Parution de la lettre JTTIL 211 – Octobre 2020

JTTIL 211

Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 211) :

  • Avancées de l’IA de défense et enjeux juridiques
  • Téléchargement illicite : le logiciel de P2P « Emule » enfin mis à jour
  • L’émergence d’un cloud souverain européen : Gaia-X
  • Neutralité de l’internet : première décision de la CJUE
  • Limitation du crédit impôt recherche aux sous-traitants
  • Arrivée de la 5G en France : les grandes manœuvres sont lancées
  • La Cnil publie une Charte des contrôles
  • Les outils pour lutter contre les difficultés des PME
  • Les contrats cloud Microsoft rattrapés par le RGPD
  • Invalidation du Privacy Shield : quelles conséquences pour les entreprises ?
  • COVID-19 : nouveau protocole national pour les entreprises
  • etc.

 De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 211

  • La condamnation de British Airways à 20 millions de livres sterling au titre du RGPD ;  infraction au chiffrement des données ; nouveau guide ANSSI sur la gestion de crise cyber ; Proposition de loi sur l’image des mineurs sur les plateformes en ligne ; lignes directrices et recommandations Cnil sur les cookies et autres traceurs ; proposition de loi sur l’encadrement du télétravail, etc.

JurisTendances Télécoms Informatique & Libertés (JTTIL 211) , Octobre 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet.



L’algorithme DataJust ne figera pas les indemnisations de préjudices

algorithme DataJust

L’algorithme DataJust vise à élaborer un référentiel « indicatif » d’indemnisation des préjudices corporels en cas d’accident, agression ou autres.

Ce référentiel se borne en effet, à « évaluer la possibilité d’élaborer un référentiel indicatif d’indemnisation des chefs de préjudices corporels extra-patrimoniaux, tels que les souffrances endurées ou le préjudice esthétique » a précisé le ministère de la Justice.

Il répondait à une question parlementaire (1) des sénateurs Jean-Marie Mizzon (Moselle – UC) et Jean-Pierre Sueur (du Loiret – SOCR) inquiets de voir s’instaurer une justice mécanisée.

Rappelons que le décret entré en vigueur le 30 mars 2020 (2) a autorisé la conception de l’algorithme Datajust afin de permettre de réaliser des évaluations de préjudices corporels ainsi qu’un référentiel indicatif d’indemnisation.

Le ministère se veut rassurant. Il précise qu’il s’agit d’un référentiel « purement indicatif et qui aurait vocation à être réévalué régulièrement ». Il répond à « l’absence, pour l’heure, d’outil officiel, gratuit et fiable à disposition des publics concernés (victimes, assureurs, fonds d’indemnisation, avocats, magistrats) ».

L’algorithme DataJust répond au besoin de transparence

Et d’ajouter que « loin de remplacer les professionnels du droit par des algorithmes, ce référentiel indicatif vise à mieux les informer, ainsi que les victimes qu’ils sont amenés à conseiller, sur le montant de la réparation que ces victimes sont susceptibles d’obtenir devant les juridictions – à l’instar du référentiel inter-cours ou des bases de données de jurisprudence actuellement utilisées par les praticiens ».

De plus, selon le ministre, « loin de figer les indemnisations ou de porter atteinte à l’individualisation de la réparation, ce projet vise, in fine, à permettre une plus juste indemnisation des victimes dans le respect total de l’indépendance du juge, et de manière transparente ».

Le référentiel DataJust répond au besoin de transparence de tout justiciable. Ce dernier souhaite connaître le prix moyen de tel ou tel préjudice, dans telle ou telle circonstance. De ce point de vue, l’algorithme DataJust apporte un sentiment d’équité, puisque quel que soit le juge saisi, et l’assureur du responsable, l’évaluation sera la même (3).

Pour autant, il ne faut pas minimiser le risque d’aboutir à une certaine forme d’uniformisation des indemnisations.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Réponse publiée au JO(Q) Sénat du 1er octobre 2020, page 4461.
(2) Voir notre article « L’algorithme DateJust d’évaluation des préjudices » du 21 avril 2020.
(3) Voir le blog d’Éloïse Haddad Mimoun sur Predictice.




Licenciement économique face à la crise liée à la COVID-19

Licenciement économique Face à la crise économique liée à la COVID-19, certaines entreprises sont contraintes de déclencher une procédure de licenciement économique.

Licenciement économique et COVID-19

Certains secteurs d’activité sont fortement impactés par la crise économique liée à la COVID-19. Bien que le gouvernement propose des solutions permettant de palier les difficultés économiques ainsi rencontrées, comme l’activité partielle ou encore le report des cotisations, il n’en demeure pas moins que certaines entreprises sont contraintes d’activer la procédure de licenciement économique.

Qu’est-ce qu’un licenciement économique ?

Le code du travail définit le licenciement économique comme le licenciement effectué par un employeur pour un ou plusieurs motifs non inhérents à la personne du salarié résultant d’une suppression ou transformation d’emploi ou d’une modification, refusée par le salarié, d’un élément essentiel du contrat de travail, constitutives notamment à :

  • des difficultés économiques caractérisées par l’évolution significative d’au moins un indicateur économique tel qu’une baisse des commandes ou du chiffre d’affaires, des pertes d’exploitation ou une dégradation de la trésorerie ou de l’excédent brut d’exploitation ou tout autre élément de nature à justifier de ces difficultés ;
  • des mutations technologiques ;
  • une réorganisation de l’entreprise nécessaire à la sauvegarde de sa compétitivité ;
  • la cessation d’activité de l’entreprise.

Le licenciement économique doit être motivé et justifié par une cause réelle et sérieuse. Quelle est la procédure du licenciement économique ?

La procédure en cas de licenciement économique se distingue en fonction du nombre de salariés concernés.

Licenciement économique individuel

L’employeur doit respecter la procédure suivante :

  • effectuer des recherches de reclassement pour le salarié concerné ;
  • fixer l’ordre des licenciements ;
  • convoquer le salarié à un entretien préalable par lettre recommandée avec accusé de réception ou remise en main propre ;
  • Pour les entreprises comptant moins de 1.000 salariés et les entreprises en redressement ou liquidation judiciaire quel que soit leur effectif :
    • obtenir la transmission par Pôle emploi des documents relatifs au contrat de sécurisation professionnelle ;
    • 5 jours ouvrables après la première présentation de la lettre de convocation, tenir l’entretien préalable et remettre au salarié les documents relatifs au CSP, contrat de sécurisation professionnelle – le salarié bénéficie d’un délai de réflexion de 21 jours pour accepter ou refuser ;
    • 7 jours ouvrables (non-cadre) ou 15 jours ouvrables (cadres) après l’entretien préalable, notifier le licenciement par lettre recommandée avec accusé de réception ;
    • [lorsque le délai du CSP n’est pas expiré] adresser au salarié une lettre recommandée avec accusé de réception lui rappelant la date d’expiration du délai de 21 jours pour répondre à la possibilité de bénéficier du contrat de sécurisation professionnelle et en lui précisant qu’en cas de refus, la lettre constitue la notification de son licenciement ;
    • 8 jours après la notification, informer la DIRECCTE (Direction régionale des entreprises, de la concurrence, de la consommation, du travail et de l’emploi) du licenciement.
  • Pour les entreprises comptant au moins 1.000 salariés
    • 5 jours ouvrables après la première présentation de cette lettre, tenir l’entretien préalable et présenter au salarié le congé de reclassement ;
    • 7 jours ouvrables (non-cadre) ou 15 jours ouvrables (cadres) après l’entretien préalable, envoyer la lettre de licenciement et proposer le congé de reclassement et l’informer de son délai de réflexion de 8 jours par lettre recommandée avec accusé de réception ;
    • 8 jours maximum après l’envoi de cette lettre, informer la DIRECCTE du licenciement par écrit.

A noter que lorsque la personne concernée est un salarié protégé, il convient d’obtenir l’autorisation de l’inspection du travail.

Licenciement économique collectif

  • Licenciement économique à l’égard de 2 à 9 salariés dans une même période de 30 jours

La procédure exposée ci-dessus s’applique également (reclassement, ordre de licenciement, entretien préalable, convocation, information de la DIRECCTE).

Deux précisions doivent être apportées :

    • le licenciement est notifié 7 jours ouvrables après l’entretien préalable (cadre et non cadre) ;
    • le comité social et économique est informé et consulté pour les entreprises d’au moins 11 salariés.
  • Licenciement économique à l’égard de plus de 10 salariés dans une même période de 30 jours
    • Pour les entreprises de moins de 50 salariés, dotées d’un CSE, celui-ci doit être convoqué à deux reprises. En l’absence de CSE, la procédure classique s’applique mais les délais diffèrent. A noter que dans les deux cas, la DIRECCTE doit être informée du projet de licenciement avant l’envoi de la lettre de licenciement.
    • Pour les entreprises d’au moins 50 salariés, l’employeur peut décider de recourir à la négociation pour la mise en œuvre d’un projet de licenciement économique portant sur au moins 10 salariés sur une même période de 30 jours. Le licenciement doit comprendre un plan de sauvegarde de l’emploi.

Le ministère du Travail a publié des questions/réponses sur la rupture du contrat.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Art. L.1233-3 du Code du travail : « Le code du travail définit le licenciement économique comme le licenciement effectué par un employeur pour un ou plusieurs motifs non inhérents à la personne du salarié résultant d’une suppression ou transformation d’emploi ou d’une modification, refusée par le salarié, d’un élément essentiel du contrat de travail, constitutives notamment à des difficultés économiques, à des mutations technologiques, à une réorganisation de l’entreprise nécessaire à la sauvegarde de sa compétitivité ou à la cessation d’activité de l’entreprise ».
(2) Art. L.1233-2 du Code du travail : « Le licenciement économique doit être motivé et justifié par une cause réelle et sérieuse ».
(3) Art. L.1233-4 du Code du travail : « effectuer des recherches de reclassement pour le salarié concerné ».
(4) Art. L.1233-5 du Code du travail : « fixer l’ordre des licenciements ».
(5) Art. L.1233-8 à 1233-20 du Code du travail : « Licenciement économique à l’égard de 2 à 9 salariés ».




Droits voisins : Google perd contre les éditeurs de presse

éditeursPar un arrêt très attendu rendu le 8 octobre 2020 (1), la Cour d’appel de Paris a confirmé la décision de l’Autorité de la Concurrence du 9 avril 2020 (2) qui avait enjoint à Google de négocier, de bonne foi sous trois mois, avec les éditeurs et agences de presse concernant la rémunération de l’utilisation de leurs contenus.

L’Autorité considérait que les pratiques de Google à l’encontre des éditeurs de presse étaient susceptibles de constituer un abus de position dominante.

Après avoir annoncé initialement qu’il se conformerait à la décision de l’Autorité de la concurrence, Google avait finalement, à la suite de l’échec des négociations avec les éditeurs de presse, décidé de faire appel de celle-ci.

Les faits reprochés par les éditeurs à Google

Les droits voisins prévoient une rémunération pour les contenus des éditeurs de presse utilisés par des plateformes en ligne. En effet, l’article L. 218-2 du Code de la propriété intellectuelle, introduit par la loi du 24 juillet 2019 tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse, dispose que « l’autorisation de l’éditeur de presse ou de l’agence de presse est requise avant toute reproduction ou communication au public totale ou partielle de ses publications de presse sous une forme numérique par un service de communication au public en ligne », les modalités de rémunération étant précisé à l’article L. 218-4.

Les éditeurs de presse, regroupés en une société de gestion collective depuis juillet 2020, ont saisi l’Autorité de la concurrence. Ils reprochaient à Google de ne pas respecter la loi relative aux droits voisins en réclament une autorisation à titre gratuit pour afficher leurs contenus en entier sur le moteur de recherche. Refusant de requérir une telle autorisation puisqu’il n’affiche que des extraits des contenus, Google déclarait se conformer ainsi à la nouvelle règlementation en matière de droits voisins. Il argumentait que le trafic généré sur les sites internet des éditeurs engendrait par ailleurs une rémunération pour les éditeurs.

Une décision très attendue

Le 8 octobre 2020, la Cour d’appel de Paris a rendu sa décision et a rejeté les différents moyens soulevés par Google, tels que la contestation de l’abus de position dominante, le marché pertinent, l’imposition de conditions inéquitables de transaction, ou le caractère nécessaire et proportionné des mesures conservatoires. La Cour considère que les pratiques mises en œuvre par le moteur de recherche entrent dans le champ d’application des dispositions de la loi du 24 juillet 2019 protectrices des éditeurs.

Elle a également condamné Google à payer la somme de 20 000 euros à chacun des trois représentants des éditeurs de presse impliqués (APIG, SEPM et AFP), au titre de l’article 700 du code de procédure civile.

Cette décision contraint ainsi Google à continuer les négociations avec les éditeurs de presse afin d’arriver à un accord concernant la rémunération de l’utilisation des contenus des éditeurs et agences de presses.

Cette première décision en la matière, saluée par les éditeurs de presse, pourrait créer un précédent dans les autres pays européens soumis à la directive européenne sur les droits voisins (3) dont la loi est issue. Déjà en 2012 et avant même la transposition de la directive droits voisins, les éditeurs de presse francophone belge, qui reprochaient à Google la reproduction des articles dans le moteur de recherche dédié à l’actualité, avaient conclu avec le géant de l’internet un accord sur une rémunération des éditeurs, clôturant une saga judiciaire de plus de 6 ans.

Marie Soulez
Marie Rouxel
Lexing Propriété intellectuelle contentieux

(1) Décision de la Cour d’appel de Paris du 8 octobre 2020
(2) Décision de l’Autorité de la concurrence du 9 avril 2020
(3) Directive 2019-790 du 17 avril 2019 du Parlement européen et du Conseil sur le droit d’auteur et les droits voisins dans le marché unique numérique




Vers une interdiction de TikTok par les États-Unis ?

interdiction de TikTokL’interdiction de TikTok par les États-Unis est-elle possible ? Alain Bensoussan, interviewé par RT France, s’est exprimé le 27 septembre 2020 sur la légalité et la faisabilité du blocage de l’application TikTok aux États-Unis.

Le secrétariat d’État au commerce américain a annoncé, dans un communiqué du 18 septembre 2020, prendre des mesures pour que les deux applications chinoises TikTok et WeChat ne soient plus accessibles aux États-Unis. L’administration américaine considère que la Chine « avait les moyens et l’intention d’utiliser ces applications pour menacer la sécurité nationale, la politique étrangère et l’économie des États-Unis ».

La légalité de l’interdiction de TikTok

Selon Alain Bensoussan, dès lors que le gouvernement américain considère que les activités de TikTok relèvent de l’espionnage, il dispose de très larges pouvoirs pour protéger la nation américaine. Toutefois, en tant que démocratie, le système judiciaire américain possède un contre-pouvoir important et l’intervention d’un juge pourrait donner un répit à WeChat et à TikTok.

La « diplomatie de la donnée personnelle »

Cette expression de la Cnil montre, selon Alain Bensoussan, combien pouvoir disposer des données personnelles de citoyens d’autres pays est devenu un enjeu majeur du cadre de cette nouvelle gouvernance des données. Aussi allons-nous nécessairement à ses yeux, vers la mise en place d’une règlementation internationale indispensable au maintien de la paix à l’ère d’internet.

Vers une convention internationale

L’Europe, souligne encore Alain Bensoussan, s’est déjà dotée d’une règlementation uniforme grâce au RGPD, règlement général relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et, dans leur majorité, les États ont une règlementation nationale. Mais l’adoption d’une convention internationale sera indispensable à la protection de la paix.

Le blocage et l’interdiction de TikTok sont-ils possibles ?

Et Alain Bensoussan de conclure : « Matériellement, plusieurs États, dont la Chine, ont montré qu’il était possible de mettre en place un blocage des réseaux sociaux dans leur domaine de souveraineté et ce malgré le caractère sans frontière de l’internet ».

Sur les derniers développements de l’affaire, v. not TikTok : la justice américaine maintient les téléchargements pour l’instant, Le Monde (avec l’AFP), 27 septembre 2020.

 




Téléchargement illicite : le logiciel de P2P « Emule » enfin mis à jour

Emule

10 ans ! Une éternité pour une mise à jour de sécurité. C’est pourtant le délai qu’il a fallu aux développeurs du logiciel P2P Emule pour annoncer une amélioration de sa sécurité et des corrections de divers bugs informatiques.

Pour entrer un peu plus dans le détail, il a été annoncé un passage au « https » pour une connexion sécurisée à certains serveurs, la comptabilité avec les derniers « codecs » vidéos (1), le brouillage de la première connexion aux serveurs, etc.

Emule ou l’ancêtre du téléchargement illégal

Historiquement, Emule est un logiciel de partage de fichiers créé en 2002 destiné à améliorer un autre logiciel P2P (edonkey2000) jugé sur le déclin car pas assez sécurisé.

En effet, la technologie de partage de fichiers sur le P2P a rapidement été détournée pour permettre la diffusion en masse d’œuvres protégées par un droit d’auteur ou un droit voisin attirant ainsi l’attention des ayants-droit qui chercheront à limiter son usage illicite.

Leurs premières actions ont été réalisées en France ou à l’étranger contre des serveurs utilisées par les logiciels P2P pour permettre le téléchargement d’un fichier. En effet, les premiers logiciels P2P devaient nécessairement se connecter à des serveurs centralisés capables d’indiquer où se trouvaient sur le réseau les fichiers recherchés par les internautes.

Les effets des actions pénales

En 2006, des actions pénales ont été engagées par les autorités belges contre les serveurs « Razorback » et à la même époque en France le serveur « la taverne de l’espace », avait été fermé par les gendarmes toulousains.

Par ailleurs, en 2008, l’industrie musicale avait obtenu la condamnation (sans doute symbolique) des éditeurs américains du logiciel P2P « Soulseek » pour édition d’un logiciel manifestement destiné à la contrefaçon (art. L.335-2-1 CPI).

Enfin, des actions pénales pour contrefaçon ont été initiées contre les plus gros « partageurs » de fichiers sur les réseaux P2P sur le fondement de l’article L.335-2 du Code de la Propriété intellectuelle. C’est d’ailleurs à l’occasion d’une procédure, initiée par la Sacem en 2008 contre un internaute, que la Cour de Cassation (ch. crim. 13-1-2009, n°08-84.088) a apporté des précisions importantes sur le fait que l’adresse IP d’un internaute est bien une donnée à caractère personnelle.

Emule lancera alors des fonctionnalités innovantes pour parer aux mesures de bridage déjà mises en œuvre dès cette époque par certains FAI, fournisseurs d’accès à internet. Emule permettra également la connexion sur son propre réseau appelé « Kademlia ».

L’adoption des lois Hadopi

En 2009, les 2 lois Hadopi sont adoptées et permettent la création d’une contravention de 5e classe pour non sécurisation de l’abonnement internet. Ces lois favorisent ainsi une approche pédagogique de la lutte contre le téléchargement illégal.

Le dispositif met en place des mesures d’avertissements par la Hadopi d’internautes dont l’abonnement internet a été utilisé pour mettre à disposition des contenus protégés.

L’avertissement se fera d’abord par mail puis par lettre recommandée. Si l’internaute est repris une 3e fois dans un certain délai, l’Hadopi peut alors envoyer son dossier aux tribunaux territorialement compétents.

L’envoi des messages d’avertissement (l’Hadopi évoque des dizaines de millions d’avertissements dans ses rapports annuels) a eu pour effet la désaffection pour le logiciel Emule et l’adoption de nouvelles technologies de partages de fichiers jugées comme moins risquées comme le direct download avec l’avènement de la plateforme de stockage « Megaupload », (elle aussi fermée par les autorités et dont le créateur n’a toujours pas été jugé aujourd’hui (2)).

D’autres internautes ont choisi de délaisser le logiciel Emule tout en restant sur une technologie de pair-à-pair en adoptant le protocole de transfert de fichiers « Bittorrent ».

Emule victime du déclin du nombre d’utilisateurs

Ce phénomène de désaffection pour le logiciel Emule s’est confirmé dans les dossiers traités par la Hadopi qui évoque dans ses derniers rapports annuels moins de 1 % de saisine en provenance d’internautes diffusant du contenu protégé sur Emule !

Le protocole Bittorrent nécessite pour les internautes de se connecter à un « tracker » afin d’y télécharger des fichiers appelés « Torrents ».

Ces fichiers savent en permanence où se trouvent les contenus recherchés par les internautes sur le réseau Bittorrent et permettent la mise en relation d’un seeder (source du fichier) avec un leecher (personne qui souhaite télécharger un fichier).

En théorie, le protocole Bittorrent impose à chaque personne qui télécharge sur ce réseau, de mettre à disposition autant de données qu’il a téléchargé. C’est ce qu’on appelle le « ratio ».

Or, les trackers Bittorrent ont vite compris qu’ils pouvaient tirer profil de cette règle en permettant aux internautes de leur verser une somme d’argent pour pouvoir récupérer du contenu sans en mettre à disposition.

Ces donations, à l’origine effectuées le plus souvent par l’intermédiaire d’intermédiaire de paiement comme PAYPAL ou du « POTCOMMUN », sont maintenant effectués le plus souvent en monnaie virtuelle (Bitcoin ou autres).

Les ayants-droit ont donc accentué leurs efforts contre les administrateurs de ces sites. On citera pêlemêle les affaires : OMGTORRENT, GKS… et surtout T411 dont les administrateurs se sont considérablement enrichis par les donations de leurs membres. Toutes ces plateformes ont dû fermer suite à l’interpellation de leurs administrateurs suite à des plaintes d’ayants-droit.

La baisse d’audience des sites de P2P

Au final, l’audience de sites de P2P est devenue largement résiduelle, du fait de l’action combinée du développement de l’offre légale, des efforts des ayants droits contre les sites illicites, des avertissements de la Hadopi et également du transfert des internautes les plus décidés vers des plateformes de diffusion illicites moins surveillées comme le streaming, le direct Download ou même les newsgroups.

À ce titre, Usenext l’un des plus gros hébergeurs de groupes binaires (c’est-à-dire de messages accompagnés de pièces jointes) sur le réseau Usenet a annoncé en juin 2020 une violation de données tellement importante que ce fournisseur a préféré se mettre hors ligne pour procéder à un audit complet de son système d’information.

Autant dire que passer 10 ans, pour Emule, sans subir d’attaque informatique majeure est un exploit !

Anthony Sitbon
Directeur du département Sécurité
Lexing Technologies

(1) Un codec est un programme qui convertit un fichier audio ou vidéo dans un autre format.
(2) Julien Lausson, « 7 ans plus tard, Kim Dotcom abat ses dernières cartes pour échapper à l’extradition vers les USA », Numérama, 11 juin 2019.
(3) Il s’agir encore ici d’un usage détourné de technologie. La plateforme « lepotcommun » étant majoritairement utilisée comme une cagnotte virtuelle permettant d’effectuer des cadeaux communs (pot de départ en entreprise par exemple).




L’émergence d’un cloud souverain européen : Gaia-X

cloud souverain européenEric Le Quellenec revient sur Gaia-X et les lignes directrices du cloud souverain européen pour la Revue Lamy Droit de l’Immatériel de septembre 2020 : avec l’adoption d’un référentiel commun en matière de cloud computing, l’Europe vient de franchir une étape cruciale.

Après l’annulation par la Cour de justice l’Union européenne, le 16 juillet dernier, de la décision d’adéquation qui permettait à toute société américaine « auto-certifiée » aux standards RGPD d’exporter sans autre formalité des données à caractère personnel outre-Atlantique, l’heure d’un cloud souverain européen a véritablement sonné selon l’auteur.

Le 4 juin 2020, M. Bruno Le Maire et son homologue allemand, M. Peter Altmaier, ont présenté la concrétisation du projet « GAIA-X » par un communiqué de presse conjoint : « Sous l’impulsion de l’Allemagne et la France, l’Europe fait un premier pas vers une infrastructure de données« .

Eric Le Quellenec fait tout d’abord un rapide recensement des risques juridiques pesant sur le cloud computing « mondialisé ». Puis il présente les solutions proposées par le projet Gaia-X ; un cadre résolument plus souple et mieux connecté aux attentes des clients.

Les risques juridiques du cloud mondialisé

Le modèle unique d’un cloud mondial unique avec un service qui soit le même pour tous (concept technique, commercial et contractuel du « one to many ») ne résiste pas aux contraintes légales nationales qui se développent partout dans le monde…

Gaia-X : un cadre souple et participatif

Avant d’envisager un cloud souverain, il a été tiré les conclusions de l’échec des initiatives nationales, notamment en France. Proposer un service standard déconnecté du réel besoin du marché, tout en contraignant des concurrents à travailler ensemble, ne peut que mener à l’échec. C’est donc sur la base d’un cadre résolument plus souple et mieux connecté aux attentes des clients que l’initiative européenne devait se construire…

Le cloud souverain européen est la réponse

Très attendus, les premiers services de Gaia-X devraient être proposés d’ici à 2021. Plus que l’adoption d’un Cloud Act européen qui viendrait frontalement s’opposer au Cloud act américain, Gaia-X est la réponse à la fois technique, commerciale et juridique au cloud act américain.

Eric Le Quellenec, « L’émergence d’un cloud souverain européen« , RLDI n° 173 d’août-septembre 2020.
Reproduction avec l’aimable autorisation de la Rédaction de la Revue Lamy Droit de l’immatériel.




Première décision de la CJUE sur le principe de la neutralité de l’internet

neutralité de l’internetLa CJUE vient de rendre un arrêt fondamental (1) en statuant sur la manière d’interpréter les dispositions du Règlement 2015/2120 instaurant un internet ouvert (2).

La Cour de justice de l’Union européenne a rendu, le 15 septembre 2020, un arrêt qu’attendaient, notamment, tous les commentateurs du règlement de 2015 sur la neutralité de l’internet, puisqu’il vient préciser les conditions dans lesquelles il faut considérer qu’une violation des principes d’égalité et de traitement non-discriminatoire du trafic doivent être appréciés.

Dans cette affaire, la Cour de justice a été saisie par la Haute Cour de Budapest, statuant dans le cadre d’un différend ayant opposé Telenor à l’autorité hongroise de régulation des télécoms (Hungarian National Media and Communications Office), cette dernière ayant considéré qu’une des offres d’accès à internet proposée par Telenor contrevenait au principe de la neutralité de l’internet, objet du règlement de 2015.

En effet, Telenor proposait une offre (dite « zero tariff ») dans laquelle le volume de données consommées pour accéder à certains services ou applications n’était pas décompté du volume total de l’abonnement souscrit par les utilisateurs.

De plus, les éventuelles mesures de restriction de débit ou d’interruption, mises en œuvre une fois le volume souscrit atteint, n’étaient pas appliquées aux services inclus dans le volet « zero tariff » de l’offre.

Le principe de la neutralité de l’internet

La CJUE rappelle que les articles 3(1) et 3(2) du règlement ont pour objectif de protéger un certain nombre de droits des utilisateurs finals d’internet et interdisent aux fournisseurs d’accès de mettre en place des accords ou des pratiques commerciaux qui auraient pour conséquence de limiter l’exercice de ces droits.

Par ailleurs, elle rappelle que l’article 3(3) instaure, quant à lui, une obligation générale de traitement égal et non-discriminatoire du trafic sur internet.

Au cas d’espèce de l’offre de Telenor, la Cour a considéré que les contrats proposés par l’opérateur, par lesquels le client a accès un bundle combinant du « zero tariff » et des mesures permettant de bloquer ou de ralentir l’utilisation de services et d’applications « non zero tariff », sont de nature à limiter l’exercice, par les utilisateurs finals, de leurs droits. Une telle limitation enfreint donc les dispositions de l’article 3(2) du règlement.

De plus, la Cour constate que, par l’effet des volumes d’abonnements souscrits, cette mesure a pour conséquence de privilégier l’usage des services inclus dans le volet « zero tariff », au détriment de ceux qui en sont exclus, sans compter l’effet « détrimental » pour ces derniers des mesures de réduction de débit ou d’interruption.

L’égalité de traitement entre tous les services

Au delà de ces constats, la Cour indique qu’il n’est pas nécessaire de faire la démonstration que les mesures de réduction de débit ou d’interruption ont effectivement restreint la possibilité pour les utilisateurs finals d’exercer leurs droits : il faut, mais il suffit, de constater que les mesures de réduction de débit ou d’interruption de trafic ne sont appliquées que pour certaines catégories de services ou d’applications, pour considérer qu’il y a violation des dispositions de l’article 3(3) du règlement.

En revanche, toute mesure qui serait appliquée de manière discriminatoire à tel ou tel service ou application et qui serait fondée sur des considérations purement techniques, serait acceptable, alors que la même mesure, fondée sur des considérations simplement commerciales enfreint, per se, le règlement de 2015 sur la neutralité de l’internet.

L’intérêt de cet arrêt, outre qu’il est le premier à statuer sur cette question de la neutralité de l’internet, réside précisément dans cette solution qui éclaire les régulateurs, mais aussi les opérateurs, les fournisseurs d’accès, les utilisateurs et les régulateurs, sur le mode d’administration de la preuve d’une infraction à l’article 3 du règlement.

Cette preuve, qui s’affranchit de devoir démontrer la réalité et l’effectivité de l’atteinte aux droits des utilisateurs finals, rend désormais plus facile la poursuite des infractions au principe de la neutralité de l’internet, ce qui vient, de facto, en renforcer le poids dans le dispositif réglementaire européen.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) CJUE Arrêt du 15 septembre 2020 dans les affaires jointes C-807/18 et C-39/19 Telenor Magyarorszag Zrt. contre Nemzeti Média- és Hirközlési Hatosag Elnöke.
(2) Règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques et le règlement (UE) n°531/2012 concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union.




Admission au CIR des prestations de R&D du sous-traitant agréé

CIRPar un arrêt du 9 septembre 2020, le Conseil d’État remet en cause la doctrine administrative limitant l’application du CIR (crédit impôt recherche) aux sous-traitants.

Il annule le deuxième alinéa du paragraphe 220 des commentaires administratifs publiés au Bofip, Bulletin officiel des finances publiques impôts, sous la référence BOI-BIC-RICI-10-10-20-30 ainsi que l’illustration chiffrée figurant à la suite de cet alinéa sous la dénomination « Exemple ».

Contestation de la doctrine administrative limitant l’application du CIR aux sous-traitants

Dans ce texte, l’administration fiscale avait supprimé la possibilité pour les entreprises sous-traitantes agréées par le ministère de la recherche d’inclure dans leur déclaration de crédit impôt recherche (CIR), les projets de recherche et développement non valorisés par leurs clients privés français, même si ceux-ci y renoncent expressément ou sont au plafond.

La doctrine jusqu’alors en vigueur depuis le 8 février 2000 prévoyait que, dans le cas où le client privé ne bénéficiait pas lui-même du CIR, la société effectuant les prestations pouvait inclure les sommes correspondantes dans la base de calcul de son propre CIR.

C’est dans ce cadre que la société T. a demandé l’annulation pour excès de pouvoir du paragraphe 220 de ces commentaires, par lesquels l’administration donne son interprétation des dispositions du III de l’article 244 quater B du Code général des impôts (CGI).

Plus particulièrement, l’annulation demandée concernait le deuxième alinéa du paragraphe 220 (en p.8) des commentaires litigieux, lequel énonce que les organismes de recherche privés agréés mentionnés au d bis du II de l’article 244 quater B du CGI doivent :

« (…) déduire de la base de calcul de son propre crédit d’impôt recherche les sommes reçues des organismes pour lesquels les opérations de recherche sont réalisées et facturées (CGI, art. 244 quater B, III). Cette disposition a pour objet d’éviter que les mêmes opérations de recherche ouvrent droit deux fois au crédit d’impôt.

Exemple :
L’entreprise A commande à un organisme agréé B une opération de recherche spécifique. En rémunération de la prestation fournie, A verse à B la somme de 10 000 €.
L’entreprise A prendra en compte dans la base de calcul de son crédit d’impôt la somme de 10 000 €.
En contrepartie, l’organisme B déduira de la base de calcul de son propre crédit d’impôt la même somme de 10 000 €. »

Pour rappel, l’article 244 quater B du CGI, dans sa rédaction applicable à la date des commentaires administratifs attaqués, prévoit, que les entreprises industrielles et commerciales ou agricoles imposées d’après leur bénéfice réel ou exonérées en application de certains dispositifs du CGI peuvent bénéficier d’un crédit d’impôt au titre des dépenses de recherche qu’elles exposent au cours de l’année.

De même, en application de cet article une entreprise peut prendre en compte dans la base de calcul de son CIR les dépenses exposées pour la réalisation d’opérations de recherche confiées à des organismes de recherche privés agréés par le ministère de la recherche dans la limite des plafonds prévus aux d bis et d ter du II de l’article 244 quater B du CGI.

Annulation par le Conseil d’État

Dans sa décision précitée, le Conseil d’État a considéré que :

  • les commentaires administratifs attaqués ajoutaient à la loi en ce que, en énonçant au deuxième alinéa de leur paragraphe 220 que les organismes de recherche privés agréés doivent « déduire » de la base de calcul de leur crédit d’impôt recherche les sommes reçues des donneurs d’ordre pour le compte desquels ils réalisent des opérations de recherche ainsi qu’il ressort de l’exemple qui suit ces commentaires ;
  • ceux-ci interprètent la loi fiscale comme ayant pour effet d’obliger les organismes de recherche privés agréés sous-traitant à inclure dans la base de leur crédit d’impôt le montant des dépenses éligibles réalisées dans le cadre d’opérations de recherche conduites pour le compte de tiers éligibles, avant de déduire de cette base le montant total des sommes facturées en rémunération de ces prestations.

Les commentaires administratifs en litige sont donc entachés d’incompétence en tant qu’ils énoncent la règle contenue dans le deuxième alinéa du paragraphe 220, illustrée par l’exemple chiffré figurant à sa suite, fondant ainsi l’annulation demandée par la société T.

Par conséquent, le Conseil d’Etat annule le deuxième alinéa du paragraphe 220 des commentaires administratifs publiés au BOFIP sous la référence BOI-BIC-RICI-10-10-20-30 et l’illustration chiffrée figurant à la suite de cet alinéa sous la dénomination « Exemple ».

Pierre-Yves Fagot
Marielle Ouattara
Lexing Droit de l’entreprise

(1) Conseil d’État, 8ème – 3ème chambres réunies, 09-09-2020, n° 440523.




Les outils pour lutter contre les difficultés des PME

difficultés des PMEDans ce contexte de crise sanitaire et économique, quels sont les dispositifs permettant de faire face aux difficultés des PME ?

Les dispositifs mis en place pendant la crise sanitaire

Le gouvernement a aménagé des outils existants et mis en place des mécanismes pour combattre les difficultés des PME. Le but : contenir au maximum les effets pervers du confinement sur les entreprises et d’éviter un déluge de licenciements économiques.

Le décret n°2020-325 du 25 mars 2020 a largement étendu le dispositif d’activité partielle et assouplit les conditions permettant aux entreprises d’y recourir. Ces mesures ont permis aux entreprises de placer une partie ou la totalité de leurs salariés en chômage partiel à temps complet ou d’aménager la durée du travail de certains d’entre eux en fonction de la réalité des besoins propres à chacune d’entre elle et des difficultés auxquelles elles se sont confrontées pendant et après la période de confinement.

Le recours massif au télétravail lorsqu’il était possible, afin d’éviter la propagation du virus, combiné à l’utilisation des nouvelles technologies de communication et d’organisation, ainsi que les dispositifs de soutien de la trésorerie octroyés par le gouvernement, ont également permis aux entreprises de poursuivre leur activité à distance sans perdre en efficacité et en minimisant l’impact de la crise à court terme.

Les outils pour affronter les difficultés des PME sur le plus long terme

Après la période particulière de confinement et la reprise progressive d’activité, la bataille contre les difficultés des PME va se poursuivre et les entreprises devront continuer à s’adapter et trouver des stratégies pour minimiser l’impact de cette crise sanitaire.

Il sera bénéfique pour les entreprises ayant un CSE, de l’associer à la définition de la stratégie de sortie de crise. Pour cela, des mesures ont été prises afin de raccourcir les délais de consultation du CSE et d’adapter les modalités de la négociation collective au contexte de pandémie, telle que la possibilité de tenir les réunions à distance par visioconférence ou audioconférence, ou encore la notification de l’accord collectif à l’ensemble des organisations représentatives par voie électronique.

Concrètement, pour permettre une adaptation rapide et flexible à la conjoncture économique, à une recrudescence possible de l’épidémie, aux spécificités de chaque secteur d’activité et aux besoins propres à chaque entreprise, elles disposent notamment des outils suivants :

La définition ou redéfinition d’un accord ou d’une charte sur le télétravail afin de réglementer et sécuriser sa pratique en misant sur une réduction des coûts pour l’entreprise et une augmentation de la performance des salariés ;

  • La modulation de la durée et du temps de travail ;
  • Les accords de performance collective ;
  • La réduction, le report ou la suppression temporaire de primes ;
  • L’activité partielle ;
  • Privilégier la mobilité professionnelle ou géographique en interne ;
  • Plan de départ volontaire autonome ;
  • Rupture conventionnelles collectives.

Les licenciements économiques en dernier ressort

Le gouvernement met à disposition des entreprises une boîte à outil permettant de lutter contre les difficultés des PME en limitant au maximum les licenciements pour motif économique.

Il n’est toutefois pas exclu d’y recourir en veillant à bien respecter les conditions de validité afin d’éviter la requalification en licenciement sans cause réelle et sérieuse.

Emmanuel Walle
Elena Blot
Lexing Social numérique




Parution de la lettre JTTIL 210 – Septembre 2020

JTTIL 210

Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 210) :

  • Renégociation de l’accord « Privacy Shield » en cours
  • Lignes directrices du CEPD sur l’application de la DSP2
  • Les dispositifs transfrontières potentiellement agressifs
  • Promulgation d’une nouvelle loi sur le démarchage téléphonique
  • Cookies et autres traceurs : annulation partielle des lignes directrices de la Cnil
  • Contrat MSP (Managed Service Provider) : fini les zones d’ombre
  • La COVID-19 reconnue comme maladie professionnelle
  • L’Observatoire de la haine en ligne est installé
  • Marchés publics : parution du décret relevant temporairement le seuil de dispense de procédure
  • Propriété intellectuelle : la CJUE précise la notion d’adresses au sens de la directive 2004/48
  • Les fonctions juridiques : au cœur de la transformation numérique
  • etc.

 De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 210

  • Le plan « France Relance » ;  Le Port du masque obligatoire en entreprise ; Nouveau guide ANSSI sur le Ransomware ; Charte des contrôles Cnil ; Sanction Cnil à l’égard d’une société de vente en ligne ; Guide Cnil durée de conservation ; Loi sur le démarchage téléphonique, etc.

Enfin, signalons nos prochains petits-déjeuners débats qui se tiendront en visioconférence :

JurisTendances Télécoms Informatique & Libertés (JTTIL 210) , Septembre 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet.



COVID-19 : Nouveau protocole national pour les entreprises

nouveau protocole national

Publication du nouveau protocole national

A la suite de l’avis du Haut Conseil de la santé publique du 14 août 2020 relatif à la transmission du virus par aérosols, le ministère du Travail a publié le 31 août 2020 un nouveau protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de COVID-19.

Reprise des personnes vulnérables et des personnes partageant le même domicile

La reprise des salariés à risque de forme grave de COVID-19 est préconisée depuis le 1er septembre 2020 dans des conditions sanitaires renforcées (télétravail, travail en présentiel avec mesures de protection complémentaires comme un aménagement du poste de travail). Les personnes listées par décret (n°2020-1098 du 29-08-2020) présentant des pathologies particulièrement lourdes (cancer évolutif sous traitement, chimiothérapie anticancéreuse, dialysé, etc.) peuvent être placées en activité partielle si leur médecin traitant l’estime nécessaire.

Les salariés partageant le même domicile qu’une personne vulnérable ne peuvent plus bénéficier de l’activité partielle depuis le 31 août 2020.

Télétravail recommandé

Dans le nouveau protocole national, le télétravail n’est plus une solution à privilégier mais devient une pratique recommandée.

Port du masque

Le nouveau protocole rend le port du masque grand public obligatoire au sein des entreprises dans les lieux collectifs clos. Il doit être associé au respect d’une distance physique d’au moins 1 mètre entre les personnes ; de même pour l’hygiène des mains, les gestes barrières, le nettoyage, la ventilation, l’aération des locaux et la gestion des flux de personnes.

Le nouveau protocole national prévoit que ne sont pas soumis à cette obligation, les salariés :

  • Seuls dans un bureau ;
  • En atelier si les conditions de ventilation / aération fonctionnelles sont conformes et que le nombre de personne présentes dans la zone est limité avec distanciation sociale et visière ;
  • En extérieur (sauf regroupement ou impossibilité de tenir la distance d’un mètre).

Il est possible de retirer le masque de manière ponctuelle dès lors que des mesures sont prises :

  • ventilation / aération,
  • écrans de protection, visières,
  • politique de prévention des risques,
  • gestion rapide des cas de personnes symptomatiques,
  • taille des locaux, espace de 4 m2 par personne) et
  • en fonction de la zone de circulation du virus (verte, orange et rouge.

Enfin, des dispositifs de séparation entre les personnes peuvent être pris (écrans transparents à l’accueil ou dans les open space).

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique




Cnil : Comment répondre à une demande de tiers autorisé ?

demande de tiers autorisé

La Cnil a publié un guide destiné à présenter aux responsables de traitement la démarche à suivre lors d’une demande de tiers autorisé.

Qu’est-ce qu’un tiers autorisé ?

La Cnil précise la notion de tiers autorisé dans son guide pratique. Les tiers autorisés sont des autorités et des organismes habilités, par des dispositions législatives, à ordonner à un responsable de traitement le transfert de documents ou de renseignements contenant des données à caractère personnel de personnes déterminées.

Les tiers autorisés obtiennent la communication de données à caractère personnel « dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre » au sens de l’article 4, 9 du RGPD.

Toutefois, chaque responsable de traitement est tenu de respecter son obligation d’assurer la sécurité des données à caractère personnel conformément aux articles 5, 1, f et 32 du RGPD.

Le guide de la Cnil a pour objectif de présenter à chaque responsable de traitement la démarche à suivre lors d’une demande émanant d’un tiers autorisé.

Pour répondre valablement à une demande de communication de données à caractère personnel de la part d’un tiers autorisé, le responsable de traitement doit procéder à trois vérifications :

  • la demande provient d’un tiers autorisé ;
  • la source et le périmètre de la demande ;
  • la sécurisation de la communication.

La mise en œuvre de cette démarche permet à chaque responsable de traitement d’assurer la sécurité des données à caractère personnel, conformément aux exigences du RGPD.

1ère vérification : son origine, « la demande d’un tiers autorisé »

À titre liminaire, une demande de tiers autorisé peut prendre toute forme, sauf si le texte en cause en prévoit une spécifiquement.

Si la demande mentionne une disposition légale ou réglementaire, le responsable de traitement doit la vérifier.

Si elle ne le fait pas, le responsable de traitement doit demander au tiers autorisé la référence légale pour qu’il puisse procéder à cette vérification.

2ème vérification : la source et le périmètre de la demande

Avant d’accéder à la demande, une double vérification, pratique et juridique, est nécessaire. La vérification pratique a pour objet de s’assurer que la demande provient bien de l’autorité ou de l’organisme public mentionné. Elle permet d’éviter les fraudes. Quant à la vérification juridique, elle vise à contrôler que l’acteur émetteur est autorisé à exiger la communication des informations demandées

En premier lieu, afin de lever un éventuel doute concernant le tiers autorisé, plusieurs possibilités existent comme :

  • effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration,
  • vérifier que l’adresse postale communiquée correspond à celle diffusée par le tiers autorisé sur son site web
  • vérifier que le nom de domaine de l’adresse de courrier électronique utilisée correspond à celui diffusé par le tiers autorisé
  • recueillir toute information identifiant la personne se présentant dans les locaux aux fins de vérifier qu’elle appartient à l’organisme en question.

En second lieu, le responsable de traitement doit s’assurer du périmètre des données à caractère personnel transmises. Les informations qui seront transmises doivent effectivement être visées par les dispositions invoquées par le tiers autorisé. En outre, la transmission ne doit pas contenir plus de données à caractère personnel que celles demandées. Cette vérification permet de respecter le principe de minimisation énoncé à l’article 5, 1, b du RGPD.

La transmission des données à caractère personnel à des tiers autorisés pose par ailleurs la question du respect du secret professionnel. Celui-ci doit être opposé par le responsable de traitement à une demande provenant d’un tiers autorisé uniquement lorsqu’aucune disposition ne prévoit la levée d’un ou de plusieurs secrets professionnels.

Le responsable de traitement doit donc vérifier que les deux conditions suivantes sont réunies avant toute transmission de données à caractère personnel :

  • la demande de communication de données à caractère personnel est-elle couverte par un secret professionnel ?
  • si tel est le cas, la demande de communication provient-elle d’un organisme bénéficiant d’une disposition législative prévoyant la levée du secret professionnel concerné ?

3ème vérification : la sécurisation de la communication

Chaque responsable de traitement doit déterminer un canal de transmission des informations demandées entre lui et le tiers autorisé, et veiller à ce que les modalités de cette transmission en assurent la sécurité, notamment par un procédé de chiffrement, hachage, etc.

Pour aider les responsables de traitement dans leur démarche de vérification en cas de demande de tiers autorisé, la Cnil a recensé pour chaque procédure d’enquête (juridictionnelle, administrative, économique, sociale, travail et santé), le type de tiers autorisés, les objectifs et les conditions de la demande, la nature des informations transmissibles ainsi que les fondements juridiques.

Le refus de communication des données à la demande d’un tiers autorisé

Il est possible de refuser d’accéder à une telle demande, mais cela peut aboutir à l’engagement de la responsabilité du responsable de traitement.

Recommandation : Il est recommandé de documenter la gestion des demandes émanant de « tiers autorisés » et de diffuser cette documentation auprès des personnes en charge des demandes. Elle peut indiquer les premières actions à faire par tout agent à la réception d’une demande, faire mention de la nécessité d’une désignation d’un référent chargé de la prise en compte des demandes, comporter des éléments de sensibilisation des agents et des salariés, ou bien encore faire état des outils permettant de sécuriser la communication de données à caractère personnel (ex : outil de chiffrement, politique de mot de passe, etc.).

Anne Renard
Lucie Antigny
Lexing Conformité et certification




Présentation du rapport d’activité AFA 2019

AFA 2019

L’Agence française anticorruption a publié son rapport d’activité AFA 2019 présentant un panorama de l’action internationale de l’Agence.

Un rapport d’activité AFA 2019 satisfaisant

Le 9 juillet 2020, l’Agence française anticorruption, créée par la loi du 9 décembre 2016 de modernisation de la vie publique, a publié son rapport d’activité 2019 (1).

L’AFA a pour mission d’aider les personnes de droit privé ou public à prévenir et à détecter les manquements au devoir de probité que sont la corruption, le trafic d’influence, la concussion, la prise illégale d’intérêts, le détournement de fonds publics et le favoritisme. Dirigée par un magistrat nommé par décret du Président de la République, l’AFA comprend une Commission des sanctions.

D’une part, dans son rôle de contrôle de la qualité et de l’efficacité des dispositifs anticorruption, l’AFA a opéré 36 contrôles d’initiatives en 2019, dont 20 sur des acteurs économiques et 16 sur des acteurs publics.

D’autre part, dans son rôle de conseil aux acteurs publics et économiques, l’AFA a réalisé en 2019 près de 70 interventions de sensibilisation auprès d’acteurs publics et privés et 50 formations.

Le rapport d’activité AFA 2019 souligne que, pour la première fois, l’Agence a saisi la Commission des sanctions chargée de réprimer les manquements observés à l’occasion des contrôles.

L’activité AFA 2019 orientée sur la formation

L’activité 2019 de l’Agence française anticorruption a été centrée sur la formation à l’anticorruption.

Ainsi, l’AFA a diffusé et explicité le référentiel français anticorruption pour que les acteurs concernés s’approprient les démarches et outils et les déploient dans leur propre organisation.

En outre, l’AFA a soutenu le développement des formations supérieures afin de multiplier les métiers de la conformité anticorruption.

Elle a également renforcé la formation dans le domaine public (collaborations avec les organismes de formation des agents publics).

La diffusion du référentiel anticorruption et la sensibilisation aux risques dans la gestion publique ont notamment été réalisées par l’accompagnement du ministère chargé de l’Éducation nationale, de la Jeunesse, de l’Enseignement supérieur et de la Recherche et le ministère des Armées dans le déploiement de leur plan anticorruption.

L’activité AFA 2019 : une volonté de renforcer la coopération internationale

Un des points fort de l’activité 2019 de l’Agence française anticorruption fut le renforcement de la coopération internationale, notamment le développement de la coopération opérationnelle avec les autorités anticorruption étrangères.

Au cours de l’année 2019, l’AFA a intensifié sa mission en faveur d’une résolution coordonnée des affaires de corruption transnationale.

Ainsi, l’AFA a participé avec le Serious Fraud Office britannique à une table ronde sur la négociation des accords transactionnels en matière de corruption internationale. Elle est intervenue dans une conférence avec le Département de la Justice des États-Unis sur les résolutions coordonnées des affaires de corruption transnationale.

En conclusion, selon les termes de Charles Duchaine, Directeur de l’AFA, « Trois années seulement après sa création, l’Agence française anticorruption a mis en œuvre l’ensemble des missions qui lui ont été confiées par la loi du 9 décembre 2016 ».

Virginie Bensoussan-Brulé
Esther Dalle
Lexing Contentieux du numérique

(1) Agence française anticorruption, Rapport annuel d’activité 2019, 9-7-2020




Renégociation de l’accord « Privacy Shield » en cours

renégociation de l’accord « Privacy Shield »

La renégociation de l’accord « Privacy Shield » est en cours afin de permettre aux entreprises de transférer légalement les données  personnelles de citoyens européens aux Etats-Unis.

Le gouvernement américain annonce que le ministère du Commerce et la Commission européenne ont entamé des discussions afin d’« évaluer le potentiel d’un cadre amélioré du bouclier de protection des données UE-États-Unis pour se conformer à l’arrêt du 16 juillet de la Cour de justice de l’Union européenne dans l’affaire Schrems II », rapporte l’agence Reuters dans une dépêche du 10 août 2020.

Pour rappel, cet arrêt a déclaré que ce cadre n’était plus un mécanisme valable pour transférer des données personnelles de l’Union européenne vers les États-Unis (1).

Pour la CJUE « Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis (…) ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité » (2).

Principalement en cause, les programmes de surveillance américains qui permettent au gouvernement d’avoir un accès très large aux données traitées par les entreprises. Selon la Cour, la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de données transférées depuis l’Union vers ce pays tiers, n’est pas compatible avec les principes du Règlement général sur la protection des données (RGPD).

Néanmoins, d’autres outils juridiques sont mobilisables pour opérer de tels transferts, par exemple :

  • les clauses contractuelles types adoptées en 2010 (3), non remises en cause par l’arrêt de la CJUE, ou encore
  • les Binding Corporate Rules (BCR) et
  • les codes de conduite internes aux entreprises.

Toutefois, le Privacy Shield n’en constitue pas moins la voie royale pour les transferts de données personnelles vers les États-Unis.

Nous reviendrons sur le nouvel accord en cours de négociation dès que les modalités en seront connues. Signalons d’ores et déjà les difficultés soulevées début septembre, par le commissaire européen à la justice, Didier Reynders. Selon ce dernier, « la nature politique de la question et le fait que les élections américaines sont imminentes » risquent en effet d’entraver les négociations entre les responsables américains et européens.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Voir notre post publié le 17 juillet 2020.
(2) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(3) Décision CE 2010/87 du 5 février 2010.




Lignes directrices du CEPD sur l’application de la DSP2

DSP2Le Comité européen pour la protection des données vient de publier ses lignes directrices, adoptées le 17 juillet 2020, sur l’application de la DSP2.

La directive sur les services de paiement 2 (1), adoptée le 25 novembre 2015, a donné un statut juridique à de nouveaux acteurs apparus sur le marché des services de paiement, dont les prestataires de services d’information sur les comptes (agrégateurs de comptes) et les prestataires d’initiation de paiement.

Les premiers proposent des services offrant une vue consolidée des informations sur les comptes bancaires détenus par une personne dans plusieurs établissements, lui permettant ainsi d’avoir une appréhension globale des soldes de ses comptes et, parfois, des dernières opérations réalisées sur chacun des comptes ainsi consolidés. Ce faisant, ces acteurs peuvent proposer, s’ils sont par ailleurs prestataires de services de paiement, des services de paiement à partir – ou entre – les comptes apparaîssant dans cette vue consolidée.

Les seconds proposent des services qui permettent à leurs clients de demander la réalisation d’une opération de paiement à partir d’un compte détenu dans un établissement tiers.

Ces différentes opérations impliquent donc la collecte de données à caractère personnel, qu’il s’agisse de celles du titulaire des comptes considérés ou de celles des émetteurs ou des destinataires des opérations de paiement enregistrées ou initiées. Elles impliquent également la détention d’informations souvent sensibles, résultant des opérations réalisées, et que le prestataire de services d’information sur les comptes va collecter ou détenir : par exemple, il peut s’agir d’informations, déduites des opérations bancaires rapatriées dans la vue consolidée des comptes, et qui peuvent donner des indications, par exemple, sur l’orientation sexuelle, les opinions religieuses ou politiques du titulaire des comptes considérés.

Il est donc primordial que les données collectées et conservées par ces prestataires de services soient protégées et que leur confidentialité et leur sécurité soient garanties.

La difficulté vient de ce que la DSP2, lorsqu’elle vise les questions de protection des données à caractère personnel, ne le fait pas de manière cohérente avec les dispositions du RGPD.

Il était donc important que le CEPD se prononce sur cette question. C’est ce que ses lignes directrices (2) ont l’ambition de faire, notamment au travers de l’analyse de deux sujets fondamentaux qui sont (1) la question du consentement et (2) celle de la gestion des catégories particulières de données.

La question du consentement

Pour qu’un traitement de données à caractère personnel puisse être mis en œuvre, le RGPD prévoit qu’il doit s’appuyer sur l’un ou l’autre des six fondements légaux indiqués à son article 6. Cette liste est exhaustive.

Parmi ces six fondements, ceux qui peuvent justifier la mise en œuvre d’un traitement d’information sur les comptes ou d’initiation de paiement, figurent, d’une part, l’exécution du contrat conclu entre le prestataire de services et son client et, d’autre part, le consentement du client à ce que ses données soient utilisées.

Le fondement tiré de l’exécution du contrat ne pose pas de difficulté particulière, dans la mesure où la DSP2 prévoit que les services qu’elle encadre doivent nécessairement faire l’objet de la conclusion d’un contrat entre le prestataire et son client.

Toutefois, l’absence de difficulté est conditionnée par une réserve importante : que le traitement de données à caractère personnel dont il s’agit soit strictement nécessaire à l’exécution du contrat, la preuve de cette stricte adéquation entre le traitement opéré et le contrat reposant sur les épaules du responsable du traitement.

Vient alors la délicate question des traitements de données à caractère personnel ultérieurs, réalisés pour des finalités qui n’étaient pas prévues initialement ou qui ne ressortent pas directement de l’exécution du contrat stricto sensu.

Pour ceux-ci, le fondement légal, tiré de l’exécution du contrat, ne pourra pas être invoqué, sauf à démontrer que la nouvelle finalité est « compatible » avec la finalité initiale. Mais si tel n’est pas le cas, restera alors le fondement légal tiré du consentement de la personne concernée.

D’ailleurs, la DSP2 limite les cas de traitements ultérieurs, dans la mesure où elle indique que le prestataire ne doit pas utiliser, accéder à ou stocker des données pour d’autres finalités que celles de la fourniture des services d’initiation de paiement ou d’informations sur les comptes, tels que demandés par le client.

En conséquence, tout traitement ultérieur ne peut s’appuyer que sur une demande expresse du client, ce qui conduit au recueil, de fait, du consentement de la personne concernée à ce que ce traitement soit réalisé.

Ce consentement doit donc obéir aux principes posés par le RGPD pour sa validité. Il doit être « libre, éclairé, spécifique et non ambigu ».

La difficulté qui surgit alors est que la DSP2 vise, elle aussi, le concept de « consentement explicite », mais dans un sens très différent de celui du RGPD. Pour la DSP2, ce consentement explicite vise, en réalité, le consentement du client à contracter avec son prestataire de services ou à l’autoriser à utiliser les données qu’il collecte pour la fourniture des services contractuellement prévus, et non pas le consentement en tant que fondement légal à un traitement de données à caractère personnel.

Il vient que le prestataire de services pourra être mis dans la position de devoir recueillir – et démontrer l’expression de – deux consentements : le consentement prévu par la DSP2, qui est un consentement à contracter et à réaliser les opérations prévues au contrat et, le cas échéant, le consentement prévu par le RGPD comme fondement légal aux traitements qui seront mis en œuvre (lorsque le fondement légal de l’exécution du contrat ne sera pas approprié).

La question des catégories particulières de données

Comme indiqué plus haut, le prestataire d’information sur les comptes peut être amené à connaître de données révélatrices des habitudes de paiement et des revenus de son client.

Parmi ces informations, peuvent figurer des données qu’il peut être facile de lier à des données dont la détention est normalement interdite, comme les données sur les opinions religieuses, politiques, sur la santé, la vie sexuelle ou l’orientation sexuelle.

La DSP2 ne méconnaît pas la question des données « sensibles ». Mais il convient de relever qu’elle ne les appréhende pas dans le même sens que le RGPD. Pour la DSP2, est une donnée « sensible », une donnée qui peut être utilisée pour des usages frauduleux, les données de sécurité (mot de passe, codes secrets) étant considérées comme étant des données sensibles.

Il vient donc que le prestataire d’information sur les comptes ne devrait pas pouvoir collecter, traiter ou conserver des données considérées comme « sensibles » dans l’acception donnée à ce concept par le RGPD.

Des exceptions existent cependant à ce principe général d’interdiction, parmi lesquelles figurent, notamment, le consentement (voir ci-dessus) de la personne concernée.

A ce propos, le CEPD rappelle que l’exécution du contrat n’est pas un fondement légal qui peut être invoqué pour justifier que des traitements impliquant des données « sensibles » soient mis en œuvre. Ainsi, si la prise de connaissance d’informations, par exemple sur les opinions politiques d’une personne, peut être perçue comme étant une conséquence naturelle, voire de l’essence même d’un service d’information sur les comptes, elle ne peut être justifiée, a priori, que par le consentement de la personne (les autres hypothèses de dérogations à ce principe général d’interdiction étant peu plausibles au cas particulier de ce type de service).

En conséquence, si le consentement de la personne concernée ne peut pas être obtenu, ou est refusé par elle, le responsable du traitement devrait mettre en œuvre des mesures techniques en vue d’empêcher le traitement de ces catégories de données.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Directive (UE) 2015/2366 du 25 11 2015
2) Guideline 06/2020 of the interplay of the Second Payment Services Directive and the GDPR, Version 1.0, adopted on 17 July 2020




Les dispositifs transfrontières potentiellement agressifs

dispositifs transfrontières potentiellement agressifsAfin de renforcer la lutte contre la fraude fiscale, la directive (UE) 2018/822 du Conseil du 28 mai 2018 a modifié la directive 2011/16 en ce qui concerne l’échange automatique et obligatoire d’informations entre les autorités fiscales des Etats membres de l’UE en rapport avec les dispositifs transfrontières potentiellement agressifs et devant faire l’objet d’une déclaration.

Cette directive a été transposée en droit interne par l’ordonnance n°2019-1068 du 21 octobre 2019 et codifiée sous les articles 1649 AD à 1649 AH du Code général des impôts (CGI), ainsi qu’à l’article 1729 C ter du même code pour les sanctions applicables en cas de manquement à l’obligation déclarative.

L’administration a commenté ces nouvelles dispositions dans ses instructions publiées au BOFIP les 9 mars et 29 avril 2020. Elles doivent entrer en vigueur en droit français le 1er juillet 2020.

Cependant, en raison de l’épidémie du covid-19, la Commission a proposé, le 8 mai 2020, que, pour les dispositifs dont la première étape est mise en œuvre :

  • entre le 1er juillet 2020 et le 30 septembre 2020, le délai de 30 jours dans lequel ces dispositifs doivent être déclarés ne commence à courir qu’à compter du 1er octobre 2020 au lieu du 1er juillet 2020 ;
  • entre le 25 juin 2018 et le 30 juin 2020, les dispositifs qui auraient dû être déclarés au plus tard le 31 août 2020 puissent l’être jusqu’au 30 novembre 2020.

Tout dispositif transfrontières comportant au moins l’un des marqueurs ci-après considérés comme potentiellement agressifs doit faire l’objet d’une déclaration.

Le sens du terme « dispositif » transfrontière visé

Le terme « dispositif » doit être entendu au sens large pour recouvrir notamment tout accord, montage, entente, mécanisme, transaction ou série de transactions, qu’ils aient ou non force exécutoire.

Ce terme recouvre également la constitution, l’acquisition ou la dissolution d’une personne morale ou la souscription d’un instrument financier.

De même ce « dispositif » peut être constitué d’une ou plusieurs étapes et faire intervenir un ou plusieurs participants.

Constituent par exemple un « dispositif » les mesures visant à tenir les réunions du conseil d’administration d’une société dans un Etat différent de l’Etat de résidence de la société, afin de pouvoir faire valoir un changement de résidence sur une opération de financement ou de refinancement intra-groupe (1).

En revanche, ne constitue pas un « dispositif », le fait, pour un contribuable, d’attendre simplement l’expiration d’un délai ou d’une période légale pour réaliser une transaction en exonération d’impôt (par exemple, une société établie en France qui attend l’expiration d’une période de deux ans pour vendre une participation qu’elle détient dans une société établie en Espagne afin de bénéficier du régime d’exonération des plus-values à long terme) (2).

Il doit s’agir également d’un « dispositif transfrontière ».

Le sens du terme « dispositif transfrontière » visé

Un dispositif est réputé transfrontière, dès lors que deux conditions sont réunies :

  • le dispositif concerne la France et un autre Etat que celui-ci situé dans l’UE ou hors UE ;
  • le dispositif répond à une condition de résidence ou d’activité des participants dans deux Etats distincts :
    • la France et un autre Etat, membre ou non de l’UE.

Cette dernière condition repose sur l’Etat de résidence ou d’exercice de l’activité des « participants au dispositif » connu par l’intermédiaire ou le consultant, étant précisé que sont des participants au dispositif :

  • les intermédiaires ;
  • les contribuables concernés ;
  • les entreprises associées ;
  • toute autre personne ou entité susceptible d’être concernée par le dispositif.

Enfin, un dispositif transfrontière est déclarable lorsqu’il comporte un ou plusieurs marqueurs prévus à l’article 1649 AH du CGI.

La définition des marqueurs

Un marqueur, au sens de ces nouvelles dispositions s’entend comme une caractéristique ou une particularité d’un dispositif transfrontière qui indique un risque potentiel d’évasion fiscale (3).

Pour certains marqueurs, l’obligation de déclaration du dispositif n’exige pas la recherche d’un avantage principal entendu comme un avantage fiscal.

Pour d’autres, en revanche, la recherche d’un avantage fiscal est exigée pour que le dispositif transfrontière soit déclarable, ce qui sera le cas lorsque celui-ci permet notamment d’obtenir un remboursement d’impôt, un allègement ou une diminution d’impôt, une réduction de dette fiscale, un report d’imposition ou une absence d’imposition.

Au sujet de ces derniers marqueurs, pour lesquels un avantage fiscal est exigé, il en est ainsi d’un dispositif transfrontière présentant l’une des caractéristiques suivantes (4) :

  • le contribuable concerné ou un participant au dispositif s’engage à respecter une clause de confidentialité selon laquelle il peut lui être demandé de ne pas divulguer à d’autres intermédiaires ou aux autorités fiscales la manière dont le dispositif pourrait procurer un avantage fiscal ;
  • l’intermédiaire est en droit de percevoir des honoraires, intérêts ou rémunération pour financer les coûts et autres frais, pour le dispositif et ces honoraires, intérêts ou rémunération sont fixés par référence :
    • au montant de l’avantage fiscal découlant du dispositif ; ou
    • au fait qu’un avantage fiscal découle effectivement du dispositif (5) ;
  • le dispositif dont la documentation et/ou la structure sont en grande partie normalisées et qui est à la disposition de plus d’un contribuable concerné sans avoir besoin d’être adapté de façon importante pour être mis en œuvre.

Cependant, l’administration précise, dans sa documentation, que lorsque l’avantage principal obtenu en France au moyen du dispositif transfrontière résulte de l’utilisation d’un dispositif d’incitation fiscale conforme à l’intention du législateur français, cet avantage principal n’est a priori pas considéré comme un avantage fiscal principal, sous réserve du respect de l’intention du législateur (6).

Les personnes à qui incombe l’obligation déclarative sont :

  • les intermédiaires ;
  • les contribuables concernés.

Intermédiaires tenus d’effectuer la déclaration

Un intermédiaire qui doit souscrire cette déclaration en France est :

  • toute personne professionnelle ou non,
  • rémunérée ou non,

qui répond à l’une des deux catégories visées ci-après et qui dispose d’un lien territorial avec la France.

Les deux catégories d’intermédiaires concernés par cette obligation sont :

  • l’intermédiaire concepteur, c’est-à-dire celui qui conçoit, commercialise ou organise un dispositif transfrontière devant faire l’objet d’une déclaration, le met à disposition aux fins de sa mise en œuvre ou en gère la mise en œuvre ;
  • l’intermédiaire prestataire de services c’est-à-dire toute personne qui, compte tenu des faits et circonstances et sur la base des informations disponibles, ainsi que de l’expertise en la matière et de la compréhension nécessaires pour fournir de tels services, sait ou pourrait raisonnablement être censée savoir qu’elle s’est engagée à fournir, directement ou par l’intermédiaire d’autres personnes, une aide, une assistance ou des conseils concernant notamment la conception, la commercialisation ou l’organisation d’un dispositif transfrontière déclarable ou la gestion de sa mise en œuvre.

Pour être tenu à cette déclaration en France, l’intermédiaire doit, en outre, disposer d’un lien territorial avec la France ; ce qui sera le cas si cet intermédiaire satisfait à l’une des conditions ci-après :

  • être fiscalement domicilié, résident ou à son siège en France ;
  • posséder en France un établissement stable qui fournit les services concernant le dispositif transfrontière déclarable ;
  • être constitué en France ou est régi par le droit français ;
  • être enregistré en France auprès d’un ordre ou d’une association professionnelle en rapport avec des services juridiques, fiscaux ou de conseil ou il bénéficie d’une autorisation d’exercer en France délivrée par cet ordre ou association.

Cependant, cet intermédiaire est dispensé de cette déclaration dans deux situations :

  • la déclaration de ces informations a été souscrite par un autre intermédiaire en France ou dans un autre Etat membre de l’UE ;
  • l’intermédiaire est soumis au secret professionnel et n’a pas obtenu l’accord de son client de déclarer les informations ; dans ce dernier cas, l’obligation déclarative incombe alors à tout autre intermédiaire ou, en l’absence d’autre intermédiaire, au contribuable concerné.

Contribuables tenus d’effectuer la déclaration

En outre, dans certains autres cas, l’obligation déclarative incombe au contribuable concerné.

Ainsi, un contribuable concerné est toute personne :

  • à qui un dispositif transfrontière déclarable devant faire l’objet d’une déclaration est mis à disposition pour mise en œuvre ;
  • ou qui est disposée à le mettre en œuvre ;
  • ou qui a mis en œuvre la première étape d’un tel dispositif.

Le contribuable concerné est donc l’utilisateur du dispositif ou est partie au dispositif transfrontière déclarable.

Par exemple, au sein d’un groupe de société, la société mère dont le siège est en France conçoit un dispositif transfrontière utilisé par d’autres sociétés du groupe dont le siège est dans un autre Etat membre de l’UE ou hors UE.

Dans ce cas, la société mère est un intermédiaire concepteur et les autres sociétés du groupe les contribuables concernés.

Les obligations déclaratives

Lorsqu’un dispositif transfrontière comporte un ou plusieurs marqueurs prévus à l’article 1649 AH du CGI, une déclaration de ce dispositif doit être souscrite auprès de l’administration fiscale, sous forme dématérialisée, par l’intermédiaire ayant participé à sa mise en œuvre ou par le contribuable concerné.

Déclaration par l’intermédiaire

L’intermédiaire doit souscrire cette déclaration dans un délai de trente jours à compter de la première des dates suivantes :

  • le lendemain du jour de la mise à disposition pour mise en œuvre du dispositif transfrontière devant faire l’objet d’une déclaration ;
  • le lendemain du jour où le dispositif transfrontière devant faire l’objet d’une déclaration est prêt à être mis en œuvre ;
  • le jour de la réalisation de la première étape de la mise en œuvre du dispositif transfrontière ;

L’intermédiaire doit également communiquer tous les trois mois une mise à jour des informations relatives à des dispositifs conçus, commercialisés, prêts à être mis en œuvre ou mis à disposition aux fins de mise en œuvre sans avoir besoin d’être adaptés de façon importante. Les modalités de cette mise à jour seront précisées par décret.

Déclaration par le contribuable concerné

Le contribuable concerné à qui incombe l’obligation de déclaration doit souscrire celle-ci dans un délai de trente jours à compter des mêmes dates que celles imparties à l’intermédiaire.

Chaque contribuable concerné par un dispositif transfrontière devant faire l’objet d’une déclaration déclare chaque année l’utilisation qu’il en a faite au titre de l’année précédente selon les modalités fixées par un arrêté du ministre chargé du budget.

Les sanctions

Les manquements à une obligation de déclaration ou de notification entraînent l’application d’une amende ne pouvant excéder 10 000 euros.

Le montant de l’amende ne peut excéder 5 000 euros lorsqu’il s’agit de la première infraction de l’année civile en cours et des trois années précédentes.

Le montant de l’amende appliquée à un même intermédiaire ou à un même contribuable concerné ne peut excéder 100 000 euros par année civile (7).

Pierre-Yves Fagot
Lexing Droit de l’entreprise

(1) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°20
(2) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°30
(3) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°100
(4) CGI, article 1649 AH II A
(5) Cela peut inclure une obligation pour l’intermédiaire de rembourser partiellement ou entièrement les honoraires si l’avantage fiscal escompté découlant du dispositif n’a pas été complètement ou partiellement généré.
(6) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°160
(7) CGI, art 1729 C ter




Promulgation d’une nouvelle loi sur le démarchage téléphonique

le démarchage téléphoniqueAprès de longs mois de mise au point, la nouvelle loi réglementant le démarchage téléphonique a été publiée le 25 juillet 2020.Qui n’a pas déjà reçu des appels téléphoniques lui vantant tel ou tel produit ou service, émanant d’un fournisseur généralement inconnu, appelant à des heures parfois indues, y compris le samedi matin, pour se voir proposer de souscrire aux services d’un opérateur de télécoms, d’acheter des bouteilles de vin, d’adhérer à une mutuelle, voire de réaliser des travaux à son domicile, le tout à des prix défiant évidemment toute concurrence ?

Qui n’a pas déjà reçu ces appels alors même que le numéro utilisé est inscrit dans la base de données Bloctel et qu’en conséquence il ou elle pensait avoir acheté la paix téléphonique ?

Il faut bien reconnaître que tous les efforts qui ont jusqu’à présent été faits par le législateur pour encadrer ces campagnes d’appels téléphoniques ont été relativement peu récompensés.

L’ouvrage a donc été mis une nouvelle fois sur le métier et, après de longs mois de mise au point, un nouveau texte a été adopté et publié le 25 juillet 2020 (1).

En substance, cette loi a pour ambition de sanctionner de manière plus sévère un certain nombre de comportements. Face aux fraudes qui ont été constatées, elle va même jusqu’à interdire purement et simplement toute opération de démarchage téléphonique pour les offres de travaux de rénovation énergétique des habitations, annoncées bien souvent comme étant réalisées pour 1 euro seulement grâce aux subventions publiques dont elles bénéficient alors, qu’en réalité, le consommateur se retrouve à devoir payer des sommes bien plus importantes lorsque la facture finale lui est présentée.

Par ailleurs, la loi a considérablement augmenté, en les multipliant par 25, le montant des sanctions qui peuvent être prononcées à l’encontre des professionnels peu scrupuleux, notamment ceux qui omettent de vérifier, avant toute campagne d’appels, que les numéros appelés ne sont pas inscrits dans la liste d’opposition Bloctel.

Ainsi, ces sanctions, administratives, pourront désormais atteindre 75 000 euros, pour les campagnes réalisées par des personnes physiques, et 375 000 euros pour celles mises en œuvre par des personnes morales.

Les périodes pendant lesquelles le démarchage téléphonique sera autorisé sont également réglementées et un décret devra fixer les jours et les tranches horaires pendant lesquelles de telles campagnes pourront avoir lieu.

Enfin le professionnel devra désormais, et dès le début de l’appel, indiquer à la personne qu’elle a la possibilité d’inscrire son numéro sur la liste d’opposition Bloctel.

Par voie de conséquence, le Code de la consommation est modifié par la loi du 24 juillet 2020, mais aussi le Code des postes et communications électroniques puisque les droits des opérateurs de communications électroniques sont corrélativement renforcés.

En effet, ces derniers vont disposer de droits de suspension des numéros utilisés par les professionnels qui ne se conformeraient pas à la loi et un mécanisme de signalement devrait être mis en place par voie d’arrêté.

L’article L.44 du CPCE est également complété de nouvelles dispositions relatives au contrôle de l’authentification de l’appelant.

Reste maintenant à espérer que ce texte atteindra son objectif, face à des pratiques qui sont souvent vécues comme étant très agressives car intrusives.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Loi n°2020-901 du 24 07 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux




Contrat MSP Managed Service Provider : fini les zones d’ombre

contrat MSPA l’occasion du webinar organisé par BeMSP pour le rendez-vous annuel French Summit, Eric Le Quellenec a précisé les enjeux du contrat de Managed Service Provider (MSP) (1).

Beaucoup d’Entreprises de Services du Numérique (ESN) doivent revoir leur modèle économique ; à la fois en raison des opportunités ouvertes par le Cloud computing mais aussi à cause de la Covid-19. Elle a eu pour effet d’accélérer la recours au télétravail et aux prestations de services informatique à distance.

Le cadre technique du contrat MSP

Défini comme une entreprise de services informatiques qui gère les systèmes informatiques de ses clients à distance, le modèle du contrat MSP se développe de manière croissante en France.

L’infogérance a pour finalité principale le maintien en condition opérationnel d’un système. A l’inverse, le MSP vise à aligner les services informatiques avec les buts et les enjeux de l’entreprise.

Le prestataire MSP met en effet en place des outils pour détecter les mises à jour à effectuer sur le parc client et assurer un service global et anticipatif. Le MSP permet au prestataire d’industrialiser ses services ou ses process (2).

Véritable partenaire de confiance du client, le prestataire MSP est proactif dans le management des parcs informatiques pour assurer un fonctionnement optimal. Il détecte ainsi les incidents et procède à leur résolution avant que ces derniers impactent le client.

Afin de limiter les coûts et améliorer son efficacité, le prestataire MSP utilise des solutions de type RMM (Remote Monitoring and Management) et PSA (Professional Service Automation). Un RMM permet en effet au MSP de gérer et dépanner à distance les postes et serveurs et ainsi gérer simultanément l’informatique de plusieurs clients. Le PSA quant à lui permet de consolider l’ensemble des fonctions métier dans un outil unique et d’assurer une fondation solide à la croissance de l’entreprise.

Le cadre économique du contrat MSP

Le MSP doit toutefois veiller à conserver une certaine spécialité et ne pas proposer l’intégralité des services susvisés (3).

Pour être efficace, le MSP doit a minima proposer les services suivants dans son catalogue :

  • monitoring de l’infrastructure et des postes clients ;
  • sauvegarde des données à distance et plans de reprise d’activité ;
  • support utilisateur ;
  • prise en charge des applications cloud ;
  • gestion de parcs.

L’organisation de visites préventives chez le client constitue un élément à part entière de la proactivité. Il en va de même du suivi du cycle de vie du matériel installé.

Le prestataire MSP doit ainsi proposer un périmètre de service défini. Il doit donc être attentif au périmètre inscrit au contrat.

En effet, la facturation du modèle MSP se fait de façon forfaitaire avec le plus souvent des échéances au mois ou au trimestre. Grâce à ce système d’abonnement, le fournisseur s’assure une fiabilité de trésorerie en ayant des revenus mensuels récurrents contrairement à la distribution et aux projets unitaires. Cela lui permet également de fidéliser la clientèle.

Le catalogue MSP vient donc enrichir l’offre des ESN.

La proportion de revenus récurrents dans le chiffre d’affaires est un ainsi un excellent indicateur du positionnement d’un MSP. On considère habituellement que le revenu récurrent doit représenter au moins 50% du chiffre d’affaires.

Le cadre légal du contrat MSP et responsabilité

Le MSP souffre de l’absence de loi encadrant le contrat. Le MSP prendra la forme d’un contrat de prestation informatique ou un contrat d’infogérance classique.

Il convient de procéder à la limitation de responsabilité du prestataire MSP car celui-ci a vocation à tout gérer pour le compte de son client. Eu égard à l’autonomie et à la proactivité du prestataire MSP, il est fortement recommandé au prestataire MSP de présenter des rapports d’activité réguliers et de se rendre chez le client.

Faute de clause de gouvernance et de reporting adapté, le client risque en effet de contester la facturation.

Toutefois, il peut arriver, comme cela est déjà le cas fréquemment actuellement, que le prestataire MSP gère de manière quasi-autonome les systèmes et/ou données qui lui sont confiées. Au sens du RGPD, la qualification de responsable du traitement lui sera cependant difficilement attribuable, la relation de sous-traitance doit ainsi être encadrée en application de l’article 28 du RGPD (4).

En application de cet article, certaines obligations doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

La rédaction du contrat MSP doit être rigoureuse dans la définition des services fournis. En effet, un contrat mal rédigé pourrait engager la responsabilité du prestataire MSP sur la qualité de sauvegarde des données et sur l’exposition à des cyber-risques alors même que le MSP n’est en charge que du logiciel qui active la maintenance et non pas de la mise en sécurisation de l’ensemble du système informatique.

Le périmètre d’intervention et le degré d’autonomie du MSP dans les fonctions qui lui sont confiées détermineront l’intensité des obligations à sa charge, ayant pour corollaire l’intensité du devoir de conseil et de mise en garde auprès de son propre client (5).

Ainsi, un contrat MSP équilibré permet de satisfaire les attentes fonctionnelles du client tout en assurant un niveau élevé de sécurité juridique au profit de chacune des parties.

Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil

(1) Replay Webinar « contrats MSP : fini les zones d’ombres », Eric Le Quellenec pour BeMSP French Summit, juillet 2020
(2) Entretien Thomas Bresse BeMSP, L’essentiel de la Distribution IT, hors-série n°20, éd. 2020, p. 22.
(3) Entretien Thomas Bresse précité, p. 23.
(4) Contrat cloud : les impacts du RGPD sur la sous-traitance, Eric Le Quellenec, Post du 30-01-2017.
(5) CA Lyon, 1-02-2018, n°16/05963 ; CA Paris, 18-10-2017, n°04/18739.




Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Comment travailler dans un monde post-coronavirus ? Le réseau Lexing® vous informe

post-coronavirusComment travailler dans un monde post-coronavirus ? est le thème du dernier numéro de « Lexing Insights » réalisé par les membres du réseau Lexing® (1).

La pandémie et les mesures de confinement mondial ont rendu obligatoire le recours au télétravail pendant plusieurs semaines. Par conséquent, le monde du travail post-coronavirus s’est vu contraint d’intégrer le télétravail comme nouveau mode d’organisation.

Tenue des assemblées et réunions obligatoires par vidéoconférence, réalisation de signatures électroniques, dématérialisation accélérée des infrastructures, etc. Le dogme du salariat n’apparaît plus comme une solution mais comme devant se combiner avec d’autres modes d’organisation du travail.

  • Cependant, est-il souhaitable de généraliser et de pérenniser certaines des mesures prises pendant le confinement ?
  • Quels sont les risques associés et comment s’en prémunir ?
  • Quelles mesures concrètes ont été prises au niveau mondial pour permettre aux entreprises de continuer à travailler ?
  • Plus généralement, quels enseignements tirer de cette période pour construire un avenir durable dans le monde d’après ?

Pour Emmanuel Walle :

la dimension post Covid-19 implique de valoriser les travailleurs numériques, ceux-là même expulsés du système d’avant qui décident de devenir free lance ou autoentrepreneur, en se loguant sur des plateformes d’intermédiation pour louer leurs services et ainsi tenter d’échapper au marécage économique programmé ».

Le monde post-coronavirus

L’occasion selon Emmanuel Walle :

pour les acteurs que nous sommes de s’interroger et d’accélérer le traitement juridique des mutations des formes d’emploi et de travail ».

L’interrogation est centrale en France, tant les dispositions du Code du travail et son exposition prétorienne, demeurent ignorantes du reste du monde, des nouvelles formes d’emploi où les moins de 20 ans postent leurs CV sur des plateformes de grandes écoles déterritorialisées…

A l’heure du déconfinement (et avant un éventuel rebond de l’épidémie), les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Lettre Juristendances Internationales Informatique et Télécoms n°25, Juillet-août 2020.




Tour d’horizon du marché des noms de domaine en 2019

marché des noms de domaineDans son étude annuelle relative au marché des noms de domaine dans le monde (1), parue le 7 juillet 2020, l’Afnic (Association française pour le nommage internet en coopération) fournit aux opérateurs de précieuses informations sur les tendances actuelles en la matière.

Tendances générales

Sans surprise, le marché a poursuivi la hausse initiée en 2018, avec un total d’environ 346 millions de noms de domaine en décembre 2019, en progression de 4,7 % par rapport à 2018.

La majorité des noms de domaine sont enregistrés sous les extensions historiques, comme le « .com », qui reste l’extension la plus réservée avec 149 millions de noms de domaine enregistrés sous cette extension. Il convient toutefois de noter que la part de marché du « .com » ne progresse pas et reste à 43,1 % du marché des noms de domaine.

En deuxième position arrivent les extensions géographiques (132 millions de noms de domaine), comme le « .fr » ou le « .be », puis en troisième position, se placent les nTLD ou new (Top Level Domain) lancés en 2012 par l’ICANN et qui se subdivisent en trois catégories : les « .générique » tel que .poker., les « .marque » tel que .sncf et les « .géographique » tel que .paris.

En Amérique du Nord, le .com demeure majoritaire, tandis que les extensions géographiques sont largement majoritaires dans les autres régions. Il demeure donc difficile pour les nouvelles extensions (à l’exception notable de certains « .marque ») de se distinguer et de modifier les habitudes d’enregistrement de noms de domaine.

Focus particulier sur les nTLD

L’étude met en perspective une tendance à la stabilisation du nombre d’enregistrements de noms de domaine sous les nouvelles extensions (nTLDs) depuis 2017, mais avec des différences selon les catégories de nTLDs.

En effet, au sein des nTLDs, le nombre de noms de domaine enregistrés sous les extensions «.marque» a fait un bond remarquable en 2019, dû en majeure partie aux « .marque » dits ouverts et parmi eux en raison des 4,5 millions de noms de domaine sous le nTLD « .ICU ».

L’étude de l’Afnic distingue en effet les « .marque » dits ouverts pour lesquels le titulaire du nTLD ouvre l’enregistrement de noms de domaine à des tiers, selon les modalités qu’il définit, des « .marques » classiques ou fermés qui sont réservés au titulaire du nTLD. Cette distinction permet une analyse plus fine de ces nTLDs.

Autre élément remarquable : le taux très élevé de maintenance des noms de domaine en « .marque » (88 % pour les .marques classique).

Conclusion

Dans la mesure où l’identité numérique est aujourd’hui au cœur du questionnement des entreprises, les extensions en « .marque » sont un élément de la construction de la stratégie digitale des entreprises.

A cet égard, et pour anticiper qu’un 2e round de nTLD se profile pour 2022/2023, les entreprises pourront tenir compte de ce que, selon l’Afnic et au regard des coûts actuels d’un nTLD, « le seuil d’équilibre pour un TLD commercialisant ses noms de domaine autour de 20 $ se situe à 5 000 noms ».

Anne-Sophie Cantreau
Camille Goguet
Lexing Propriété industrielle conseil

(1) Le marché des noms de domaine dans le monde en 2019, Les études de l’Afnic, Juin 2020.




Le Privacy Shield invalidé par la Cour de justice de l’Union européenne

Privacy Shield invalidé

L’accord sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis adopté en juillet 2016, vient d’être annulé par la CJUE (1).

Pour rappel, cet accord ou plutôt cette « décision d’adéquation » visait à reconnaître, aux mécanismes EU–US Privacy Shield bouclier de protection des données »), le niveau de protection essentiellement équivalent aux exigences européennes (2) ; l’idée étant de :

  • permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis,
  • sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise posées par l’Union européenne à travers le RGPD pour autoriser de tels transferts.

Pour bénéficier de la décision d’adéquation, les entreprises américaines devaient donc « s’auto-certifier ». La démarche consistait à s’engager auprès du département du commerce des États-Unis, à respecter :

  • un ensemble de règles et
  • de garanties en matière de protection des données personnelles.

Le Privacy Shield vs RGPD

Le bouclier de protection des données faisait partie des différents outils permettant de transférer des données personnelles vers les États-Unis ; aux côtés des autres solutions telles que les clauses contractuelles types ou les règles d’entreprise contraignantes. 

Le Privacy Shield avait été attaqué dès son adoption, par le militant autrichien de la vie privée Max Schrems. Ce dernier avait déjà obtenu l‘annulation du « Safe Harbor » américain en 2015 (3).

La CJUE vient d’invalider l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective » (4).

Les « clauses contractuelles » demeurent légales en matière de transfert de données

En revanche, la Cour valide une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données (5).

Selon la CJUE, cette décision reste valide par le seul fait que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », en raison de leur caractère contractuel.

En revanche, précise-t-elle, cette validité dépend « du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». 

La Cour constate que la décision 2010/87 met en place de tels mécanismes.

Isabelle Pottier
Lexing Département Etudes et publications

(1) CJUE affaire C‑311/18 du 16-07-2020, dit « Schrems II ».
(2) Décision d’exécution (UE) 2016/1250, du 12-07-2016.
(3) CJUE affaire C-362/14 du 06-10-2015, Schrems.
(4) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(5) Décision CE 2010/87 du 5 février 2010.




Contract Manager face à la crise sanitaire : premiers enseignements

Eric Le Quellenec

Eric Le Quellenec, a participé au colloque « Contract Manager face à la crise sanitaire : premiers enseignements » organisé par le Centre de Formation Permanente – Université Paris 2 et l’Aducma, Association du DU de Contract Management d’Assas, intervenant sur la thématique de la protection des données personnelles.

Covid-19, données personnelles et vie privée

La crise sanitaire de la Covid-19 engendre de nombreux retards ou reports dans l’exécution des projets de toute nature. Le contract manager, en lien avec le project manager, doit savoir si l’indisponibilité de collaborateurs ou d’équipes clients côté utilisateur nécessite justement de :

  • revoir le planning projet,
  • mettre en place un complément de budget ou peut-être encore
  • réorganiser le phasage de lots.

Par conséquent, ces mesures nécessitent d’avoir une vue claire sur qui est absent, indisponible et pendant combien de temps. Cela supposerait qu’il puisse y avoir nécessité au niveau des personnes clés du projet d’individualiser la gestion des équipes.

Il pourrait être tentant d’avoir une vue claire sur les arrêts maladie voire peut-être l’état de santé des personnes clés du projet en prenant leur température. Cela n’est pas possible.

Ainsi, dans des recommandations très claires, le Cnil a indiqué que malgré la Covid-19, il n’y a pas de régime d’exception sur la collecte des données de santé. Il n’est pas possible d’avoir un fichier de santé qui répertorie de telles données a fortiori sur des relevés de température.

Le contract manager doit bien faire avec les outils comme le dossier de risques, le dossier de problèmes mais aussi le suivi des actions. Par exemple, il convient de mettre en œuvre le principe de la minimisation de la collecte des données personnelles, s’en tenir à une approche chiffrée, objective qui permette de mesurer impact sur l’exécution contrat et prendre les mesures adaptées au niveau de la gestion du projet au travers d’un nouveau phasage des lots ou envisager de régulariser un avenant, lequel supposera la signature des parties.

L’action du contract manager ne doit pas se faire en violation du RGPD. La prise de mesures adaptées nécessite d’appliquer la démarche et d’utiliser les outils à sa disposition.

L’usage de la vidéoconférence par le contract manager en négociation

La vie des affaires ne s’est pas arrêtée pendant la crise de la Covid-19. Simplement, il a fallu s’adapter et de réunions que l’on privilégie en présentiel lorsque l’on parle de négociation de contrat, il a fallu se contenter de visioconférence voire de téléconférence. Les outils sont nombreux, le Contract Manager aura tendance à utiliser les outils qui sont ceux de son entreprise.

Pour des raisons de compatibilité, il a parfois été nécessaire d’utiliser des outils grands publics comme Facetime ou l’outil vidéo proposé dans Messenger. Pour des raisons de confidentialité, il est nécessaire, dans certaines négociations sensibles, de :

  • régulariser certains accords de confidentialité et
  • fixer des règles comme l’interdiction de la captation du son ou des images afin de préserver la loyauté des échanges.

Il a fallu une meilleure coordination ou discipline dans le déroulement de ces réunions ou séances de travail, tout particulièrement en phase de négociation :

  • présentation obligatoire des parties (tour de table) et
  • mise à disposition d’un ordre du jour écrit
  • suivi d’un compte-rendu avec plan d’action associé.

Sur la phase de négociation contractuelle, la plus sensible, en séance, il est assez aisé d’anticiper les réactions des uns et des autres et de s’accorder un peu de souplesse dans le déroulement des échanges et, peut-être, organiser des pauses.

En visioconférence, sur une session liée à un créneau horaire donné et fixé à l’avance, cela est plus compliqué. Il faut, pour chaque contract manager réunissant autour de lui des parties, s’assurer que chacune puisse, en temps utile :

  • s’exprimer et
  • bénéficier le moment venu d’une pause autant que nécessaire, sans perdre la session de visioconférence.

Il faut également :

  • prévoir que le micro soit en mode « muet » et
  • partager autant que de besoin son écran lorsque des clauses sensibles doivent être discutées en séance.

Une réorganisation plutôt qu’une révolution

Ces règles doivent s’appliquer lorsque l’on est sur des réunions de gestions de projet auxquelles le contract manager est associé. A cet effet, il doit également s’assurer avec les parties prenantes, que :

  • chacun ait la possibilité de s’exprimer et
  • les idées partagées au cours de cette réunion le soient d’une manière transparente, accessible et constructive.

La Covid-19 n’a pas révolutionné la manière de travailler à distance. Elle a plutôt contraint à se réorganiser et être un peu plus sensible à ces règles de travail collaboratif afin que la cible et les résultats obtenus soient atteints et partagés de tous.

Eric Le Quellenec,
Avocat au barreau de Paris
Lexing Informatique Conseil