Le Blog Level Up Legal
ContratsDématérialisationSignature électronique

Signature électronique : un reboot pour enfin trouver son public ?

Level Up Legal 371 Views 27 min read

Le Parlement européen et le Conseil ont adopté le 23 juillet 2014 le règlement dit « identification et service de confiance » ou encore « règlement eIDAS »(1). Non seulement ce règlement se substituera le 1er juillet 2016 à la directive 1999/93/CE dite « signature électronique »(2) qui sera abrogée le jour même, mais il remplacera surtout directement les règles existantes des pays membres sur les sujets qu’il traite(3).

Son objectif : accomplir ce que la directive « signature électronique » n’a pas réussi, en renforçant la sécurité juridique en matière de transaction électronique, afin d’accroître la confiance de ses multiples utilisateurs et parvenir à un marché numérique unique via l’interopérabilité(4).

Le règlement ne s’est pas seulement contenté de creuser le sujet original traité par la directive de 1999. Il aborde également, dans un chapitre II ad hoc, une problématique annexe : celle de l’identification électronique permettant d’accéder à un service en ligne fourni par un organisme du secteur public dans un État membre (et notamment les conditions de reconnaissance mutuelle transnationale du schéma d’identification). C’est une des raisons qui explique l’embonpoint certain du texte, qui a tout de même triplé de volume par rapport à la directive de 1999 : 28 considérants et 15 articles dans la directive, contre 77 considérants et 52 articles dans le règlement de 2014 !

Dans le cadre de ce focus, nous ne traiterons pas du volet « identification électronique dans le secteur public », pour nous concentrer sur les services de confiance et en particulier la signature électronique. Par ailleurs, devant l’ampleur du sujet, il nous a semblé plus utile de nous concentrer sur certains aspects du texte, plutôt que de nous livrer à une simple énumération du détail de chacune des nouvelles règles.

Les développements qui suivent seront donc l’occasion d’un état des lieux – et des conséquences – des principales modifications prévues l’année prochaine. Pour en rendre la lecture plus digeste, nous avons décidé de vous proposer l’ensemble sous la forme de questions-réponses sur (…)

En savoir plus...
Protection des données à caractère personnel

Nos anciens articles (mai 2015) – CNIL, anonymisation et décisions de justice : évitons la caricature !

François Coupez 395 Views 6 min read

Le 11 mars 2015, le Conseil d’Etat a enjoint la Commission Nationale Informatique et Libertés (CNIL) de procéder à l’anonymisation du nom d’une société citée dans une de ses décisions, la seule société E.[1], cette dernière n’ayant pas fait l’objet de la sanction prononcée : elle n’opérait qu’en tant que fournisseur de la solution technique dont l’utilisation était l’objet du litige.

Cette solution a pu provoquer un certain trouble, c’est peu de le dire, lié au fait que la CNIL dispense elle-même les règles à adopter en matière d’anonymisation des décisions de justice.

Mais est-ce aussi simple ? Et la décision du Conseil d’Etat est-elle aussi surprenante ? (…)

En savoir plus...
Droit social et nouvelles technologiesProtection des données à caractère personnel

Nos anciens articles (avril 2015) – Les data issues des objets connectés du salarié, objets de convoitise ?

François Coupez 436 Views 7 min read

Nous avions évoqué l’évolution de la notion du BYOD dans l’entreprise dans notre premier billet du triptyque, intitulé Les défis du BYOD face à la transition numérique de l’entreprise”. La pratique s’est surtout développée aux USA, où les entreprises y ont vu un élément d’attractivité et d’image auprès des plus jeunes candidats et collaborateurs, tout en comprenant les avantages financiers qu’elles pouvaient en tirer.
En revanche, l’intégration dans les entreprises françaises ne s’est pas véritablement opérée. Le plus souvent, le phénomène a mué vers le développement du COPE (“Corporate Owned, Personnaly Enabled”), en raison de contraintes culturelles, sociales, fiscales, sécuritaires.
Rien de révolutionnaire toutefois, puisque le COPE consiste simplement à agrandir le catalogue des terminaux informatiques fournis par l’entreprise et destinés à être connectés à son système d’information, tout en laissant une liberté plus grande au salarié concernant une utilisation faite à titre privé dudit terminal. 

Quel COPE pour les objets connectés ?

Si l’on étudie les conséquences de l’émergence prévisible des objets connectés dans l’entreprise (cf. notre second billet “Droit à la déconnexion et objets connectés”), la situation apparaît bien différente (…)

En savoir plus...
Secret d'affairesSécurité des systèmes d'information

Nos anciens articles (avril 2015) – Protection du secret des affaires : la contre-attaque du retour de la revanche ?

François Coupez 491 Views 0 min read

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

En savoir plus...
Cloud ComputingContrats informatiques

Nos anciens articles (mars 2015) – Le Cloud et le faux sentiment d’être propriétaire des données / Cloud and the false sense of data ownership

Level Up Legal 336 Views 9 min read

Le phénomène du Cloud ne permet que difficilement aux grandes entreprises, mais aussi les PME et TPE de prendre conscience de leurs responsabilités concernant leurs données.

Toutefois, ce sentiment est purement psychologique et en rien juridique.

La propriété des données est la question centrale. La notion de propriété des données est également en train d’évoluer.

Même lorsqu’elle utilise les potentialités offertes par le Cloud, l’entreprise reste toujours responsable du traitement des données à caractère personnel conformément aux textes européens (actuels et à venir).

The phenomenon of cloud computing does not give a sense of responsibility for large enterprises and small and mid-cap companies.

This feeling is purely psychological and not legal.

Ownership is the key issue. The notion of ownership is also moving.

Even when using cloud computing services, the corporation is still responsible for processing (…)

En savoir plus...
CyberdéfenseInterventions Level Up LegalLevel Up dans les médiasProtection des données à caractère personnelSécurité des systèmes d'information

Nos anciens articles (février 2015) – Transformation numérique et risques juridiques: à découvrir sur butter-cake.com !

Level Up Legal 487 Views 0 min read

Youmna Ovazza, grande expert des problématiques de transformation numérique et qui propose sur son blog, avec brio et entrain, des nourritures digitales pour l’esprit, s’est penchée sur le sujet de la cybersécurité dans le cadre de la transformation numérique. Elle a ainsi interviewé Diane Rambaldini et Hadi El Khoury, co-fondateurs du chapitre français de l’ISSA.

Elle a également interviewé François Coupez, Avocat à la Cour associé d’ATIPIC Avocat sur la transformation digitale et les risques juridiques.

A noter : les agences de notation auront prochainement un critère de notation lié au risque et aux mesures prises par les entreprises pour lutter contre la cyber criminalité. Une incitation à l’action certaine pour ceux qui ne sont pas encore sensibilisés au sujet !

Crédits photo : © Thomas R. – Fotolia.com

En savoir plus...
Droit social et nouvelles technologiesSécurité des systèmes d'information

SMS présumés professionnels par la chambre commerciale: que dit la chambre sociale ?

Level Up Legal 370 Views 1 min read

On parle beaucoup ces derniers jours de la décision de la Cour de cassation du 10 février 2015 dans l’affaire opposant deux sociétés de courtage financier (GFI Securities Limited et Newedge Group), concernant l’accusation de désorganisation de l’activité et de débauchage d’un grand nombre de salariés de la seconde par la première.

Dans cette affaire, la chambre commerciale a décidé que les SMS « envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ». En l’espèce, n’étant pas identifiés comme personnels, les SMS présumés professionnels pouvaient être produits en justice par Newedge.

Question cependant : cette décision a été rendue par la Chambre commerciale de la Cour de cassation. Or, c’est la chambre sociale qui fixe ce type de principes. Peut-on anticiper une opposition de deux chambres et donc des solutions différentes en fonction des contentieux, comme cela a déjà pu arriver dans d’autres sujets ?

[edit] C’est la question qui est traitée dans « l’addition du mois » de la Newsletter ATIPIC de mars/avril 2015, qui vient de paraître.

Pour recevoir gratuitement ce numéro, il vous suffit (…)

En savoir plus...
Commerce électroniqueDématérialisationSignature électronique

Une signature électronique trop vite présumée fiable ?

François Coupez 417 Views 9 min read

La juridiction de proximité de Nantes a rendu un jugement le 19 décembre 2014 concernant un litige sur le mauvais fonctionnement d’une connexion haut débit. Mais ce qui est intéressant dans cette décision n’est pas le fond de l’affaire – une décision parmi d’autres en matière de droit à la consommation – ni le fait que le tribunal valide l’utilisation par le demandeur de la solution « DemanderJustice.com », comme l’avait fait avant elle la juridiction de proximité d’Antibes le 7 mars 2013.

Ce qui nous intéresse ici est plutôt la qualification juridique opérée par le Tribunal de la solution de signature mise à disposition par le service DemanderJustice, et utilisée par le client. L’analyse des éléments de l’affaire, tout comme le fondement de la décision, montre ainsi une vision particulièrement floue de la solution de signature électronique utilisée, qui aurait mérité d’autres égards. D’autant que la qualification juridique opérée prête – inutilement ! – le flanc à une éventuelle cassation, avec les conséquences négatives que cela pourrait entraîner quant à la reconnaissance juridique de (…)

En savoir plus...
Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'information

Espionnage dans l’entreprise : le DSI prenait ses aises

François Coupez 477 Views 11 min read

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du SI de l’employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiés. Quant aux administrateurs des systèmes informatiques, chargés en pratique s’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, certains d’entre eux abusent effectivement de leur droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoit de façon fréquente aux formalités « informatique et libertés » accomplies mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclation… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de (…)

En savoir plus...
Cloud ComputingContrats informatiquesLevel Up dans les médias

Nos anciens articles (janvier 2015) – Encadrement juridique du Cloud : comment éviter l’orage ?

Level Up Legal 416 Views 0 min read

Consultez la chronique juridique mensuelle de Me François Coupez, Avocat associé d’ATIPIC Avocat, sur silicon.fr.

Ce mois-ci : le Cloud computing et le contrat, passage en revue de quelques précautions à prendre pour éviter l’orage.

 » (…) Alors que, selon les chiffres du cabinet PAC (CloudIndex), les organisations françaises passent majoritairement au Cloud, 30 % seulement d’entre elles ont mis en place une stratégie Cloud. L’approche reste donc encore majoritairement opportuniste. Et qui dit approche opportuniste, dit très souvent risques (notamment juridiques) mésestimés. (…) »

Crédits photo : @ alphaspirit – Fotolia.com

En savoir plus...