Premières décisions de la commission des sanctions de l’AFA

commission des sanctions

La commission des sanctions de l’Agence française anticorruption a rendu deux décisions qui apportent des enseignements sur les dispositifs de mise en conformité.

L’AFA, Agence française anticorruption est une création de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin II » (1). Cette agence aide à détecter et à prévenir les manquements au devoir de probité au niveau national. Elle est dirigée par un magistrat nommé par décret du Président de la République, et comprend une commission des sanctions.

Cette commission des sanctions a rendu deux premières décisions de portée similaire. Il s’agit des affaires S SAS du 4 juillet 2019 (2) et I. et M. C. K. du 7 février 2020 (3).

Dans ces deux cas, la commission des sanctions s’est prononcée, suite à une procédure de contrôle diligentée par l’AFA dans des entreprises, sur l’existence de manquements aux dispositifs de mise en conformité (de l’anglais compliance) prévus par l’article 17 de la loi Sapin II.

Ces deux décisions apportent des précisions importantes tant sur la forme que sur le fond, qui touchent au partage des compétences entre le directeur de l’AFA et la commission des sanctions, ainsi qu’à l’administration de la preuve par le directeur de l’AFA et l’entreprise contrôlée.

Les enseignements de commission des sanctions sur le plan de la procédure de contrôle de conformité et de sanction

Les premiers enseignements des décisions en cause ont trait à la délimitation de la saisine de la commission des sanctions de l’AFA. Sur ce point, la décision du 7 février 2020 rappelle très clairement que la loi distingue, au sein de l’AFA, les fonctions exercées par le directeur de l’agence de celles de la commission des sanctions.

Le directeur de l’AFA est le seul à pouvoir engager les poursuites et à en déterminer le périmètre. Son avis, qui constitue l’acte de saisine de la commission, est donc un préalable obligatoire à toute procédure.

Ainsi, seuls les griefs relevés dans le rapport définitif et repris dans l’avis du directeur, lequel est communiqué pour observations au mis en cause, seront retenus devant la commission des sanctions. La décision du 4 juillet 2019 précise que les griefs figurant dans le rapport définitif mais non repris dans l’avis du directeur doivent être considérés comme abandonnés.

En outre, ces deux décisions rappellent que le directeur est tenu à une obligation de précision dans l’énoncé des griefs, puisque ceux-ci fixent l’étendue de la saisine. Ainsi, les griefs doivent être formulés dans des termes suffisamment clairs pour qu’il n’existe aucun doute sur leur contenu et leur portée.

Toutefois, la décision du 7 février 2020 considère que cette obligation de précision ne doit pas être appréciée au seul regard de la notification par le directeur, mais au regard de l’ensemble de la procédure, pour vérifier que les droits de la défense ont pu être exercés correctement. Enfin, cette même décision précise que le fait que l’avis du directeur requiert le prononcé d’une sanction pour l’inexécution d’une injonction, alors que cela n’est pas prévu par la loi, ne constitue pas un vice de procédure.

Un autre enseignement des décisions en cause réside dans la compétence de la commission des sanctions de l’AFA. La commission dispose d’un pouvoir exclusif pour prononcer des sanctions, que ce soit des injonctions ou une sanction pécuniaire. Elle n’est en aucun cas liée par l’avis du directeur de l’AFA, la loi prenant bien soin de distinguer les deux fonctions.

La commission des sanctions déclare dans la décision du 4 juillet 2019 qu’elle n’est pas compétente pour se prononcer sur d’éventuelles irrégularités de procédure. Elle n’est compétente que pour se prononcer sur les manquements aux dispositifs de conformité prévus à l’article 17. Toutefois, ces manquements doivent perdurer au jour où la commission des sanctions statue.

Si le manquement a été réparé au jour de l’audience, il ne pourra plus être sanctionné. Toutefois, la décision rappelle que dans le cadre des contrôles sur pièces et sur place, il est possible de solliciter des documents se rapportant à une période antérieure à la loi Sapin II, dès lors que ceux-ci sont « utiles » pour contrôler le risque de corruption.

Les enseignements sur le plan du dispositif de conformité

Les derniers enseignements des deux décisions portent sur l’administration de la preuve. Les recommandations de l’AFA n’ont pas de valeur contraignante.

Pour autant, l’agence incite les entreprises à s’y conformer. Or, cette absence de caractère contraignant a nécessairement des conséquences sur l’administration de la preuve.

Ces deux décisions distinguent deux hypothèses. D’une part, si la société contrôlée affirme avoir suivi les recommandations de l’AFA, elle est présumée satisfaire aux exigences légales, et il revient au directeur de l’AFA de prouver le contraire. D’autre part, si la société déclare ne pas avoir suivi les recommandations ou allègue ne les avoir suivis que partiellement, elle doit démontrer « la pertinence, la qualité et l’effectivité du dispositif » qu’elle aura librement choisi de suivre.

Bien qu’il appartienne au directeur de l’AFA de démontrer les manquements reprochés, l’entreprise contrôlée est tenue d’apporter les éléments dont elle est seule à disposer et qui permettent d’apprécier l’effectivité des mesures mises en œuvre dans le cadre de son plan de conformité.

Virginie Bensoussan-Brulé
Lexing Contentieux numérique
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
Ecole Nationale de la Magistrature

(1) Loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin II ».
(2) Décision n° 19-01 Société S SAS et Mme C.  du 4 juillet 2019.
(3) Décision n° 19-02 Société I. et M. C. K. du 7 février 2020.




Les outils du DPO pour piloter la mise en conformité

Les outils du DPO

Quels sont les outils du DPO pour piloter avec efficacité la mise en conformité des traitements au RGPD ? Chloé Torres, directrice du département Informatique et libertés anime un petit-déjeuner débat, le 25 mars 2020 sur ce thème.

Garant de la conformité des traitements au sein de l’entreprise, le délégué à la protection a besoin d’outils pour piloter au quotidien cette mise en conformité.

Quels sont ces outils, comment les mettre en oeuvre et surtout comment les mutualiser au sein d’un groupe ?

  • le tableau de bord mensuel et les indicateurs : liste des actions, traitements soumis à analyse d’impact, mise à jour des mentions d’information du site, actualisation du parcours client, intégration des référentiels Cnil, etc. ;
  •  les procédures et méthodologies relatives à un contrôle Cnil, la protection dès la conception, la gestion des droits des personnes, la gestion des données sensibles, la mise à jour des registres, la cartographie des traitements, etc. ;
  • le plan de route à 3 ans : chantiers prioritaires, trajectoire, anticipation de tendances sectorielles, futur label européen, etc. ;
  • les outils techniques : registres, chatbot, site d’accountability, etc. ;
  • le plan de formation des personnels ;
  • le plan d’audit des traitements, etc.

Tels sont les outils du DPO qui seront présentés par Chloé Torres, par ailleurs DPO du cabinet et secrétaire générale de l’Association des Data Protection Officers (ADPO)

Le petit-déjeuner débat aura lieu le 25 mars 2020 de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Information : le Petit-déjeuner débat sur les outils du DPO pour piloter la mise en conformité est reporté.

   
Inscriptions closes

Cet évènement a rencontré un succès important dès son annonce, ce dont nous vous remercions.
Le nombre maximal de participants a été atteint très rapidement et il ne nous est malheureusement plus possible de prendre des inscriptions fermes.

   




Les outils de la compliance : l’exemple de la conformité au RGPD

complianceAlain Bensoussan évoque pour la revue du Grasco (*) les outils de la compliance en illustrant son propos par la conformité au RGPD.

A l’ère des algorithmes et de l’IA, les nouvelles technologies bouleversent tous les modèles de développement. Selon Alain Bensoussan, « les programmes de compliance, apparus dans les années 2000, n’y échappent pas, comme le démontre la conformité au RGDP qui cristallise toutes les attentions depuis plus de deux ans ».

Comme l’a défini le Cercle de la Compliance, un programme de compliance est un ensemble de processus « qui permettent d’assurer le respect des normes applicables à l’entreprise par l’ensemble de ses salariés et dirigeants, mais aussi des valeurs et d’un esprit éthique insufflé par les dirigeants  ».

C’est incontestablement le cas de la mise en conformité au Règlement général sur la protection des données  (« RGPD » ou « GDPR » en anglais), adopté le 27 avril 2016 et directement applicable dans tous les Etats membres depuis le 25 mai 2018.

Le déploiement, au sein des organisations des contraintes découlant du RGPD est une opération complexe. Selon Alain Bensoussan, « pour les entreprises, un seul mot d’ordre dans les mois à venir : assurer le maintien aux conditions opérationnelles de la conformité à la règlementation Informatique et libertés ».

Compliance RGPD : pas de conformité sans des outils dédiés

Une chose est certaine aux yeux de l’avocat-technoloque : la conformité Informatique et libertés ne peut être atteinte sans outils dédiés. Et, ajoute-t-il, « des outils s’inscrivant dans le cadre d’une logique de globalisation logicielle ».

En effet, même s’il est possible pour tout un chacun de faire par exemple l’acquisition d’un registre de traitements, d’un registre sous-traitant ou encore d’un registre violation de sécurité, voire de tout autre outil, comme une simple « brique », mieux vaut pour les organisations disposer de l’ensemble de la documentation en un seul endroit, où le responsable de traitement et le délégué à la protection des données pourront retrouver aisément l’ensemble des documents.

Conformité au RGPD et logique de globalisation logicielle

Cette approche est à ses yeux un élément majeur dans le cadre du déploiement d’un programme de conformité. En effet, plus les outils sont disparates, moins l’information sera globale et pertinente.

Cela permet, dans le cadre du suivi des traitements, mais également et surtout en cas de contrôle, de disposer de la même information à partir de différents terminaux, à toute heure du jour et de la nuit.

Et Alain Bensoussan de conclure : « la mise en place de programmes de compliance constitue un enjeu stratégique et organisationnel qui ne saurait faire l’économie de la mise en place d’outils dédiés. A l’heure de la disruption digitale, ces outils permettront d’optimiser le déploiement de due diligences dans le cadre de programme de compliance, qu’il s’agisse du RGDP, de la loi Sapin 2 et demain, d’autres projets ».

Revue du Grasco n°25, décembre 2018 : la revue du GRASCO est consultable  sur www.larevuedugrasco.eu qui renvoie sur tous les numéros de la revue ».

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique

(*) La revue du GRASCO est un trimestriel édité par le GRASCO (Groupe de Recherches Actions Sur la Criminalité Organisée) ayant pour thème principal la prévention et la répression de la criminalité organisée dans sa dimension économique et financière à l’échelle nationale, européenne et internationale. Les contributions s’adressent à tous les acteurs de la prévention et de la répression de la criminalité organisée.




Cloud computing et conformité RGPD : surmonter les paradoxes

Cloud computing et conformité RGPDConfronter Cloud computing et conformité RGPD (Règlement général sur la protection des données) peut sembler paradoxal.

Tel était le thème du Petit-déjeuner débat du 11 avril 2018 animé par Eric Le Quellenec et Edouard Camoin, responsable de la sécurité des systèmes d’information (RSSI) de la société Outscale.

En effet, le RGPD impose de nouvelles règles contraignantes sur un territoire restreint quand le cloud computing a vocation à se développer à l’international avec un objectif de service toujours plus performant.

Cloud computing et conformité RGPD : de nombreuses obligations

Cloud computing et conformité RGPD

Le RGPD impose de nombreuses obligations notamment en matière de sous-traitance. Il est donc important, dans un premier temps, d’écarter la responsabilité conjointe car les prestataires du cloud n’en veulent pas.

Concernant la clause de sous-traitance, celle-ci doit mentionner tous les points de l’article 28 du RGPD. Par ailleurs, il est nécessaire de mentionner :

  • la forme des instructions du client ;
  • l’arrêt des services par le sous-traitant pour une instruction illégale ;
  • la mention d’une obligation de moyen ou de résultat ;
  • le déplafonnement ou pas de la clause limitative de responsabilité ;
  • un droit de résiliation du contrat pour refus d’un sous-traitant ultérieur par le client ;
  • la mise en place d’un audit de manière indépendante et non pas automatique dès qu’une faille de sécurité apparaît ;
  • les délais pour la destruction des données à la fin du contrat.

Marché cloud US centré et RGPD

L’entrée en vigueur du RGPD n’empêche pas de continuer à travailler avec les Etats-Unis. Cependant, la Cnil conseille de ne contracter qu’avec les prestataires qui s’auto-déclarent conformes au Privacy Shield.

Affaire Microsoft Ireland

Dans le cadre d’un trafic de stupéfiants, la justice américaine a souhaité avoir accès à des données personnelles qui étaient stockées dans les serveurs de Microsoft Irland. Mircosoft Irland ayant refusé toute fourniture de données en l’absence de décision de justice américaine et d’exequatur en Irlande, les Etats-Unis ont voté une nouvelle loi : le Cloud Act (Clarifying Lawful Overseas Use of Data Act).

D’après ce Cloud Act, les Etats-Unis peuvent imposer à toute personne physique ou morale américaine ou rattachée aux Etats-Unis, d’après la définition de la « US Person » du Cloud Act, de divulguer des informations dans le cadre d’une décision judiciaire et ce même si cette personne est localisée en dehors des Etats-Unis.

Cloud computing et conformité RGPD

Le cloud souverain, une solution

Amazon étant le leader sur le marché du cloud, Outscale est une alternative qui propose une des infrastructures « multisouverains » (comprendre par régions) configurables sur mesure.

Concernant le transfert de données européennes aux Etats-Unis, sans revenir sur le Cloud Act, les contraintes sont nombreuses et les garanties faibles alors que concernant la conformité au Privacy Shield, il faut savoir que toute entreprise américaine peut être déclarée conforme si elle en paye le prix.

Eric Le Quellenec
Aurélie Alcaraz
Lexing Informatique conseil




RGPD quelles actions mettre en œuvre à J- 80 ?

RGPD quelles actionsRGPD quelles actions mettre en œuvre à 80 jours de l’entrée en application du RGPD (Règlement Général sur la Protection des Données) ? Une passionnante intervention d’Alain Bensoussan, lors de la matinale organisée par la société Weave, un cabinet de conseil en stratégie opérationnelle, le 7 mars 2018.

Une matinée consacrée à la mise en conformité avec la réglementation sur la protection des données personnelles en Europe, à 80 jours de son entrée en application !

Alain Bensoussan a rappelé le périmètre d’application et les impacts du RGPD pour les entreprises mais également pour tout un chacun. Pour lui, « le droit le plus important c’est le droit à la dignité, qui est au cœur du RGPD ».

Didier Rousseau, Président fondateur de Weave et son équipe ont présentés leur retour d’expérience très instructif et leur témoignage sur l’application du RGPD et les typologies de solutions à mettre en place pour se mettre en conformité.

RGPD quelles actions ?

Cette matinée  a été l’occasion de peaufiner les actions permettant de mieux appréhender la conformité au règlement européen sur la protection des données qui sera applicable dès le 25 mai 2018.

Des enjeux et thèmes importants ce sont dégagés des échanges et témoignages des participants. L’occasion également pour Ghislain de La Fourniere et Bertrand Helfre, CISSP, CISM, CISA de présenter le retour d’expérience de Weave sur le sujet : sensibilisation, création de Roadmaps dédiées, anonymisation de données !

Cette présentation a été suivie d’une séance de questions réponses juridiques menées par Alain Bensoussan.

Cette matinée « RGPD quelles actions » a permis de définir les actions prioritaires à mener à quelques jour de l’entrée en application du RGPD.

De fait, la mise en conformité au RGPD est bien engagée !

Matinale Weave du 7 mars 2018
Lieux : la Friche, 23 rue de Vienne, 75008 Paris

Plus de photos sur :
https://twitter.com/weaveconseil?lang=fr
https://nl.linkedin.com/company/weave




Contrat de licence de progiciel et défaut de conformité

Contrat de licence de progiciel et défaut de conformitéLa présente espèce a trait à l’invocation des règles issues de la Convention de Rome sur la vente internationale de marchandises relatives au défaut de conformité d’une chose.

A l’origine de l’affaire, un contrat de vente portant sur des biens périssables avait été signé entre un vendeur danois et un acheteur français.

Plus de deux mois après la dernière livraison, l’acheteur s’était plaint du défaut de conformité de la chose à la commande et s’était refusé à régler l’intégralité du prix convenu. Le vendeur l’avait alors assigné en paiement du prix et avait obtenu gain de cause en appel.

Le pourvoi formé par l’acheteur critiquait l’arrêt d’appel qui aurait dû, selon lui, rechercher si le vendeur n’était pas nécessairement informé, en sa qualité de producteur, des caractéristiques des marchandises et n’était pas nécessairement conscient qu’elles ne pouvaient convenir pour l’usage auquel elles étaient destinées en application de l’article 40 de la Convention de Vienne.

Le pourvoi est rejeté. La Cour de cassation confirme la décision d’appel qui, après avoir constaté que le vendeur s’était déplacé afin de constater les problèmes survenus avec la dernière livraison et qu’il avait accordé une remise commerciale à l’acheteur, avait retenu que l’acheteur ne rapportait pas la preuve que le vendeur, fût-il producteur des marchandises litigieuses, connaissait ou ne pouvait ignorer, au sens de l’article 40 de la Convention de Vienne, les faits sur lesquels portaient les défauts de conformité et s’était abstenu de les lui révéler.

Le présent arrêt apporte un éclairage important sur l’application des dispositions de la Convention de Vienne dans le cadre d’un contrat de vente internationale de marchandises, qui s’applique aux seuls contrats de vente. Ainsi, lorsque les parties à un contrat de vente ont leur établissement principal dans un Etat signataire de la Convention, et en l’absence d’exclusion expresse de celle-ci dans le contrat , elles seront automatiquement soumises à la Convention qui s’appliquera d’office , au détriment du droit français.

Or, le droit français prévoit que la présomption du défaut de conformité de la chose au jour de l’acquisition joue si le défaut apparaît dans un délai de 6 mois à compter du jour de l’acquisition. Passé ce délai, l’acheteur devra prouver que le défaut existait au jour de l’achat. En revanche, la Convention de Vienne précise que l’acheteur a la possibilité de dénoncer le défaut de conformité dans un délai raisonnable suivant la découverte ou le jour où il aurait dû le découvrir à défaut de quoi il sera déchu de son droit d’agir , sauf à ce qu’il prouve que le vendeur avait connaissance ou ne pouvait ignorer le défaut de conformité.

Depuis le fameux arrêt Oracle du 3 juillet 2012 de la CJUE, qui a qualifié le contrat accordant une licence perpétuelle à des utilisateurs de progiciels d’occasion, de « vente d’exemplaire » (alors que les éditeurs qualifient en général ces contrats de contrat de service puisque seul un droit d’utilisation est accordé et qu’il n’y a pas de remise matérielle d’une chose), il existe un risque que la Convention de Vienne, et les dispositions sur la conformité, plus particulièrement, s’applique à ces contrats. Beaucoup d’éditeurs, afin d’anticiper ce risque de requalification en contrat de vente, prévoient expressément dans leur contrat de service, l’exclusion de la Convention de Vienne. Cette précaution semble avoir vocation à se généraliser.

Marie-Adélaïde de Montlivault-Jacquot
Laure Lalot
Lexing Contentieux informatique




Conformité de l’obligation de délivrance et procès-verbal

Conformité de l'obligation de délivrance et procès-verbalS’agissant de matériels complexes et sophistiqués, l’obligation de délivrance du vendeur ne se cantonne pas à la simple livraison matérielle de la chose vendue mais s’étend à sa mise au point effective.

Un arrêt du 10 février 2015 rendu par la Cour de cassation rappelle quelques règles. A l’origine de cette affaire, un contrat de crédit-bail portant sur un tour CNC. Après la réception de l’objet et la signature, sans réserve, du procès-verbal de réception par le locataire, ce dernier arrête de payer les loyers au motif que l’objet livré n’est pas conforme aux exigences contractuelles.

Le locataire assigne donc le fournisseur et le bailleur en résolution du contrat de vente et du contrat de crédit-bail sur le fondement de la violation, par le fournisseur, de son l’obligation de délivrance prévue à l’article 1604 du Code civil.

La Cour d’appel de Paris prononce la résolution du contrat de vente conclu entre le fournisseur et le bailleur. Elle estime, en effet, qu’en dépit de la valeur contractuellement conférée au procès-verbal de réception, à savoir la reconnaissance de la bonne réception et de la conformité du matériel vendu par le locataire, le caractère complexe et sophistiqué du matériel livré empêche que la signature sans réserve dudit procès-verbal suffise à satisfaire l’obligation de délivrance qui pesait sur le fournisseur et qui ne se limitait pas à la simple remise matérielle de la chose.

Le fournisseur se pourvoit en cassation arguant notamment du fait que le refus d’admettre que l’établissement du procès-verbal de réception, attestant pourtant de la livraison matérielle de la chose vendue ainsi que de sa conformité aux exigences contractuelles, suffit à rapporter la preuve de l’exécution de son obligation de délivrance par le fournisseur constitue une violation de l’article 1604 du Code civil.

La Cour de cassation rejette le pourvoi estimant, à l’instar de la Cour d’appel, que « l’obligation de délivrance de machines complexes n’est pleinement exécutée qu’une fois réalisée la mise au point effective de la chose vendue » et que, dans ce contexte, l’établissement du procès-verbal de réception ne « suffisait pas à rapporter la preuve de l’exécution de l’obligation de délivrance », mais permettait uniquement le départ du contrat de crédit-bail.

La Cour de cassation confirme ici une solution jurisprudentielle déjà établie selon laquelle la délivrance d’une chose complexe par son vendeur ne consiste pas en sa simple livraison matérielle.

Les juges suprêmes rappellent ainsi, dans la présente décision, que s’agissant de produits complexes « il ne peut suffire que le fournisseur livre les éléments matériels commandés, visés par le procès-verbal de réception, mais qu’il importe que soit établie l’effectivité de la mise en route (…) ».

Ainsi, l’obligation de délivrance pesant sur le vendeur de produits complexes s’apprécie concrètement à l’issue de plusieurs phases en ce qu’elle comprend, outre la livraison matérielle du produit vendu, la délivrance des accessoires nécessaires à son fonctionnement, ce qui recouvre ainsi son installation et sa mise en service, voire même la formation de ses futurs utilisateurs.

Par analogie, cette solution, rendue à propos d’un contrat de vente, peut être étendue aux contrats d’entreprise ; la satisfaction de l’obligation de délivrance du prestataire d’un service complexe pourrait ainsi être subordonnée à des conditions de délivrance spécifiques, relatives à la mise en œuvre du service, qui devraient être constatées par un procès-verbal de vérification de service régulier (VSR) et non simplement par un procès-verbal de livraison.

Marie-Adélaïde de Montlivault-Jacquot
Armelle Fagette
Lexing Contentieux informatique




L’obligation de délivrance conforme de produits complexes

L'obligation de délivrance conforme de produits complexesDélivrance conforme – La Cour de cassation réaffirme le principe selon lequel, l’obligation de délivrance conforme de produits complexes est remplie dès lors que la mise au point effective de la chose a été réalisée (1).

Le 28 mai 1999, la société C a conclu avec la société S un contrat de prestation de services internet et une convention de location financière de matériels et de logiciels. La convention a, par la suite, été cédée par la société S à la société L.

Dès l’apparition de difficultés relatives au fonctionnement du site internet et après s’être plainte auprès de la société S, la société C a cessé de régler les redevances de location afférentes à la convention, puis a assigné les sociétés S et L en annulation des deux contrats pour défaut de cause réelle et sérieuse. Subsidiairement, elle a sollicité la résolution du contrat de prestations de services et la résiliation de la convention de location financière.

La Cour d’appel de Bourges a fait droit à ses demandes et a prononcé la résolution du contrat de prestation de services puis condamné la société S au paiement de dommages-intérêts.

Estimant qu’en ne recherchant pas si la société C n’avait pas reconnu, après la démonstration du site, lors de la signature du procès-verbal de réception, être parfaitement informée des modalités d’utilisation du site de sorte qu’elle était en mesure de déceler les défauts affectant ce dernier lors de la réception, la cour d’appel avait violé les articles 1147 et 1184 du Code civil, la société S s’est donc pourvu en cassation.

La Cour de cassation a considéré que la cour d’appel avait, à bon droit, retenu que l’obligation de délivrance conforme de produits complexes n’est pleinement exécutée qu’une fois réalisée la mise au point effective de la chose vendue.

En considérant que la signature, par le client, d’un procès-verbal de recette sans réserves ne suffit pas à prouver le respect par le fournisseur de produits complexes de son obligation de délivrance, la jurisprudence renforce les conséquences de l’obligation de délivrance conforme pesant sur le prestataire.
En réalité, le juge effectue une appréciation différente entre la réception, qui sanctionne la délivrance conforme du produit et celle qui sanctionne la seule livraison du support matériel de ce même produit.

En effet, si le procès-verbal sans réserve peut effectivement valoir preuve du respect de l’obligation de délivrance conforme concernant le matériel qui y est visé, dans le cadre de la vérification de conformité du produit complexe lui-même, une distinction s’impose.

Pour la livraison du produit complexe, il faut donc distinguer le procès-verbal de recette au stade de la vérification d’aptitude et celui intervenant au stade de la vérification de service régulier.

Or, c’est la vérification de service régulier, à savoir la vérification que le produit livré est opérationnel avec le reste de l’environnement dans une hypothèse de fonctionnement en réel, qui permet effectivement de vérifier le respect ou non de l’obligation de délivrance par le prestataire.

Dans le cas présent, la notion de « mise au point » utilisé par la Cour de cassation recouvrirait en conséquence cette phase de vérification en service régulier qui n’a manifestement pas été satisfaisante.

L’obligation de « mise au point effective » de la chose vendue permettant d’apprécier le respect de l’obligation de délivrance s’appréciant lors de la phase de « mise au point », il importe que le prestataire reste mobilisé post livraison pour ne pas engager sa responsabilité.

Marie-Adélaïde de Montlivault-Jacquot

Alexandra Massaux

Lexing Contentieux informatique

(1) Cass. com., 26-11-2013 n°12-25191. A rapprocher de Cass. com. 11-7-2006, n°04-17093.




Risque technologique, risque juridique et risque de conformité

Risque technologiqueLes risques pour l’entreprise sont multiples. Une première classification des risques peut être faite entre risque technologique, risque juridique et risque de conformité. Une seconde classification des risques peut être faite entre les risques externes et les risques internes à l’entreprise. Une troisième classification des risques distingue les risques macroéconomiques et les risques microéconomiques.

Selon la norme NF ISO 31000, le risque est défini comme « l’effet de l’incertitude sur l’atteinte des objectifs ». Mais le risque peut également être défini comme la combinaison d’évènement probable ayant des conséquences sur les objectifs de l’entreprise ou de l’organisation.
Schema_risques2
Le risque technologique désigne tout risque anthropique et notamment les risques industriels, les risques liés aux phénomènes physiques (radiofréquences, hyperfréquences, rayonnements optiques, ionisants, chaleur, froid), les risques liés aux nanomatériaux, les risques liés aux agents biologiques (obligation pour tout employeur de mettre en place une démarche de prévention adaptée aux spécificités des agents biologiques) et chimiques (substances dangereuses, perturbateurs endocriniens) et plus généralement les risques portant des atteintes à l’homme et à l’environnement.

Le risque juridique peut être défini comme l’expression et/ou la manifestation du non-respect des dispositions légales ou réglementaires auxquelles l’organisation est soumise pour toutes ces activités. Le référentiel juridique concerné est naturellement l’ensemble des dispositions légales internationales, européennes si elles ont un effet direct, françaises mais également la jurisprudence qui précise la portée des dispositions précitées, ainsi que les normes professionnelles, sectorielles, déontologiques. Le risque juridique est étroitement lié aux risques opérationnels de l’organisation. Le risque juridique englobe naturellement le risque contractuel ainsi que le risque judiciaire.

Le risque de conformité. Les définitions du risque juridique et de conformité sont restées longtemps identiques. Le terme de « conformité » est apparu dans les pays de droit anglo-saxons sous le terme de « compliance ». L’un des premiers instruments juridiques imposant une vérification du risque de conformité résulte de la loi sur la réforme de la comptabilité des sociétés cotées, prise par les Etats-Unis en 2002 (encore appelée loi Sarbanes-Oxley, du nom des deux sénateurs américains à son origine, Paul Sarbanes et Mike Oxley) suite notamment aux affaires Enron et Arthur Andersen.

Didier Gazagne
Lexing Droit Risques technologiques




La Cnil audite les 250 plus gros sites internet

cnilDans un communiqué de presse du 6 mai 2013, la Cnil a annoncé qu’elle effectuait, depuis ses bureaux, un audit des 250 plus importants sites internet.

Ces audits s’inscrivent dans le cadre de l’ « Internet Sweep Day », en français, la « Journée de balayage de l’internet » qui semble porter sur l’information des consommateurs sur le traitement de leurs données à caractère personnel.

Une vingtaine d’autorités mondiales équivalentes à la Cnil, membres du Global Privacy Enforcement Network (GPEN), vont auditer ce jour des sites internet. Il s’agit de la première action commune du GPEN. Pour rappel, le GPEN a été créé, en 2007, en vue de renforcer la protection de la vie privée dans un contexte mondial.

Les audits menés par la Cnil porteront sur l’information des internautes concernant :

  • les données collectées ;
  • la finalité de la collecte ;
  • la communication des données à des tiers ;
  • l’exercice du droit d’opposition.

La Cnil précise que ces audits pourront donner lieu à des missions de contrôle et à l’ouverture de procédures de sanction en cas de constatation de graves manquements à la loi Informatique et libertés. Elle annonce, par ailleurs, qu’un compte rendu sera prochainement publié.

Dans ce contexte, les éditeurs de sites auraient tout intérêt à procéder à ce même type d’audit afin de vérifier la conformité de leur site sur ces points.

Céline Avignon
Caroline Macé
Lexing Droit Marketing électronique