propre contenu, etc. Dès lors, l’analyse pointue des conditions contractuelles de ces fournisseurs de service conduit en réalité à analyser les conditions contractuelles similaires de services très différents. Ainsi, en mettant de côté le titre de la recommandation et ses premiers développements qui semblent spécifier leur application aux services de réseaux sociaux, on ne peut que constater que les 46 clauses mises à l’index par la Commission des clauses abusives dans ce document se retrouvent peu ou prou à l’identique dans un très grand nombre de services de communication électronique. C’est la grande surprise attendant le lecteur profane de ce document : une part infime voire nulle de ces recommandations est spécifique aux services de réseautage social qui sont censés être seuls concernés, 13 % de la recommandation seulement concernant spécifiquement le sujet annoncé, et encore ces 6 dispositions étant applicables à l’identique à d’autres univers (jeux en ligne) ! (1)

L’arrêté du 3 novembre 2014 abrogeant le règlement CRBF 97/02 évoque ainsi, dans un article 10 P, le risque de non-conformité qui est : « le risque de

sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d'atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, […] qu'il s'agisse de normes professionnelles et déontologiques, …. » rédaction identique à celle de l'article 4 P du défunt CRBF 97/02.

Newsletter ATIPIC n°1 – Janvier / Février 2015

5

Attention donc à une lecture plus large faite par les magistrats de cette recommandation, un très grand nombre de sites – et de pratiques – étant potentiellement concernés par ce document. Ainsi, un rapide classement permettrait de distinguer en réalité trois grands types d’activité auxquels ces recommandations sont susceptibles de s’appliquer : -

De façon générale, les sites proposant des produits ou services en ligne à un consommateur, concernés par 27 recommandations (1, 2, 3, 4, 5, 6, 7, 9, 10, 12, 13, 22, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46) !

-

Les sites traitant des données à caractère personnel, concernés par 9 recommandations (8, 15, 16, 17, 18, 19, 20, 21, 23) ;

-

Les services d’hébergement de données de type classique ou de type coffre-fort électronique, concernés par 3 recommandations (27, 28, 30) ;

-

Et enfin les services proposant des communautés en ligne avec interaction des participants et la génération de contenus par eux (ce qui ne se limite pas aux réseaux sociaux, mais s’applique également aux environnements de jeux en ligne, etc.), concernés par 6 recommandations (11, 14, 24, 25, 26, 29).

 

En réalité, l’apport majeur de cette recommandation est de nous rappeler que, quelles que soient l’affichage, le vocabulaire utilisé ou la mise en scène de certains services – et en particulier les services de réseautage social l’utilisateur est un consommateur qui dispose, en tant que tel, de droits que le fournisseur de service ne doit pas méconnaître : le Code de la consommation s’applique aux réseaux sociaux (comme à d’autres services estampillés « gratuits »). Partant de cette idée, la plupart des dispositions de ce Code étant d’ordre public, il est implicitement considéré par la Commission que le droit français s’applique aux opérateurs étrangers. Avec une limite pratique toutefois, qui n’est en rien indiquée, mais qui est elle aussi implicite : encore faut-il que le prestataire dirige spécifiquement son activité vers les citoyens français. Il serait en effet difficile à expliquer à un opérateur étranger ne s’adressant officiellement qu’à des Américains par exemple (avec un site en anglais et des conditions contractuelles ad hoc) qu’il doit respecter le droit français.

 

Sur le fond des recommandations, on notera que : -

la Commission des clauses abusives va parfois plus loin en matière de protection des données à caractère personnel que la CNIL elle-même ne le prévoit (recommandation 20 sur les flux transfrontières ne mentionnant pas toutes les exceptions au consentement exprès) ;

-

la recommandation n°1 demandant de présenter des CGU lisibles pour le consommateur risque d’être difficilement conciliable avec notamment la recommandation n°14 (interdiction d’affirmer que les services de réseautage social sont gratuits). A contrario en effet, faut-il indiquer dans les CGU que «  les services sont onéreux car potentiellement valorisables mais avec une rémunération indirecte assurée par un tiers conduisant pour l’utilisateur à ne rien débourser » ? Il est vrai que l’on gagne en clarté ! Espérons que le consommateur ne s’interroge pas sur l’application du coup d’éventuelles taxes ! La recommandation souhaite probablement énoncer que « si c’est gratuit, c’est que vous êtes le produit », mais le traduire juridiquement dans les CGU du prestataire n’est pas une mince affaire et risque de conduire à des résultats plus qu’hasardeux.

-

plus sérieusement et plus précisément sur la question de l’affirmation de la gratuité qui serait illicite (recommandation 14), autant le raisonnement que l’argument textuel nous semblent un peu courts. D’abord en raison de l’article 14 de la loi pour la confiance dans l’économie numérique du 21 juin 2004 qui montre bien que le service gratuit peut être rémunéré par d’autres que ceux qui les reçoivent et à ce titre rentre dans le champ du commerce électronique. Or le législateur n’a pas tenu, en rédigeant ce texte, à préciser que le service « gratuit » dans ces conditions ne devait pas être présenté comme tel aux utilisateurs. Surtout, l’approche économique de la Commission des clauses abusives peut choquer alors que le droit français (loi du 6 janvier 1978, pourtant abondamment citée par la Commission) continue à affirmer le caractère non patrimonial des données à caractère personnel en droit français (voir également les arguments du Conseil national du numérique sur cette question à la page 37 de son rapport remis le 13 juin 2014 sur la neutralité des plateformes). 6

-

au titre des voeux 2015, on peut souhaiter à certains régulateurs et au Gouvernement de s’appliquer à eux-mêmes les recommandations 1, 5 et 6 sur l’exigence de CGU lisibles au contenu homogène et logique. Ceux-ci semblent en effet s’ingénier depuis près de 10 ans à imposer l’insertion dans les CGU des professionnels de formules de plus en plus incompréhensibles et de plus en plus longues (voir les clauses types de la HADOPI, le décret du 27 décembre 2012 de simplification des mentions d’information du TEG ayant fait augmenter leur volume de 23  % et faisant référence à un principe juridique n’existant plus depuis juin 2004, etc.).

-

les pouvoirs de déterminer librement ce qui est acceptable ou pas sur tout service permettant l’hébergement de contenus en ligne (banques, réseaux sociaux, jeux en ligne, hébergeurs de site, etc.) sont retirés au prestataire (hors hypothèse de modération – recommandation 30). Alors que le service visé est par hypothèse gratuit, il est quand même surprenant de voir l’interprétation de l’art. R. 132-1 4° du Code de la consommation priver les hébergeurs d’un droit discrétionnaire d’accepter ou de refuser d’héberger tout contenu soumis à leur soin. On pourrait espérer que cette interprétation se cantonne spécifiquement aux réseaux sociaux, mais la formulation du texte invoqué permet d’en douter.

-

On ne peut que reconnaître l’intérêt de la recommandation 10, imposant en pratique l’acceptation formelle des CGU, et qui doit être mis en cohérence avec les décisions de la CJUE, notamment sur la notion de « support durable » ;

-

Il faut prendre garde à l’énoncé de la recommandation 21 sur la sécurité des données : attention à ne pas déresponsabiliser le consommateur qui, s’il ne doit pas être le seul à assurer la sécurité des données, doit malgré tout assurer la sécurité notamment des moyens d’authentification mis à sa disposition.

Il y aurait encore beaucoup à dire sur cette recommandation aux multiples facettes, dont il convient de ne pas sousestimer l’impact potentiel, ni en raison de son apparente limitation aux réseaux sociaux, ni en raison de son caractère non contraignant en soi. Nous vous invitons donc à en prendre connaissance et restons à votre disposition pour échanger sur cette problématique.

La règlementation en cours de construction C’est déjà publié !

nouvelles règles du jeu sont entrées en vigueur le 1er octobre 2014 ;

✓ Le règlement (n°910/2014) sur

l'identification électronique et les services de confiance pour les transactions électroniques (règlement eIDAS) a été adopté le 23 juillet 2014, ses dispositions étant applicables au plus tard le 1er juillet 2016 ; ✓

✓

Un arrêté du 28 août 2014 homologue une version modifiée du règlement général de l'Autorité des marchés financiers encadrant la pratique de la «  négociation automatisée et à haute fréquence  », dite également « trading à haute fréquence  » (art. 315-67 et 315-68 nouv.), applicable à compter du 1er janvier 2015 ; Le décret (n°2014-1053) du 16 septembre dernier a été publié concernant le financement participatif. Les

Newsletter ATIPIC n°1 – Janvier / Février 2015

✓

La loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme ;

✓

Les lignes directrices du G29 pour assurer une application harmonisée de l’arrêt de la CJUE sur le droit au déréférencement du 13 mai 2014 Google Spain SL et Google Inc. v Agencia Española de Protección de Datos (AEPD) et Mario Costeja González (C-131/12)

✓

La norme simplifiée n°57 relative aux traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics et privés destinés à l'écoute et à l'enregistrement des conversations téléphoniques sur le lieu de travail (délibération du 27 novembre 2014 publiée au JO le 6 janvier 2015).

7

C’est sur le point de sortir ➡

➡

Les deux décrets d’application de la loi de programmation militaire concernant les obligations de sécurisation des SI des OIV. Les arrêtés, eux, verront leur contenu finalisé courant 2015 (à l’issue de groupes de travail associant les OIV). Enfin, le décret relatif à l'accès administratif aux données de connexion (n°2014-1576) est, quant à lui, paru le 24 décembre 2014 ; La directive européenne dite « NIS » sur la sécurité des systèmes d’information et des réseaux.

C’est pour bientôt ๏

La prochaine loi numérique, qui devrait prévoir un renforcement notable des pouvoirs de la CNIL ;

๏

La directive européenne dite « DSP 2 » sur les services de paiement.

Le texte aura finalement du retard… -

On espère le règlement européen sur la protection des données à caractère personnel en 2015 (le projet date du 25 janvier 2012)…

Tout savoir sur la Newsletter ATIPIC La Newsletter ATIPIC est disponible sur inscription via le formulaire suivant disponible sur notre site (www.ATIPICAvocat.com). Lettre destinée à vous informer sur l’actualité du droit des nouvelles technologies émanant du Cabinet ATIPIC Avocat, son contenu ne saurait être interprété comme un avis ou un conseil juridique, ou remplacer une consultation. Si vous voulez en savoir plus sur les sujets abordés dans cette lettre ou faire des suggestions d’amélioration, n’hésitez pas et écrivez-nous ([email protected]) !

Crédits photos : © mipan, @ alphaspirit, © Cello Armstrong, © Kurhan - Fotolia.com et ATIPIC Avocat

ATIPIC Avocat RCS-Paris numéro 804 661 940 - SELARL d’avocat au capital de 5 000 € - 31 Boulevard Malesherbes - 75008 Paris (France) Tél. : +33 (0) 1 80 48 11 25 - Fax : +33 (0) 1 80 48 11 26 - [email protected] - www.ATIPIC-Avocat.com

8