CAPRIOLI & Associés, Cabinet d'Avocats à Nice et Paris

Le droit au service de la confiance digitale

Samedi 05 Décembre 2020

Quand le Coronavirus favorise la transformation digitale

Quand le Coronavirus favorise la transformation digitale
L’état d’urgence sanitaire est encadré par la loi n° 2020-290 du 23 mars 2020 d'urgence pour faire face à l’épidémie de covid-19 (JO du 24 mars 2020). Selon l’article L.3131-13 du code de la santé publique (CSP) : « L'état d'urgence sanitaire est déclaré par décret en conseil des ministres pris sur le rapport du ministre chargé de la santé ». Le Décret n° 2020-293 du 23 mars 2020 (JO du 24 mars 2020) prescrit les mesures générales adoptées par le gouvernement pour faire face à l'épidémie de covid-19 dans le cadre de l'état d'urgence sanitaire. En a découlé le confinement des personnes, prononcé en vertu de l’article L. 3131-15 du CSP et la fin du présentiel pour passer au distanciel. La solution pour pallier l’impossibilité aux parties de se rencontrer physiquement consiste à recourir au numérique. Plusieurs exemples de textes de nature législative et règlementaire ont été pris en ce sens. Par ailleurs, il existe des solutions B2B, mais aussi en B2C, pour aider les PME et les grandes enseignes afin de rivaliser avec les géants du e-commerce comme Amazon ou Alibaba. Pour ce faire, ces solutions reposent sur l’intelligence artificielle et proposent des services d’entrepôts intelligents, des robots ou sur une analyse de données avec optimisation. Notre droit connait ainsi un nouveau tournant quant à son adaptation au numérique ; une accélération de la #transformation numérique Et en même temps, le numérique devient indispensable, en l’occurrence pour remplacer les rencontres physiques afin d’établir des contrats, et maintenant des actes authentiques, des assemblées générales des personnes morales de droit privé ; exit donc les réunions présentielles à tout le moins de manière provisoire pour les actes authentiques et les assemblées générales. En premier lieu, le décret du 3 avril 2020 permet l’établissement à distance des actes notariés sur support électronique. Le #coronavirus sera-t-il un facteur déterminant des échanges électroniques à distance, dont l’#acte authentique électronique est une manifestation éclatante ? (I) Plus récemment, une proposition de loi relative aux français établis hors de France prévoit la signature électronique des actes notariés avec comparution à distance à titre expérimental pendant 5 ans (Sénat 19 mai 2020). En deuxième lieu, le décret du 10 avril 2020 est venu préciser les modalités d’application de l’ordonnance n° 2020-321 du 25 mars 2020 portant adaptation des règles de réunion et de délibération des assemblées et organes dirigeants des personnes morales et entités dépourvues de personnalité morale de droit privé (II). Enfin en troisième lieu, le droit bancaire a connu de légères modifications pour tenir compte de la distanciation physique imposée par l’épidémie (III). I/ Les #actes authentiques électroniques à distance A) Environnement juridique La loi du 13 mars 2000 a consacré la possibilité d’établir des #actes authentiques sur support électronique avec l’ancien article 1317 du code civil, repris à l’article 1369 suite à l’ordonnance du 10 février 2016. Depuis lors, le décret n°2005-973 du 10 août 2005 fixe les modalités et conditions d’établissement et de conservation des actes authentiques électroniques des notaires (v. spécialement le chapitre III, articles 16 à 20). Le premier acte authentique électronique a été signé le 28 octobre 2008. L’article 1369 du code civil dispose : « L’acte authentique est celui qui est reçu, avec les solennités requises, par un officier public ayant compétence et qualité pour instrumenter. Il peut être dressé sur support électronique s’il est établi et conservé dans des conditions fixées par décret en conseil d’état. ». Cela permet au gouvernement de régler par décret les modalités pratiques de sa mise en œuvre au fur et à mesure des évolutions techniques et des usages. Le système mis en place par la profession, sous l’égide du Conseil Supérieur du Notariat (CSN), est un réel succès étant donné que les actes authentiques établis sur support électronique, actes juridiques séculaires les plus sensibles dans notre système juridique, se comptent par millions et que l’ensemble de la profession y a recours sur tout le territoire national. Ces actes sont conservés dans le #Minutier central électronique des notaires (MICEN) développé par l’Association pour le Développement du Service Notarial (ADSN). Ce service a ouvert en 2010. A notre connaissance, ces actes électroniques n’ont fait l’objet d’aucun contentieux. Or, conformément à l’article 20 du décret n°71-941 du 26 novembre 1971 relatif aux actes établis par notaires, modifié par le décret n°2005-973 du 10 août 2005 (JO du 11 août 2005), le système mis en place impose la présence du notaire à côté de son client ou de deux notaires qui communiquent entre eux à distance, mais chacun d’eux étant en présence physique d'un client. B) Modalités de l’#acte authentique électronique à distance En effet, « Lorsqu'une partie ou toute autre personne concourant à un acte n'est ni présente ni représentée devant le notaire instrumentaire, son consentement ou sa déclaration est recueilli par un autre notaire devant lequel elle comparaît et qui participe à l'établissement de l'acte. » Il est à noter que « le système de traitement et de transmission de l'information agréé par le Conseil supérieur du notariat et garantissant l'intégrité et la confidentialité du contenu de l'acte. » (article 16 du décret de 1971). La perfection de l’acte est parachevée par la signature électronique sécurisée du notaire (art. 17) c’est-à-dire la signature électronique qualifiée établie à l’aide de la clé REAL depuis le règlement eIDAS. Désormais, « jusqu'à l'expiration d'un délai d'un mois à...

Perte de données et contrat d’archivage

Perte de données et contrat d’archivage
Cet article est une reprise de l’article publié dans les colonnes de l’Usine Digitale : Perte de données et contrat d’archivage : ce qu'il faut savoir, publié le 5 juin 2019. Les systèmes d’information constituent désormais la colonne vertébrale de toutes les entreprises et les données en sont devenues la moelle. Dès lors, toute perte de données cause un préjudice sérieux à ces dernières et les cyber assurances prospèrent sur ce fondement. L’#archivage des données doit être donc assurée de manière fiable. Point qui peut sembler évident mais qui, par moments, ne l’est pas comme en témoigne la décision de la Cour d’appel de Paris en date du 19 mars 2019 qui remet en cause un système de Gestion Electronique des Documents en indiquant que « l’utilisation de ce système et les données recueillies sont loin d’être infaillibles ». Quantification du préjudice consécutif à la perte de données Dans une décision du 23 avril 2019, le tribunal de commerce de Nanterre a validé la résiliation d’un contrat informatique à la demande du client, en se fondant sur l’incapacité du prestataire à remettre en état opérationnel les données du client suite un dysfonctionnement informatique. En 2006, le client avait conclu un contrat d’infogérance avec le prestataire, pour l’externalisation de la gestion complète de son système d’information. Suite à un problème technique, des fichiers avaient disparu et le programme de sauvegarde s’était révélé défaillant. La cliente avait donc résilié le contrat et avait mis en œuvre la clause de #réversibilité. Après avoir constaté l’inexécution contractuelle du prestataire incapable de remettre en état opérationnel les données suite à l’incident, le Tribunal de Commerce a considéré qu’il ne s’agissait d’une faute grave au motif qu’ « aucune pièce démontrant ni comportement, ni manœuvre du [Prestataire] dans la gestion de l’incident qui serait de nature à vouloir nuire et rendre évident que sans ces manœuvres [le client] n’aurait pas contracté ». Toutefois, comme le précise le rapport d’expertise, la faute du Prestataire a privé le client de fichiers « estimés perdus et utiles », c’est à dire nécessaires à la poursuite de son activité. Un des éléments intéressant de la décision est relatif à la réparation et à la quantification du préjudice. Le client n’avait « produit aucun document permettant d’évaluer son préjudice par les dépenses qu’[il] a subi pour reconstituer les données perdues depuis sept ans pour la poursuite de son activité ». Dès lors, pour quantifier le préjudice, le Juge s’est appuyé sur la clause de limitation de responsabilité qui fixe le plafond contractuel à la valeur d’une année de rémunération (soit 537. 896 euros) ; le tribunal a estimé que les dommages-intérêts devaient être évalués à cette somme, les autres préjudices (immatériels notamment) n’étant pas justifiés. Bien rédiger son contrat d’archivage Cette décision met en exergue un point essentiel pour toutes les relations Client/tiers archiveur : la rédaction du #contrat qui ne saurait être négligée ou simplement limitée à une reprise pure et simple des clauses figurant dans le contrat de service type prévu dans la norme Z42-013 "Spécifications relatives à la conception et à l’exploitation de systèmes informatiques en vue d’assurer la conservation et l’intégrité des documents stockés dans ces systèmes" avec une clause de réversibilité type, un engagement de niveau de service type,… Un tel contrat doit être pensé en fonction d’un contexte donné, en fonction des besoins du Client et surtout, certains acteurs du domaine comme la Fédération des tiers de confiance du numérique ont mis en place des #labels qui vont au-delà de cette simple lecture technique de l’archivage. Pascal AGOSTI, Avocat associé, Docteur en droit Caprioli & Associés, Société d’avocats membre du réseau JurisDéfi Pour aller plus loin Trop de normes pour l'archivage électronique ? Soyez vigilants sur la rédaction de vos contrats informatiques ! Contrats de prestations informatiques : quelques précautions juridiques

L’adresse électronique n’est pas forcément une adresse

L’adresse électronique n’est pas forcément une adresse
Si la littérature juridique s’intéresse avant tout au courrier électronique comme vecteur de droit, il n’en va pas de même de son « contenant » à savoir l’adresse de courrier électronique. Et pourtant… De sa fiabilité peut dépendre le bon déroulement d’une opération juridique (contrat, mise en demeure notification…). Cet article est une reprise de l’article publié dans les colonnes de l’Usine Digitale En droit, l'adresse électronique n’est pas forcément une adresse, publié le 14 août 2020 concernant cette décision de la CJUE. Qu’est-ce qu’une adresse de courrier électronique ? L’#adresse de courrier électronique se définit comme le « libellé permettant l'identification d'un utilisateur de messagerie électronique et l'acheminement des messages qui lui sont destinés » . Tout comme le support durable, elle constitue l’un de ses illustres inconnus de l’économie numérique. Elles sont le moyen privilégié pour émettre et recevoir des courriers électroniques, que ces derniers contiennent des notifications, des mises en demeure ou des avenants signés. De plus, elle constitue une donnée à caractère personnel au sens de l’article 4 du RGPD en ce qu’elle pourrait contribuer à identifier l’auteur d’un envoi électronique. Qu’est ce qu’une adresse #IP ? Comme le précisait le Parlement européen, il s’agit « d’un identifiant numérique unique qui est nécessaire à tout dispositif qui se connecte à l'internet. Il est attribué par les fournisseurs d'accès Internet et par les gestionnaires de réseaux locaux. Ceux-ci peuvent, par des moyens raisonnables, identifier les utilisateurs de l'internet, car ils enregistrent systématiquement dans un fichier la date, l'heure, la durée et l'adresse IP dynamique de chaque connexion ». Elle est considérée, depuis une décision de la CJUE, comme « une donnée à caractère personnel lorsque ledit éditeur dispose de moyens légaux lui permettant de faire identifier la personne concernée grâce aux informations supplémentaires dont dispose le fournisseur d’accès à Internet de cette personne ». Cette décision a été reprise au niveau national par la Cour de Cassation dans un arrêt du 3 novembre 2016 : « les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL ». Ces arrêts ont anticipé la position prise par le RGPD selon laquelle l’adresse IP est un identifiant en ligne (les cookies permettant de collecter des adresses IP) et la combinaison des traces laissées sur l’internet avec ces identifiants peuvent laisser des traces sur internet et la combinaison des traces à des identifiants uniques et d'autres informations reçues par les serveurs peuvent « servir à créer des profils de personnes physiques et à identifier ces personnes ». La jurisprudence européenne s’est penchée sur la question de savoir si ces deux types d’adresses (courrier électronique et IP) pouvaient être considérés comme des adresses. CJUE, 9 juillet 2020 : attention aux terminologies employées dans les textes ! Entre 2013 et 2014, plusieurs œuvres cinématographiques, dont les droits d’exploitation appartenaient exclusivement à la société allemande Constantin Film Verleih, ont été mises en ligne sur la plateforme YouTube et visionnées plusieurs dizaines de milliers de fois. Se considérant lésée, la société de distribution de films avait demandé à la plateforme de lui fournir des informations relatives à l’identité numérique des utilisateurs ayant procédé à la mise en ligne des œuvres litigieuses, mais elle n’avait obtenu que les noms d’utilisateurs fictifs. En première instance, la société de distribution avait demandé à recevoir des informations supplémentaires mais cela lui avait été refusé. Elle avait donc fait appel devant le tribunal régional supérieur, qui avait partiellement fait droit à ses demandes en condamnant la plateforme à fournir également les adresses mail des utilisateurs en cause. Cela n’étant pas suffisant pour la société de distribution, elle avait introduit un pourvoi en révision devant la Cour fédérale de justice. Cette dernière avait estimé que sa décision devait se fonder sur une analyse littérale de l’article 8, paragraphe 2, sous a), de la directive 2004/48/CE, et avait donc demandé à la Cour de Justice de l’Union Européenne de préciser la notion d’adresse figurant à cet article. L’enjeu est important : il s’agit de déterminer si les dispositions relatives à la notion d’adresse s’appliquent indistinctement à l’adresse personnelle, à l’adresse IP ou encore à l’adresse de courrier électronique. La Cour de Justice de l’Union Européenne a répondu à cette question par la négative. Dans un arrêt remarqué du 9 juillet 2020, elle a effectivement estimé que la notion d’adresse figurant à l’article 8, paragraphe 2, sous a), de la directive 2004/48/CE devait être interprétée strictement et n’englobait pas les informations relatives au numéro de téléphone, à l’adresse de courrier électronique, ni à l’adresse IP utilisée. La Cour a ainsi estimé que la notion d’adresse présente à l’article précité avait été initialement entendue selon le sens habituel donné à cette notion, à savoir celle d’adresse postale. Pour fonder sa décision, la Cour a retenu, d’une part, que le terme « adresse » utilisé dans le langage courant était relatif à l’adresse postale. D’autre part, elle a souligné que ni les travaux préparatoires de la directive ni les autres actes du droit de l’Union Européenne ne comportaient d’éléments permettant de conclure à une interprétation large...

La loi sur la preuve et la signature électroniques : 20 ans déjà !

La loi sur la preuve et la signature électroniques : 20 ans déjà !
Il y a 20 ans, la loi sur la #preuve et la #signature électroniques était adoptée (loi du 13 mars 2000). Elle faisait suite à la directive européenne 1999/93 du 13 décembre 1999 sur la signature électronique. Ces deux textes, comme tant d’autres, se sont inspirés de la loi-type de la CNUDCI sur le commerce électronique adoptée en 1996. Depuis lors, les textes tant européens que français, les usages et pratiques du marché et la jurisprudence n’ont cessé d’évoluer. Et même, des travaux sont en cours au sein de la Commission des Nations Unies pour le Droit Commercial International (#CNUDCI) sur l’identité numérique et les services de confiance, dans la lignée du Règlement européen #eIDAS du 23 juillet 2014. Ceci étant, si la construction globale de cet écosystème a pris du temps, elle est désormais arrivée à maturité si l’on s’en tient au nombre d’actes juridiques signés. 1) L’irrésistible marche en avant du progrès technologique Le nombre de transactions signées électroniquement ne cesse de croitre et de se généraliser. Outre les autres services de confiance tels que le cachet électronique ou l’horodatage, en France l’unité de mesure des signatures électroniques se compte en dizaines de millions. Les actes authentiques électroniques des notaires ont commencé en 2008 et leur passation, traditionnellement en présence physique du ou des notaires, vient d’être consacrée à distance en raison de l’épidémie de #Covid-19 (décret du 3 avril 2020) Les secteurs d’activité sont très variés : opérations de banque et finance, assurances, achats et ventes de marchandises et services ; le BtoB comme le BtoC, mais aussi la sphère publique, notamment les signatures dans les commandes publiques. Pourtant, certaines jurisprudences, certes minoritaires, restent encore hésitantes dans la mesure où il existe encore des juges qui éprouvent de la défiance face au progrès du numérique, s’inscrivant ainsi en contre des usages numériques et du « sens de l’histoire ». Le droit a consacré l’#équivalence juridique des supports utilisés sous réserve de respecter les fonctionnalités juridiques intrinsèques des instruments : écrit, signature, exemplaire original, copie, formalisme des mentions, etc. Ont été posées les fondations juridiques de l’écrit et de la signature électroniques aux articles 1316-1 et 1316-4 du code civil en alignant la valeur probatoire de l’écrit et de la signature électroniques sur celle du papier. Donc, double équivalence : fonctionnelle et des supports utilisés. 2) Que disent les textes ? Après la loi du 13 mars, les textes d’application sur la preuve ont précisé la présomption de fiabilité attribuée à la signature électronique (Décret n°2001-272 du 30 mars 2001, désormais abrogé), l’évaluation et la certification de la sécurité des produits (Décret n°2002-535 du 18 avril 2002). Ensuite, la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) a introduit dans le code civil la validité des actes juridiques par les articles 1108-1 et suivants du Code civil en renvoyant tout simplement aux articles 1316-1 et 1316-4, comme d’ailleurs l’article relatif au nombre d’exemplaires d’originaux (ancien art. 1325, al .5 et nouvel art. 1375). Il reste que seuls les actes sous seing privé portant sur le droit de la famille et les sûretés réelles et personnelles étaient et sont encore exclus de la digitalisation, contrairement aux actes authentiques. Par la suite, le code de procédure civile a été modifié pour prendre en compte la vérification d’écriture électronique (art. 287 et 288-I du CPC). En 2012, la Commission européenne a lancé le processus de révision de la signature en élargissant le périmètre du champ d’application et en changeant la nature juridique de l’instrument. Et le 23 juillet 2014, le Règlement eIDAS est né : il abroge la directive de 1999 et traite de la gestion d’identité numérique et des services de confiance (signature, cachet électronique, horodatage, envois recommandés et certificat d’authentification de site web). L’ordonnance du 10 février 2016 a changé la numérotation des articles du code civil sans grande modification sur le fond : les articles 1316-1 et 1316-4 sont devenus les articles 1366 et 1367. Dans le prolongement du règlement, le décret du 28 septembre 2017 pris en application de l’article 1367, dispose : « La fiabilité d'un procédé de signature électronique est présumée, jusqu'à preuve du contraire, lorsque ce procédé met en œuvre une signature électronique qualifiée. Est une signature électronique qualifiée une signature électronique avancée, conforme à l'article 26 du règlement susvisé et créée à l'aide d'un dispositif de création de signature électronique qualifié répondant aux exigences de l'article 29 dudit règlement, qui repose sur un certificat qualifié de signature électronique répondant aux exigences de l'article 28 de ce règlement ». On observera en cet endroit le renvoi au règlement européen, alors qu’il n’en est rien pour les autres services de confiance étant donné que le règlement est d’application directe. A ce stade, il est fondamental de rappeler que la loi et le règlement eIDAS n’exigent pas l’utilisation de la signature électronique qualifiée pour la validité et la preuve de l’acte juridique en cause. Ce niveau élevé de signature se contente d’établir une #présomption (simple) de fiabilité du procédé de signature utilisé. Sans le bénéfice de cette présomption, il appartiendra à celui qui se prévaut de la signature électronique d’en établir la fiabilité devant le juge. 3) Une tendance jurisprudentielle à reconnaître la valeur des signatures La première véritable décision...

Les transferts des données vers les USA après l’annulation du Privacy Shield

Les transferts des données vers les USA après l’annulation du Privacy Shield
Le #RGPD a renforcé l’encadrement du transfert de données personnelles hors de l’UE, toutefois, force est de constater que les outils mis en place ne sont pas suffisants. Telle est la position adoptée par la Cour de Justice de l’Union Européenne (CJUE) dans son Arrêt du 16 juillet 2020. Cette Chronique de Me Isabelle CANTERO et de Eric A. CAPRIOLI, avocats associés du Cabinet Caprioli & Associés, est la reprise de l’article publié dans les chroniques de l’Usine Digitale Annulation du Privacy Shield : quelles conséquences sur les transferts de données vers les USA publiée le 30 juillet 2020. Petit rappel quant aux outils permettant de transférer des données hors de l’UE Le transfert de données personnelles depuis l’UE est libre vers 10 pays tiers sous décision d’adéquation de la Commission européenne (Andorre, Argentine, Canada (entreprises commerciales), Iles Feroe, Guernesey, Ile de Man, Japon, Jersey, Nouvelle Zélande, Suisse et Uruguay), cette décision permettant de constater que le pays destinataire des données présente un niveau de protection équivalent à celui de l’UE. Cas particulier, le Safe Harbor, décision d’adéquation sectorielle accordée à certaines entreprises américaines relevant de la Federal Trade Commission a été invalidé par la CJUE en 2015, pour être remplacé en 2016 par le Privacy Shield qui vient de connaître le même sort. En l’absence de décision d’adéquation, les exportateurs européens de données (responsable du traitement ou sous-traitant) sont tenus d’adopter des garanties appropriées telles que les clauses contractuelles types de la Commission européenne, les règles d’entreprise contraignantes (BCR), l’adhésion à un code de conduite … qui ne nécessitent pas non plus d’autorisation préalable de l’autorité de contrôle. Les données du problème Suite à l’invalidation du Safe Harbor, pour pouvoir transférer à Facebook Inc. les données personnelles de ses utilisateurs situés sur le territoire de l’UE, Facebook Ireland a eu recours aux clauses contractuelles types de la Commission européenne (Décision 2010/87/UE de la Commission du 5 février 2010, modifée par la Décision d’exécution (UE) 2016/2297 du 16 décembre 2016). Or, dans le cadre des programmes de surveillance de masse (PRISM et UPSTREAM) notamment, la règlementation américaine (Foreign Intelligence Surveillance Act et Décret présidentiel EO-12333) permet à certaines autorités publiques (FBI, NSA, CIA) d’accéder aux données personnelles transférées à des fins commerciales (métadonnées et contenus des communications). Nonobstant les exigences relatives à la sécurité nationale invoquées, s’est posée la question de savoir si la limitation du pouvoir conféré aux autorités publiques américaines permettait de garantir le respect d’un niveau de protection des données personnelles transférées équivalent à celui de l’UE. Les décisions de la CJUE A noter, chacune des décisions de la CJUE se fonde sur le RGPD (art. 45) et sur la Charte des droits fondamentaux de l’Union européenne (art. 7, 8, 47 et 52). Tout d’abord, la CJUE a validé la décision de la Commission européenne relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers. Pour autant cette validation est conditionnelle. En effet, la Cour impose au responsable du traitement ou au sous-traitant établis dans l’UE de prendre des mesures supplémentaires dans le cas où la réglementation du pays de l’importateur des données comporterait des mesures contraires aux clauses types. A défaut, le responsable du traitement ou le sous-traitant, et, à titre subsidiaire, l’autorité de contrôle compétente « sont tenus de suspendre ou de mettre fin au transfert de données vers le pays tiers concerné ». En second lieu, la CJUE a invalidé la décision d’adéquation portant sur le Privacy Shield, jugé incompatible avec les exigences d’adéquation posées par le RGPD. D’une part, la Cour estime que la réglementation américaine relative aux programmes de surveillance massive menés par les autorités publiques entrainait des limitations de la protection des données personnelles transférées depuis l’UE et qu’elles étaient non conformes aux exigences minimales attachées au principe de proportionnalité. Elle relève en outre que cette règlementation ne confère pas non plus aux personnes concernées de droits opposables aux autorités américaines devant les tribunaux. D’autre part, la Cour remet en cause le mécanisme de médiation prévu par le Privacy Shield en ce qu’il ne permet pas de garantir aux personnes non américaines le droit à un recours effectif à accéder à un tribunal impartial. Un premier retour du Comité Européen à la Protection des données (CEPD) Dans ses FAQ publiées sur son site le 23/07/2020, le CEPD revient sur les conséquences de cet arrêt. Conséquence 1 Les transferts vers les entreprises américaines relevant du Privacy Shield (GOOGLE, AWS, MICROSOFT…, fort nombreuses et souvent incontournables) sont désormais interdits. Conséquence 2 En ce qui concerne les clauses contractuelles types, l’arrêt de la CJUE a une portée qui va au-delà des US ; le CEPD estime en effet qu’il incombe à l’exportateur et à l’importateur de données d’évaluer si le niveau de protection du pays tiers concerné est substantiellement équivalent à celui de l’UE afin de déterminer si les garanties appropriées pourront être respectées dans la pratique. Conséquence 3 Toutes les garanties appropriées prévues par le RGPD sont impactées en ce compris les BCR, quand bien même leur validation par le CEPD … Conséquence 4 Pour les USA comme pour tout autre pays tiers dont la règlementation n’assure pas un niveau de protection...
Contrat, parasitisme et logiciel libre

Contrat, parasitisme et logiciel libre

Les décisions judiciaires relatives aux licences libres sont rares. Sans doute que les litiges portant sur ces questions ne prospèrent que rarement en dehors de la Communauté. Le Droit n’apparaît pas a priori comme la solution adaptée à ce type de problème. A tort ou à raison. Régulation du libre : importance de la Communauté La plupart du temps, le développement des logiciels libres se fonde sur un mode d’organisation coopératif. Les développeurs ne sont en principe pas inscrits dans la même organisation (sauf Société de Services de Logiciel Libre), sont dispersés. Il n’existe pas d’interaction directe, codifiée et prescrite entre les développeurs du logiciel. En principe, toute personne peut donc fournir une contribution et participer à l’élaboration du code source du module libre. Ce mode de fonctionne génère des contributions nombreuses, améliore le repérage des erreurs par les utilisateurs, et autorise des corrections plus rapides. La seule régulation juridique expresse a trait à l’intégration d’une licence d’utilisation propre au module (ou déjà existante). Elle n’est pas perçue a priori par la Communauté comme un contrat mais plus comme un instrument de gestion des usages du logiciel. Les communautés peuvent se constituer et trouver, autour du logiciel créé, des motivations comme le refus, a priori, de plans de développement, ainsi qu’une division des tâches souvent rigide. Cette absence de règles précises avec un découpage des rôles et par là des propriétés permettrait l’appropriation collective. Toutefois, plus un logiciel libre a de succès, plus la Communauté s’organise (avec des rôles et des attributions différentes en tant que Contributeurs). Si un éditeur logiciel tente de s’approprier indument le code source normalement déployé dans une Communauté sans lui reverser le code source développé (certains créent des forks sans se soucier des obligations découlant de la licence libre d’origine par exemple), la Communauté pointe du doigt les pratiques de cet éditeur, ce qui peut avoir pour effet de restreindre les contributions et ainsi rendre le fork bien moins attractif. Il s’agit d’une mesure forte de rétorsion dans le cadre de cet écosystème. Mais parfois, cela ne suffit pas... Mais on peut avoir besoin de Droit... Le 21 juin 2019, le Tribunal de Grande Instance de Paris a estimé qu’une licence relative à un logiciel libre est un contrat et a ainsi jugé irrecevable l’action en contrefaçon. Dans le cadre d’un appel d’offre en vue de la conception et réalisation du portail « Mon service Public » pour l’Agence pour le Gouvernement de l’administration électronique, la société Orange a proposé une solution comprenant l’interfaçage de la plate-forme IDMP avec la bibliothèque logicielle Lasso, éditée par la société Entr’ouvert, éditeur de logiciels dédiés à la gestion de l’identité numérique, sous licence libre GNU GPL version 2. Or, cette dernière a estimé que l’opérateur Orange n’avait pas respecté les termes de la licence, et l’a assigné en contrefaçon de droit d’auteur en fondant son action sur la responsabilité délictuelle. Le tribunal rappelle que la violation des droits de l’auteur est sanctionnée par la contrefaçon, tout en jugeant que « les modalités particulières d’usage pour permettre l’utilisation du logiciel conformément à sa destination, par la personne ayant le droit de l’utiliser sont aménagées, selon l’alinéa 2 de l’article L122-6-1 du Code de la Propriété Intellectuelle par contrat entre les parties. » En l’occurrence, « ce contrat est un contrat d’adhésion ». Dès lors, la relation entre la société Entr’ouvert et les sociétés Orange est de nature contractuelle. La tendance jurisprudentielle démontre que l’inexécution contractuelle d’un contrat de licence de logiciel ne relève pas de la responsabilité délictuelle, et en conséquence, l’action en contrefaçon est bien souvent écartée car seul l’auteur du logiciel peut agir sur ce fondement comme le démontre la décision de la Cour d’Appel de Paris du 16 septembre 2009. Pour sanctionner les juges renvoient vers la notion de responsabilité contractuelle. En résumé, une licence est un contrat et serait même un Contrat d’adhésion. Or, les clauses d’une licence (soumises a priori au droit français) pourraient être censurées au motif d’un déséquilibre significatif entre les parties. En outre, il convient de savoir QUI sont les parties car seules ces dernières peuvent agir sur le fondement de la responsabilité contractuelle. On peut aussi penser qu’un autre contrat existe entre Orange et Entr’ouvert (contrat de développement, contrat de partenariat…) qui constitue la base effective de leurs relations. Il faut donc savoir exactement quelles sont les licences de logiciels libres utilisés pour déterminer les obligations respectives des acteurs, mais également le droit applicable si l’auto-régulation de la Communauté ne fonctionne pas. Parasitisme : une solution pour les sociétés de logiciel libre Mais cette décision a un autre intérêt qui pourrait passer inaperçue. Outre le volet contractuel, une Société de services de logiciel libre flouée par un éditeur logiciel peu scrupuleux pourrait recourir au fondement du parasitisme. Il se définit juridiquement comme le fait de se placer dans le sillage d'autrui afin de profiter indûment des efforts de création et/ou d'investissements de son concurrent, ou même de sa notoriété. Dans cette hypothèse, un éditeur de logiciel propriétaire utiliserait les codes sources à son propre compte sans les reverser à la communauté, se les appropriant dans le cadre d’un Fork par exemple. L’interdépendance voire même l’intrication des logiciels (l’un étant développé à partir de l’autre avec...

Doit-on conserver sous forme papier les justificatifs des notes de frais ?

Doit-on conserver sous forme papier les justificatifs des notes de frais ?
Cet article est une reprise de l’article publié dans les colonnes de l’Usine Digitale : Doit-on conserver sous forme papier les justificatifs des notes de frais ?, publié le 20 août 2019. Cette question a longtemps constitué un serpent de mer pour les entreprises. Les fraudes à la note de frais sont nombreuses (notamment pour les entreprises dont les collaborateurs se déplacent souvent) et la jurisprudence sanctionne régulièrement l’employeur qui ne rapporte par la réalité des frais engagés. Ce dernier risque de subir un redressement par l’URSSAF. Ainsi, parmi les multiples exemples jurisprudentiels qui démontrent ce besoin de prouver la réalité des frais engagés, la Cour d’Appel d’Amiens dans une décision du 25 février 2016 a considéré : « dans sa lettre du 23 novembre 2011, l'inspecteur de l'URSSAF a rappelé à la société cotisante qu'il avait sollicité les notes de frais, les photocopies des cartes grises des véhicules, les justificatifs de péages, ainsi que les factures d'entretien des dits véhicules mais qu'il n'avait reçu que des justificatifs partiels et qu'aucune réponse ne lui avait été fournie sur l'utilisation d'une carte de carburant. Il ne peut en effet être considéré que les relevés de frais produits pour les années 2009 et 2010 qui ne comportent que des renseignements succincts (dates, lieux, nombres de kilomètres) constituent des pièces justifiant suffisamment du caractère professionnel des frais kilométriques supplémentaires engagés par le dirigeant de l'entreprise avec son véhicule personnel. Par conséquent, le redressement opéré doit être maintenu et il y a lieu de confirmer le jugement déféré en toutes ses dispositions ». Les sanctions pécuniaires peuvent donc être conséquentes et les procédures de gestion des justificatifs, notamment des originaux, des notes de frais génèrent complexité et risques importants pour les entreprises. La révolution induite par la loi de financement de la Sécurité sociale pour 2019 La loi de financement de la Sécurité sociale pour 2019 est venue introduire l’article L.243-16 du Code de la sécurité sociale. Il crée l’obligation pour les employeurs de conserver, pendant au moins 6 ans à compter de la date à laquelle ils ont été établis ou reçus, « les documents ou pièces justificatives nécessaires à l’établissement de l’assiette ou au contrôle des cotisations et contributions sociales ». Ces éléments peuvent être exigés dans le cadre d’un contrôle de l’URSSAF. Le deuxième alinéa de cet article dispose que « Lorsque les documents ou pièces sont établis ou reçus sur support papier, ils peuvent être conservés sur support informatique ». En outre, les modalités de numérisation sont prévues dans un arrêté établi par le ministre chargé de la sécurité sociale. La gestion des justificatifs peut donc être désormais effectuée par voie électronique, ce qui peut constituer une avancée notable pour les entreprises tant à des fins comptables que fiscales. Comment réaliser une numérisation probante ? L’arrêté du 23 mai 2019 fixe les modalités de numérisation des pièces et documents établis ou reçus sur support papier. Il dispose en son article 1er que « Le transfert des pièces justificatives et documents établis originairement sur support papier vers un support informatique et l’archivage numérique sont réalisés dans les conditions et garanties prévues à l’article A. 102 B-2 du Livre des procédures fiscales ». C’est une bonne nouvelle : ce renvoi à des dispositions existantes laisse présumer une meilleure opérationnalité. Cet article s’applique à la numérisation des factures papier. Dès lors, les mêmes causes produisent les mêmes effets et des interrogations communes se posent désormais. Les justificatifs à l’appui des notes de frais doivent être strictement reproduits à l’identique de la copie originale, c’est-à-dire qu’il ne doit y avoir aucune modification, même mineure (pas de flou, pas de filtre, pas de recadrage, et pas de modification de couleurs, puisque les couleurs doivent être retranscrites à l’identique). Les justificatifs numérisés doivent impérativement être enregistrés sous format PDF ou PDF A/3, et sans compression de fichier. Toutefois, si la compression est nécessaire, elle doit être effectuée sans perte de qualité (Art A.102 B-2 I, alinéa 3 LPF). La numérisation des justificatifs des notes de frais doit être sécurisée au moyen : d’un cachet serveur fondé sur un certificat conforme, au moins, au référentiel général de sécurité de niveau une étoile ; d’une empreinte numérique ; d’une signature électronique fondée sur un certificat conforme, au moins, au référentiel général de sécurité de niveau une étoile ; ou de tout dispositif sécurisé équivalent fondé sur un certificat délivré par une autorité de certification figurant sur la liste de confiance française. En outre, chaque fichier doit être horodaté, au moins au moyen d'une source d'horodatage interne, afin de dater les différentes opérations réalisées. Quel archivage ? L’archivage numérique peut être effectué par l’employeur ou par un tiers. Ces opérations doivent être définies selon une organisation documentée, faisant l’objet de contrôles internes, permettant d’assurer la disponibilité, la lisibilité et l’intégrité des documents ainsi numérisés pendant toute la durée de conservation. Pour ce faire, le recours à un prestataire de service d’archivage conforme aux différents référentiels existants (Norme Z42-013 ou Z 42-026, coffre fort numérique...) serait un avantage indéniable. Certains prestataires au sein de la Fédération des Tiers de Confiance comme COFFREO, CECURITY.COM ou XELIANS fournissent des solutions d’archivage particulièrement fiables et...