Le Blog Level Up Legal

Auteur : François Coupez

OIVSécurité des systèmes d'information

Nos anciens articles (mai 2015) – Jurisprudence vol de données : un train de retard ?

François Coupez 924 Views 1 min read

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de « vol » appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de « l’affaire Bluetouff ».

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

« soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

En savoir plus...
Protection des données à caractère personnel

Nos anciens articles (mai 2015) – CNIL, anonymisation et décisions de justice : évitons la caricature !

François Coupez 795 Views 6 min read

Le 11 mars 2015, le Conseil d’Etat a enjoint la Commission Nationale Informatique et Libertés (CNIL) de procéder à l’anonymisation du nom d’une société citée dans une de ses décisions, la seule société E.[1], cette dernière n’ayant pas fait l’objet de la sanction prononcée : elle n’opérait qu’en tant que fournisseur de la solution technique dont l’utilisation était l’objet du litige.

Cette solution a pu provoquer un certain trouble, c’est peu de le dire, lié au fait que la CNIL dispense elle-même les règles à adopter en matière d’anonymisation des décisions de justice.

Mais est-ce aussi simple ? Et la décision du Conseil d’Etat est-elle aussi surprenante ? (…)

En savoir plus...
Droit social et nouvelles technologiesProtection des données à caractère personnel

Nos anciens articles (avril 2015) – Les data issues des objets connectés du salarié, objets de convoitise ?

François Coupez 840 Views 7 min read

Nous avions évoqué l’évolution de la notion du BYOD dans l’entreprise dans notre premier billet du triptyque, intitulé Les défis du BYOD face à la transition numérique de l’entreprise”. La pratique s’est surtout développée aux USA, où les entreprises y ont vu un élément d’attractivité et d’image auprès des plus jeunes candidats et collaborateurs, tout en comprenant les avantages financiers qu’elles pouvaient en tirer.
En revanche, l’intégration dans les entreprises françaises ne s’est pas véritablement opérée. Le plus souvent, le phénomène a mué vers le développement du COPE (“Corporate Owned, Personnaly Enabled”), en raison de contraintes culturelles, sociales, fiscales, sécuritaires.
Rien de révolutionnaire toutefois, puisque le COPE consiste simplement à agrandir le catalogue des terminaux informatiques fournis par l’entreprise et destinés à être connectés à son système d’information, tout en laissant une liberté plus grande au salarié concernant une utilisation faite à titre privé dudit terminal. 

Quel COPE pour les objets connectés ?

Si l’on étudie les conséquences de l’émergence prévisible des objets connectés dans l’entreprise (cf. notre second billet “Droit à la déconnexion et objets connectés”), la situation apparaît bien différente (…)

En savoir plus...
Secret d'affairesSécurité des systèmes d'information

Nos anciens articles (avril 2015) – Protection du secret des affaires : la contre-attaque du retour de la revanche ?

François Coupez 867 Views 0 min read

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

En savoir plus...
Commerce électroniqueDématérialisationSignature électronique

Une signature électronique trop vite présumée fiable ?

François Coupez 777 Views 9 min read

La juridiction de proximité de Nantes a rendu un jugement le 19 décembre 2014 concernant un litige sur le mauvais fonctionnement d’une connexion haut débit. Mais ce qui est intéressant dans cette décision n’est pas le fond de l’affaire – une décision parmi d’autres en matière de droit à la consommation – ni le fait que le tribunal valide l’utilisation par le demandeur de la solution « DemanderJustice.com », comme l’avait fait avant elle la juridiction de proximité d’Antibes le 7 mars 2013.

Ce qui nous intéresse ici est plutôt la qualification juridique opérée par le Tribunal de la solution de signature mise à disposition par le service DemanderJustice, et utilisée par le client. L’analyse des éléments de l’affaire, tout comme le fondement de la décision, montre ainsi une vision particulièrement floue de la solution de signature électronique utilisée, qui aurait mérité d’autres égards. D’autant que la qualification juridique opérée prête – inutilement ! – le flanc à une éventuelle cassation, avec les conséquences négatives que cela pourrait entraîner quant à la reconnaissance juridique de (…)

En savoir plus...
Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'information

Espionnage dans l’entreprise : le DSI prenait ses aises

François Coupez 1040 Views 11 min read

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du SI de l’employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiés. Quant aux administrateurs des systèmes informatiques, chargés en pratique s’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, certains d’entre eux abusent effectivement de leur droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoit de façon fréquente aux formalités « informatique et libertés » accomplies mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclation… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de (…)

En savoir plus...
Droit social et nouvelles technologies

Droit à la déconnexion et objets connectés

François Coupez 1029 Views 8 min read

Le “droit” à la déconnexion que nous évoquions à la fin de notre billet introductif Les défis du BYOD face à la transition numérique de l’entreprise” est un sujet récurrent depuis plus d’une quinzaine d’années. Il s’inscrit aujourd’hui avec d’autant plus d’urgence dans l’agenda des entreprises que la transition numérique devient le principal axe stratégique et que les nouveaux outils de communication semblent modeler une nouvelle organisation du travail.

Juridiquement, le “droit” à la déconnexion n’est pas (encore ?) un droit opposable à l’employeur, les magistrats de la Cour d’appel de Paris ayant par exemple refusé de le reconnaître en tant que tel dans une affaire le 23 novembre 2011 alors que le salarié invoquait sa violation. Néanmoins, (…)

Co-écrit avec Franck La Pinta.

En savoir plus...
Général

Nos anciens articles (décembre 2014) – Droit des nouvelles technologies: un droit en plein essor… mais au contenu imprécis ?

François Coupez 716 Views 10 min read
La question m’ayant été adressée à plusieurs reprises ces derniers temps, un billet semble utile pour décrire et tenter de circonscrire la notion de « droit des nouvelles technologies ». Est-ce une (nouvelle ?) matière en soi ? Que recouvre le terme ? Quels sont les domaines du droit concernés ? Petite synthèse…

[N’hésitez pas à me faire part de vos commentaires : le contenu de ce billet est destiné à être enrichi au cours du temps, en fonction notamment des remarques et observations que vous pourrez formuler]

Une précision tout d’abord : le « droit des nouvelles technologies », si la matière a acquis petit à petit ses lettres de noblesse, est une notion relativement récente, surtout par rapport à d’autres domaines juridiques (droit civil, droit administratif, etc.). Elle est apparue avec l’essor de l’informatique, notamment dans le domaine contractuel (contrat de mise à disposition de temps machine, de cession de matériel informatique, d’infogérance ou « facilities management » , etc.), si bien qu’on a pu parler à l’époque de « droit de l’informatique ». Historiquement très liée également avec la propriété intellectuelle (contrat de licences, etc.), elle n’a toutefois obtenu une véritable reconnaissance législative que plus récemment, avec l’adoption le 21 juin 2004 de la Loi pour la Confiance dans l’Economique Numérique  (LCEN), tout à la fois texte de référence existant en tant que tel et, dans le même temps (…)

En savoir plus...
Droit social et nouvelles technologies

Nos anciens articles (décembre 2014) – Les défis du BYOD face à la transformation numérique de l’entreprise

François Coupez 794 Views 6 min read

Cuddling with multiple devices Le BOYD – entendez le “Bring Your Own Device” ou en français dans le texte, le fait d’apporter son matériel personnel sur le lieu de travail et de travailler avec – semble paré de toutes les vertus. Il fait partie de ces “buzz words”, qui sont nés de l’identification d’une tendance émergente, pour prendre les apparences d’une pierre philosophale qui, frottée à l’entreprise, résoudrait tous ses problèmes : engagement et fidélisation du collaborateur, attractivité des candidats digital natives, image “cool” et 2.0 de l’entreprise, accélérateur de la transition numérique et économies substantielles.

Cette vision idyllique néglige bien souvent d’aborder les conséquences de cet usage, tant pour le collaborateur que pour l’employeur. Or l’un comme l’autre a des droits, mais également des devoirs. Et la question est d’autant plus d’actualité que le collaborateur ne travaille plus seulement avec sa tablette, son téléphone ou son ordinateur portable, mais également avec tous les autres outils de sa vie connecté, de son système de stockage personnel dans le Cloud aux dernières lunettes connectées qu’il vient d’acquérir (…)

Co-écrit avec Franck La Pinta.

En savoir plus...
Cloud ComputingContrats informatiques

Ancien article (novembre 2014) – En matière de Cloud computing, contrats et audits sont bons à marier…

François Coupez 714 Views 5 min read

Un petit billet sur le Cloud computing pour répondre publiquement à une remarque que l’on m’a faite récemment : « après tout, je suis sur le Cloud et alors, qu’est-ce que je risque ? Les solutions sont redondées et la sécurité meilleure que celle que je peux assurer en interne. Où est le problème ? »

Soyons clairs : une prestation par exemple en mode SaaS opérée dans le Cloud peut être un formidable accélérateur de business pour l’opérateur économique, bénéficiant ainsi des économies d’échelle, de puissance parfaitement adaptée à ses besoins, scalable, etc.

Il n’en reste pas moins qu’il ne faut pas confondre vitesse et précipitation, et le contrat tout comme l’audit des prestations peuvent se révéler essentiels, comme les deux exemples ci-dessous vont le montrer…

En savoir plus...