Résultats de recherche pour: contrat informatique

La protection des données dans les contrats de services informatiques transfrontaliers

L’évolution rapide des technologies de l’information et de la communication a transformé le paysage des services informatiques, permettant aux entreprises de fournir des services et de stocker des données à l’échelle mondiale. Cependant, cette expansion transfrontalière des services informatiques a soulevé des préoccupations majeures en matière de protection des données personnelles.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

La protection des données est un sujet brûlant dans le monde d’aujourd’hui, et les lois sur la protection des données sont de plus en plus strictes pour garantir la confidentialité et la sécurité des informations personnelles. Cela a des implications significatives pour les contrats de services informatiques transfrontaliers, car ils impliquent souvent la collecte, le stockage et le traitement de données personnelles.

L’application des lois sur la protection des données dans les contrats de services informatiques transfrontaliers pose des défis uniques. Tout d’abord, il y a souvent une différence entre les lois sur la protection des données des pays d’origine et ceux du pays où les services sont fournis. Cela crée une tension entre la nécessité de se conformer aux lois du pays d’origine et celle de respecter les lois du pays d’accueil.

Besoin de l’aide d’un avocat pour un problème de protection de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

De plus, les contrats de services informatiques transfrontaliers impliquent souvent plusieurs parties, dont certaines peuvent être situées dans des pays différents. Cela complique davantage l’application des lois sur la protection des données, car chaque pays peut avoir ses propres règles et réglementations en matière de protection des données.

En outre, les lois sur la protection des données évoluent rapidement, ce qui rend difficile la mise en conformité des contrats de services informatiques transfrontaliers sur le long terme. Les entreprises doivent être constamment vigilantes et s’adapter aux nouvelles lois et réglementations pour éviter les sanctions potentielles et les atteintes à la réputation.

Pour faire face à ces défis, les entreprises doivent adopter une approche proactive en matière de protection des données dans les contrats de services informatiques transfrontaliers. Cela implique de mener des évaluations approfondies de la conformité aux lois sur la protection des données, de mettre en place des mesures de sécurité robustes pour protéger les informations personnelles, et d’établir des mécanismes clairs de responsabilité et de gouvernance des données.

L’application des lois sur la protection des données dans les contrats de services informatiques transfrontaliers est un défi complexe mais essentiel. Les entreprises doivent être conscientes des réglementations en vigueur dans les pays concernés, mettre en place des mesures de conformité efficaces et être prêtes à s’adapter aux évolutions législatives. En agissant de manière proactive, les entreprises peuvent non seulement se conformer aux lois sur la protection des données, mais aussi gagner la confiance des clients et préserver leur réputation dans un monde de plus en plus axé sur la confidentialité et la sécurité des données.

I. Pourquoi protéger les données personnelles ?

A. Contexte général

Dans le contexte général de l’application des lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers, il est essentiel de comprendre que les données personnelles sont devenues un enjeu majeur dans l’économie numérique mondiale. Avec la numérisation croissante des services et des échanges transfrontaliers, les entreprises doivent se conformer à un ensemble complexe de réglementations sur la protection des données pour assurer la confidentialité et la sécurité des informations personnelles de leurs utilisateurs.

Les contrats de services informatiques transfrontaliers impliquent souvent le transfert de données à caractère personnel entre différentes juridictions, ce qui soulève des défis en matière de conformité aux lois nationales et internationales sur la protection des données. Cela nécessite une attention particulière aux clauses contractuelles, aux mécanismes de transfert de données et aux mesures de sécurité pour garantir le respect des droits des individus et éviter les risques associés à la non-conformité.

B. L’importance de la protection des données personnelles dans les services informatiques transfrontaliers

L’importance de la protection des données personnelles dans les services informatiques transfrontaliers ne peut être sous-estimée. Les données personnelles sont des informations sensibles qui peuvent révéler des détails intimes sur les individus, tels que leur identité, leurs préférences, leurs habitudes d’achat et leur historique médical.

La collecte, le traitement et le stockage de ces données nécessitent une attention particulière pour garantir la confidentialité et la sécurité des personnes concernées.

Tout d’abord, la protection des données personnelles est un droit fondamental. Les individus ont le droit de contrôler leurs propres informations personnelles et de décider comment elles sont utilisées.

Les lois sur la protection des données ont été mises en place pour garantir que les entreprises respectent ces droits et traitent les données personnelles de manière éthique et légale. De plus, la protection des données personnelles est essentielle pour maintenir la confiance des utilisateurs et des clients.

Les violations de données et les atteintes à la vie privée peuvent avoir des conséquences graves pour les individus concernés, tant sur le plan financier que sur le plan émotionnel. Les entreprises qui ne parviennent pas à protéger les données personnelles risquent de perdre la confiance de leurs clients et de leur réputation. Dans le contexte des services informatiques transfrontaliers, où les données peuvent être transférées entre différents pays, il est d’autant plus important de garantir la protection des données personnelles.

Les lois sur la protection des données varient d’un pays à l’autre, ce qui rend complexe la mise en conformité avec les réglementations dans chaque juridiction. Les entreprises doivent donc être conscientes des exigences légales dans chaque pays où elles opèrent et prendre les mesures nécessaires pour garantir la conformité.

En outre, les services informatiques transfrontaliers peuvent impliquer le traitement de données sensibles dans des secteurs tels que la santé, les finances et les ressources humaines. Ces données nécessitent une protection accrue en raison de leur nature sensible et de leur potentiel d’impact sur la vie des individus. La violation de la confidentialité de ces données peut entraîner des conséquences graves, y compris des préjudices physiques, financiers ou psychologiques. Enfin, la protection des données personnelles est également importante d’un point de vue éthique. Les entreprises ont la responsabilité de traiter les données personnelles de manière équitable et transparente, en respectant les principes de minimisation des données, de finalité spécifique et de sécurité. Cela implique de mettre en place des mesures de sécurité appropriées pour prévenir les accès non autorisés, les pertes ou les fuites de données.

En somme, la protection des données personnelles dans les services informatiques transfrontaliers est essentielle pour respecter les droits fondamentaux des individus, maintenir la confiance des utilisateurs et des clients, se conformer aux réglementations, protéger les données sensibles et agir de manière éthique. Les entreprises doivent donc accorder une attention particulière à la protection des données personnelles et mettre en place les mesures appropriées pour garantir la confidentialité et la sécurité des informations personnelles.

II. Réglementation des données personnelles

A. Principes généraux de protection des données

  1. Consentement éclairé et volontaire

Le consentement éclairé et volontaire est l’un des principes fondamentaux de protection des données personnelles. Il stipule que les individus doivent donner leur consentement de manière claire, spécifique et librement donné avant que leurs données personnelles ne soient collectées, traitées ou transférées. Les entreprises doivent obtenir un consentement explicite et informé, et offrir la possibilité de retirer ce consentement à tout moment.

  1. Collecte limitée et finalité spécifique

Ce principe stipule que les données personnelles ne doivent être collectées que de manière adéquate, pertinente et limitée à ce qui est nécessaire pour atteindre un objectif spécifique. Les entreprises doivent informer les individus de la finalité de la collecte de leurs données et ne doivent pas utiliser ces données à d’autres fins sans obtenir un consentement supplémentaire.

  1. Exactitude et mise à jour des données

Il est essentiel de garantir l’exactitude et la mise à jour des données personnelles. Les entreprises doivent prendre des mesures raisonnables pour s’assurer que les données personnelles qu’elles détiennent sont exactes, complètes et à jour. Les individus ont le droit de demander la rectification ou la suppression de leurs données incorrectes ou obsolètes.

  1. Sécurité et confidentialité des données

La sécurité et la confidentialité des données personnelles sont des principes clés de protection des données. Les entreprises doivent mettre en place des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les pertes ou les fuites. Cela peut inclure l’utilisation de technologies de cryptage, de pare-feu et de contrôles d’accès.

  1. Conservation limitée dans le temps

Ce principe stipule que les données personnelles ne doivent être conservées que pendant la durée nécessaire pour atteindre la finalité pour laquelle elles ont été collectées. Les entreprises doivent définir des périodes de conservation appropriées et supprimer les données personnelles une fois qu’elles ne sont plus nécessaires, sauf si la loi l’exige autrement.

En conclusion, l’application des lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers nécessite de respecter les principes généraux de protection des données. Le consentement éclairé et volontaire, la collecte limitée et la finalité spécifique, l’exactitude et la mise à jour des données, la sécurité et la confidentialité des données, ainsi que la conservation limitée dans le temps sont autant de principes essentiels pour garantir la protection des données personnelles.

Les entreprises doivent intégrer ces principes dans leurs pratiques et leurs contrats afin de respecter les droits fondamentaux des individus et de se conformer aux réglementations en matière de protection des données.

B. Cadre juridique international et européen

Le cadre juridique international et européen en matière de protection des données personnelles joue un rôle crucial dans la régulation des contrats de services informatiques transfrontaliers. En particulier, le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne, entré en vigueur en 2018, établit des principes et des obligations clés pour le traitement des données personnelles, y compris les transferts de données en dehors de l’UE.

Dans le contexte international, des accords et des normes tels que le Privacy Shield entre l’UE et les États-Unis, ou les clauses contractuelles types de la Commission européenne, offrent des mécanismes pour encadrer les transferts transfrontaliers de données personnelles.

Il est essentiel pour les entreprises d’opérer dans le respect de ces réglementations pour éviter les sanctions potentielles, garantir la confiance des clients et maintenir des relations commerciales solides à l’échelle internationale. Ainsi, la conformité aux normes européennes et internationales en matière de protection des données personnelles est un aspect crucial à prendre en compte lors de la rédaction et de la gestion des contrats de services informatiques transfrontaliers..

C. Implications pour les contrats transfrontaliers de services informatiques

Les lois sur la protection des données personnelles ont des implications importantes pour les contrats transfrontaliers de services informatiques. Voici quelques points clés à prendre en compte :

  1. Juridiction applicable :

Lorsqu’un contrat de service informatique est conclu entre des parties situées dans des pays différents, il est important de déterminer quelle juridiction est applicable en matière de protection des données. Chaque pays a ses propres lois et réglementations en la matière, et il est essentiel de s’assurer que le contrat est conforme à ces lois.

  1. Transfert de données personnelles :

Les contrats de services informatiques peuvent impliquer le transfert de données personnelles entre les parties. Dans ce cas, il est nécessaire de respecter les règles de transfert de données transfrontalier, telles que les clauses contractuelles types ou les mécanismes de certification, afin de garantir un niveau adéquat de protection des données.

  1. Responsabilité du sous-traitant :

Si le prestataire de services informatiques sous-traite certaines activités à des sous-traitants situés dans d’autres pays, il est important de s’assurer que ces sous-traitants respectent également les lois sur la protection des données. Le contrat devrait prévoir des clauses spécifiques concernant la responsabilité du sous-traitant en matière de protection des données.

  1. Consentement des utilisateurs :

Les lois sur la protection des données exigent souvent que les utilisateurs donnent leur consentement éclairé pour le traitement de leurs données personnelles. Les contrats de services informatiques doivent donc inclure des dispositions permettant de recueillir et de gérer efficacement le consentement des utilisateurs

  1. Sécurité des données :

Les contrats de services informatiques doivent prévoir des mesures de sécurité appropriées pour protéger les données personnelles contre les accès non autorisés, les divulgations ou les pertes. Il est important d’identifier les normes de sécurité appropriées et de veiller à ce que le prestataire de services informatiques les respecte.

III. Conséquences de la non-conformité

A. Sanctions et amendes

En cas de non-conformité aux lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers, il y a plusieurs conséquences possibles. Voici quelques-unes des actions correctives et mesures à prendre :

  1. Notification des autorités de protection des données :

En cas de violation de la législation sur la protection des données, il est souvent nécessaire de notifier les autorités compétentes. Cela peut impliquer de fournir des détails sur la violation et les mesures prises pour y remédier.

  1. Communication aux parties concernées :

Si la non-conformité a un impact sur les données personnelles des individus, il peut être nécessaire d’informer les personnes concernées de la violation et des mesures prises pour remédier à la situation.

  1. Révision des contrats :

Il peut être nécessaire de revoir les contrats de services informatiques transfrontaliers pour s’assurer qu’ils sont conformes aux lois sur la protection des données. Cela peut impliquer de mettre en place des clauses spécifiques pour garantir la sécurité et la confidentialité des données.

  1. Mise en place de mesures de sécurité :

Il est important de prendre des mesures pour remédier aux failles de sécurité qui ont conduit à la non-conformité. Cela peut inclure la mise en place de mesures de sécurité techniques et organisationnelles pour protéger les données personnelles.

  1. Sanctions et amendes :

Selon la gravité de la non-conformité, des sanctions et amendes peuvent être imposées par les autorités compétentes. Il est donc essentiel de se conformer aux lois sur la protection des données pour éviter de telles sanctions. Il est important de noter que les mesures à prendre en cas de non-conformité peuvent varier en fonction de la législation applicable et de la gravité de la violation. Il est recommandé de consulter des experts juridiques spécialisés dans la protection des données pour obtenir des conseils spécifiques à votre situation.

L’application des lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers est essentielle pour garantir la protection des données des utilisateurs et respecter les obligations légales. En cas de non-conformité aux lois sur la protection des données personnelles, plusieurs conséquences peuvent survenir, notamment :

  1. Sanctions administratives :

Les autorités de protection des données peuvent imposer des sanctions administratives, telles que des avertissements, des amendes administratives, des restrictions d’activités, voire la suspension ou la révocation des autorisations ou licences.

  1. Amendes financières :

Les amendes financières peuvent être imposées en cas de violation des lois sur la protection des données. Le montant de ces amendes peut varier en fonction de la gravité de la violation et des dispositions légales applicables dans chaque juridiction. Dans certains cas, les amendes peuvent atteindre un pourcentage significatif du chiffre d’affaires annuel de l’entreprise.

  1. Responsabilité civile :

En cas de violation des droits des personnes concernées, les entreprises peuvent être tenues responsables devant les tribunaux civils et peuvent faire l’objet de poursuites en dommages et intérêts. Les personnes concernées peuvent demander une indemnisation pour le préjudice subi en raison de la violation de leurs droits.

  1. Réputation et confiance :

La non-conformité aux lois sur la protection des données peut entraîner une atteinte à la réputation de l’entreprise. Les violations de la confidentialité et de la sécurité des données peuvent affecter la confiance des clients et des partenaires commerciaux, ce qui peut avoir un impact négatif sur les activités de l’entreprise à long terme. Il est donc crucial pour les entreprises de se conformer aux lois sur la protection des données personnelles et d’intégrer des mesures de sécurité et de confidentialité appropriées dans leurs contrats de services informatiques transfrontaliers. Cela permet de réduire les risques de non-conformité et de garantir la protection des données personnelles des utilisateurs.

B. Impact sur la réputation et la confiance des clients

La non-conformité aux lois sur la protection des données personnelles dans les contrats de services informatiques transfrontaliers peut avoir de graves conséquences sur la réputation et la confiance des clients. Voici quelques-unes de ces conséquences :

  1. Perte de confiance des clients :

Lorsqu’une entreprise ne se conforme pas aux lois sur la protection des données, cela peut entraîner une perte de confiance de la part de ses clients. Les clients sont de plus en plus préoccupés par la confidentialité et la sécurité de leurs données personnelles, et ils attendent des entreprises qu’elles les protègent de manière adéquate. En ne respectant pas ces attentes, une entreprise risque de perdre ses clients existants et de faire fuir de potentiels nouveaux clients.

  1. Réputation ternie :

Une violation des lois sur la protection des données peut entraîner une réputation ternie pour une entreprise. Les médias et les réseaux sociaux peuvent rapidement se saisir de ces violations et en faire la une des journaux. Cela peut nuire à la réputation de l’entreprise, qui peut être perçue comme irresponsable ou peu fiable en matière de protection des données. Cette mauvaise réputation peut être difficile à rétablir et peut avoir un impact à long terme sur la croissance de l’entreprise.

  1. Sanctions financières :

Outre les amendes financières dont nous avons parlé précédemment, la non-conformité aux lois sur la protection des données peut entraîner d’autres sanctions financières. Par exemple, une entreprise peut être tenue de payer des indemnités aux personnes dont les données ont été compromises ou exploitées de manière non autorisée. Ces indemnisations peuvent être coûteuses et avoir un impact financier significatif sur l’entreprise.

  1. Actions en justice :

Les violations des lois sur la protection des données peuvent également donner lieu à des actions en justice de la part des personnes dont les données ont été affectées. Les clients mécontents peuvent intenter des actions en justice pour demander des dommages et intérêts, ce qui peut entraîner des coûts supplémentaires et une exposition médiatique négative pour l’entreprise.

C. Actions correctives et mesures à prendre en cas de non-conformité

Pour remédier aux failles de sécurité qui ont conduit à la non-conformité aux lois sur la protection des données, voici quelques mesures de sécurité à prendre :

  1. Évaluation des risques :

Effectuer une évaluation approfondie des risques liés à la sécurité des données personnelles afin de comprendre les vulnérabilités et les menaces potentielles.

  1. Mise en place de politiques de sécurité :

Élaborer et mettre en œuvre des politiques de sécurité claires et exhaustives qui définissent les procédures et les bonnes pratiques à suivre pour protéger les données personnelles.

  1. Formation du personnel :

Sensibiliser et former le personnel sur les bonnes pratiques de sécurité des données, y compris l’importance de la confidentialité, de la protection des mots de passe, de l’utilisation sécurisée des systèmes et des outils, etc.

  1. Contrôles d’accès :

Mettre en place des contrôles d’accès stricts pour limiter l’accès aux données personnelles uniquement aux personnes autorisées. Cela peut inclure l’utilisation de mots de passe sécurisés, d’authentification à plusieurs facteurs et de contrôles de privilèges d’accès.

  1. Chiffrement des données :

Utiliser le chiffrement pour protéger les données personnelles sensibles, tant en transit que lorsqu’elles sont stockées. Cela peut aider à prévenir l’accès non autorisé aux données en cas de compromission des systèmes.

  1. Gestion des incidents de sécurité :

Mettre en place un processus de gestion des incidents de sécurité qui permet de détecter, de signaler et de répondre rapidement aux violations de sécurité ou aux incidents de données personnelles.

  1. Vérification régulière :

Effectuer des audits et des vérifications régulières pour s’assurer que les mesures de sécurité sont mises en œuvre correctement et sont efficaces.

  1. Collaboration avec des tiers :

Si vous travaillez avec des partenaires ou des prestataires de services, assurez-vous qu’ils respectent également les normes de sécurité des données personnelles et mettent en place des mesures de sécurité adéquates. Ces mesures de sécurité peuvent aider à renforcer la protection des données personnelles et à prévenir les violations de sécurité. Cependant, il est important de noter que les mesures spécifiques peuvent varier en fonction de la nature des données et des exigences légales applicables.

Pour lire une version plus complète de cet article sur la protection de la vie privée entre différents pays, cliquez

Sources :

  1. La loi Informatique et Libertés | CNIL
  2. Donnée personnelle | CNIL
  3. CHAPITRE I – Dispositions générales | CNIL
  4. Assurer votre conformité en 4 étapes | CNIL
  5. RGPD & Consentement : tout ce qu’il faut savoir | Mailjet
  6. Fuite massive de données personnelles de santé – Protection des données | Dalloz Actualité (dalloz-actualite.fr)

 

Par internet-et-droit • Tags: , , ,

LES CLAUSES SENSIBLES DANS UN CONTRAT INFORMATIQUE

Les clauses limitatives ou exclusives de responsabilité, tout comme des clauses de prescription sont insérées dans la plupart des contrats informatiques. La jurisprudence par un arrêt Oracle Faurécia en 2010 a énoncé une solution claire, mettant fin aux doutes qui régnait en en matière de clause limitative ou exclusive de responsabilité, la clause relative à la prescription quant à elle, a subi une libéralisation grâce à la nouvelle loi sur la prescription.

NOUVEAU : Utilisez nos services pour faire rédiger un contrat en passant par le formulaire !

Tout d’abord, la clause limitative ou exclusive de responsabilité  a pour objet d’exclure ou de limiter tout ou partie des responsabilités d’une partie à un contrat.

Ces clauses sont valables et il est possible de les insérer dans un contrat informatique. Cependant, la présence d’une telle clause dans un contrat entre un professionnel et un consommateur, étant considérée comme abusive par l’article R212-1 du code de la consommation, sera réputée non écrite. Sur ce point, la Cour de cassation réaffirme, dans un arrêt rendu le 11 décembre 2019, que : « sont irréfragablement présumées abusives et dès lors interdites, les clauses ayant pour objet ou pour effet de supprimer ou réduire le droit à réparation du préjudice subi par le consommateur en cas de manquement par le professionnel à l’une quelconque de ses obligations. ». (1)

Il convient de préciser que ces clauses sont valables si le débiteur commet une faute peu sévère ou ordinaire, mais si le créancier démontre que le débiteur a commis une faute lourde ou dolosive alors la clause ne pourra plus s’appliquer.

L’influence du caractère essentiel de l’obligation peut rendre inefficace la clause limitative ou exclusive de responsabilité. Sur ce point, la Cour de cassation a rendu des décisions reflétant divers points de vue. En effet, par un premier arrêt dit Chronopost I du 22 octobre 1996 la cour de cassation énonce que « spécialiste du transport rapide garantissant la fiabilité et la célérité de son service, la société Chronopost s’était engagée à livrer les plis de la société B. dans un délai déterminé et qu’en raison du manquement à cette obligation essentielle la clause limitative de responsabilité du contrat qui contredisait la portée de l’engagement pris, devait être réputée non écrite ».

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

La Cour de cassation, par ce premier arrêt de la série, estime qu’en limitant la réparation au remboursement du prix du transport la clause vidait l’obligation du débiteur de sa substance ; ici il n’était pas question d’une clause limitative de responsabilité, car elle permettait de couvrir une inexécution, il s’agissait alors d’une clause exclusive de responsabilité. Dans cet arrêt, le plafond d’indemnisation fixé par la clause était dérisoire, ce qui permettait alors au débiteur de ne pas exécuter son obligation.

Ensuite, plusieurs arrêts sont intervenus en la matière, mais le plus intéressant, le plus discutable est celui rendu par la chambre commerciale de la Cour de cassation, le 13 février 2007 Oracle Faurécia. Dans cet arrêt la cour énonçait qu’il suffisait qu’une clause aménage la sanction de l’inexécution d’une obligation essentielle pour qu’elle soit réputée non écrite. Avec une telle décision, les clauses limitatives ou exclusives de responsabilité devenaient compromises, puisqu’il est rare qu’une clause concerne une obligation accessoire au contrat.

Cette jurisprudence n’a pas été épargnée par les critiques par les critiques des doctrinaux. Cela a poussé la Cour de cassation à réaffirmer de manière claire sa position dans un second arrêt Oracle Faurécia du 29 juin 2010, c’est alors cet arrêt qu’il sera opportun d’étudier pour comprendre le fonctionnement de ladite clause, et l’interprétation qu’en a tiré le législateur, notamment à travers l’ordonnance du 10 février 2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations.

Quant à la clause de prescription, c’est le code civil à l’article 2254 qui énonce les conditions dans lesquelles les parties peuvent aménager de manière conventionnelle la prescription. Les clauses de prescription permettent d’aménager conventionnellement dans un contrat la prescription.

La loi du 17 juin 2008 qui a permis aux parties d’aménager la prescription, elles pourront allonger ou abréger la durée de la prescription, mais aussi ajouter des causes de suspension ou d’interruption de la prescription. La loi souligne le fait que cette clause ne pourra pas s’appliquer pour les actions en paiement ou en répétition des salaires, arrérages de rente, pensions alimentaires, loyers, fermages, charges locatives, intérêts des sommes prêtées, et plus généralement aux actions en paiement de tout ce qui est payable par années ou à termes périodiques plus courts.

En outre, depuis l’ordonnance du 14 mars 2016, l’article L218-1 du Code de la consommation, , énonce que par dérogations les parties aux contrats conclus entre un professionnel et un consommateur ne peuvent pas même d’un commun accord modifier la durée de la prescription ni même ajouter des causes de suspension ou d’interruption de celle-ci. Cette limitation a pour but de protéger le consommateur , qui pourrait se voir imposer une prescription courte par le professionnel, partie forte au contrat. D’ailleurs, cette limitation est reprise par l’article L114-3 du code des assurances.

Il convient de noter que l’ancien article 2220 du code civil ne permettait pas aux parties d’aménager la prescription, cependant depuis un arrêt de la Cour de cassation du 1er février 1853 il est admis la possibilité d’aménager contractuellement les délais de prescription (Cass. civ., 1er févr. 1853, DP 1853, I, p. 77). Ainsi, la Cour de cassation a pu énoncer « attendu en droit que la disposition de l’article 2220 du Code civil qui défend de renoncer à la prescription et de rendre ainsi les actions perpétuelles, se concilie, loin d’en recevoir aucune atteinte, avec les stipulations qui tendent à renfermer l’exercice de certaines actions dans les limites plus étroites que celles fixées par la loi » (Cass. civ., 4 déc. 1895, DP 1896, I, p. 241).

De surcroît, un arrêt du 25 juin 2002 a admis la possibilité d’ajouter une cause de suspension de la prescription de manière contractuelle (Cass. 1re civ., 25 juin 2002, nos 00-14.590 et 00-14.591, Bull. civ. I, n° 174, D. 2003, p. 155, note Stoffel-Munck Ph.).

Le législateur a introduit une nouvelle disposition libérale concernant la prescription, c’est pourquoi il est tout aussi important d’en étudier l’impact sur le régime contractuel.

A cet égard, il convient tout d’abord d’observer l’impact de la nouvelle jurisprudence Oracle Faurécia sur les clauses limitatives ou exclusives de responsabilité de son interprétation par le législateur, notamment concernant la faute lourde et l’obligation essentielle dans un contrat informatique (I), pour ensuite étudier les conséquences de la libéralisation faite par la loi de 2008, et reprise par l’ordonnance de 2016,  sur les clauses de prescriptions (II).

I. Les clauses limitatives ou exclusives de responsabilité : l’appréciation de la faute lourde et de l’obligation essentielle du contrat

La Cour de cassation dans l’arrêt Faurécia énonce qu’il faut apprécier la faute lourde de manière subjective (A), de plus celle-ci affirme sa position concernant l’impact de l’obligation essentielle sur la clause limitative ou exclusive de responsabilité (B).

A) La réaffirmation de l’appréciation subjective de la faute lourde

Sachant que la faute lourde permet de rendre inefficace la clause limitative ou exclusive de responsabilité, la Cour de cassation vient confirmer et d’entériner, par cet arrêt, sa position jurisprudentielle selon laquelle la faute lourde doit être appréciée objectivement. La cour énonce sur ce point que « la faute lourde ne saurait résulter du seul manquement à une obligation contractuelle, fût-elle essentielle, mais doit se déduire de la gravité du comportement du débiteur ».

Ainsi, il semblerait que la faute lourde va dépendre du comportement du débiteur, elle consiste en une erreur grossière, en un écart particulièrement grave de conduite, une négligence d’une extrême gravité. La Cour de cassation adopte une appréciation subjective de la faute lourde, mais pendant longtemps la cour a adopté une appréciation objective de la faute lourde. Ainsi le seul moyen pour ne pas appliquer la clause limitative de responsabilité était d’invoquer la faute lourde ou le dol de son débiteur. Mais l’appréciation de la faute reposait sur l’interprétation de l’article 1150 du Code civil qui énonce que « Le débiteur n’est tenu que des dommages et intérêts qui ont été prévus ou qu’on a pu prévoir lors du contrat, lorsque ce n’est point par son dol que l’obligation n’est point exécutée ».

Cette appréciation de la faute lourde dépendait plus précisément de deux déformations que subissait cet article : l’article avait été élargi par la cour puisque la faute lourde était devenue l’équivalent du dol, de plus l’inexécution d’une obligation essentielle était qualifiée de faute lourde dite objective.

La faute lourde était assimilée au manquement à une obligation essentielle. C’est par deux arrêts de la chambre mixte de la Cour de cassation du 22 avril 2005 (Cass. ch. mixte, 22 avr. 2005, nos 02-18.326 et 03-14.112) que l’appréciation objective de la faute lourde a été abandonnée : « la faute lourde de nature à tenir en échec la limitation d’indemnisation prévue par le contrat type ne saurait résulter du seul fait pour le transporteur de ne pouvoir fournir d’éclaircissement sur la cause du retard […] seule une faute lourde caractérisée par une négligence d’une extrême gravité confiant au dol et dénotant l’inaptitude du débiteur de l’obligation à l’accomplissement de sa mission contractuelle peut mettre en échec la limitation d’indemnisation prévue au contrat type ».

En adoptant cette position, la cour réaffirme que le simple manquement à une obligation essentielle ne peut pas suffire à soulever une faute lourde, il faut caractériser un comportement grave du débiteur.

En outre,dans arrêt de la Cour d’appel de Versailles, rendu le 3 mai 2018, celle-ci s’est alignée sur la jurisprudence de la Cour de cassation en affirmant que la faute lourde s’apprécie subjectivement en fonction de la gravité du comportement du débiteur et non pas sur la base de la nature de l’obligation violée. Les juges réaffirment que la faute lourde rend inefficace la clause limitative de responsabilité prévue au contrat. (3)

B) Clause limitative ou exclusive de responsabilité et l’obligation essentielle

La Cour de cassation, par un arrêt rendu le 22 octobre 1996, retient qu’en raison d’un manquement à une obligation essentielle la clause limitative de responsabilité qui contredisait la portée de l’engagement devait être réputée non écrite. Cependant au fil des jurisprudences on observe que les juges sont devenus de plus en plus stricts dans l’appréciation de la clause limitative ou exclusive de responsabilité. Ainsi le seul manquement à une obligation essentielle au contrat permettait de rendre nulle la clause.

L’arrêt du 29 juin 2010 Oracle Faurécia corrige les doutes émis concernant le lien existant entre l’obligation essentielle du contrat et la clause limitative de responsabilité.

En l’espèce, une société avait conclu un contrat de licence ,de maintenance , de formation et un contrat de mise en œuvre d’un progiciel avec une société informatique. Une version provisoire a été installée, mais la version définitive n’a jamais été livrée. C’est pourquoi la société n’a pas payé les redevances du prestataire.

Saisie de cette affaire le 31 mars 2005, la cour d’appel de Versailles a reconnu que le prestataire n’avait pas respecté ses obligations, mais la cour retient la validité de la clause limitative de responsabilité qui était insérée dans le contrat, ce qui a alors atténué le montant de l’allocation de dommages et intérêts. Mais la Cour de cassation en 2007 (Cass. Com 13 février 2007) a estimé au contraire qu’il s’agissait d’un manquement à une obligation essentielle qui est alors « de nature à faire échec à l’application de la clause limitative de réparation ».

Il était question de savoir en l’espèce si le manquement à une obligation essentielle suffisait à écarter la clause limitative de responsabilité.

La Cour de cassation dans l’arrêt de 2010 vient mettre un terme à l’hésitation jurisprudentielle en précisant que « seule est réputée non écrite la clause limitative de réparation qui contredit la portée de l’obligation essentielle souscrite par le débiteur ».

En effet, cet arrêt invite le juge à se livrer à une analyse concrète du contenu contractuel afin de savoir si la limitation de responsabilité contredit ou non la portée de l’obligation essentielle du débiteur. En l’espèce la cour considère que le plafond d’indemnisation n’était pas dérisoire et que la limitation de responsabilité avait été calculé en prenant en compte des éléments extérieurs au contrat. Ainsi, la limitation de responsabilité était compensée par d’autres avantages accordés au créancier de l’obligation inexécutée. C’est pourquoi, la limitation de responsabilité ne contredisait pas en l’espèce la portée de l’obligation essentielle.

Ensuite, le législateur est intervenu pour assurer une véritable pérennisation du régime applicable. Sous la consécration de l’article 1170 du Code civil (modifié par l’ordonnance du 10 février 2016), qui précise que « toute clause qui prive de sa substance l’obligation essentielle du débiteur est réputée non écrite », c’est désormais toute clause portant atteinte à une obligation essentielle du contrat qui est concernée par cette censure : tant que l’existence au sein du contrat d’une obligation essentielle et d’une clause limitative la vidant de sa substance sont prouvées (conditions cumulatives dont les définitions peuvent être tirées des arrêts précités), la sanction pour les clauses portant atteinte à une obligation essentielle du contrat sera celle initialement prévue pour les clauses abusives uniquement : elles seront réputées non écrites.

Dans un arrêt rendu le 28 janvier 2019, la Cour d’appel de Toulouse procède à un contrôle effectif des obligations essentielles du contrat de vente notamment s’agissant de l’obligation de garantie des vices cachés et de l’obligation de délivrance conforme. Les juges rappellent la consistance de l’obligation de délivrance conforme et déduisent l’impossibilité d’usage du bien en question conformément à l’usage attendu en raison des faits litigieux.

La Cour d’appel offre, par cet arrêt, un éclaircissement quant à l’emploi de l’article 1170 du Code civil qui accorde au juge un pouvoir d’immixtion considérable que ce soit sur l’ensemble des contrats ou s’agissant de l’équilibre contractuel. (4)

Cela dit, la clause limitative ou exclusive de réparation n’est pas la seule clause que l’on retrouve souvent dans un contrat informatique, en effet, la clause de prescription y trouve aussi sa place (II).

II. La possible insertion d’une clause de prescription dans un contrat informatique : entre liberté contractuelle et limites légales

La réforme de la prescription consacre la possibilité d’insertion d’une clause de prescription dans un contrat (A), mais certaines limites à cette insertion sont envisageables (B).

A) La consécration de la liberté contractuelle par la loi : la possible insertion d’une clause de prescription dans un contrat informatique

Il est vrai que dans certains types de contrats les parties ne peuvent pas aménager la prescription, ni même organiser la suspension ou l’interruption de la prescription. Toutefois, dans la majorité des contrats cette possibilité est maintenant ouverte depuis la loi de 2008. Celle-ci laisse alors la place à la liberté contractuelle.

L’article 2254 du Code civil énonce en son alinéa premier, le principe selon lequel il est possible de modifier de manière conventionnelle la durée de la prescription : « La durée de la prescription peut être abrégée ou allongée par accord des parties. Elle ne peut toutefois être réduite à moins d’un an ni étendue à plus de dix ans ». Cette durée est encadrée puisqu’elle doit être comprise entre un et dix ans. Cette nouvelle règle est en cohérence avec l’abaissement de la prescription du droit commun qui passe de trente ans, à cinq. Ainsi les parties peuvent librement choisir la durée de prescription qui s’appliquera au contrat, durée qui doit seulement être comprise entre un et dix ans. C’est un espace de liberté donné par le législateur au contractant.

L’article 2224 du Code civil, quant à lui, dispose que « les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer ». Par cet article, il apparaît alors que le départ de la prescription n’est pas fixe, puisqu’il commence au jour où le titulaire du droit a connu ou aurait dû connaître les faits permettant d’exercer l’action.

Le point de départ de la prescription recouvre un aspect subjectif, ce qui donne alors un pouvoir d’appréciation du point de départ de la prescription au juge. La loi reste cependant muette sur la possibilité de retarder le point de départ de la prescription, mais il serait logique puisque le législateur permet de mettre en place des moyens de suspension et d’interruption de la prescription, de permettre la possibilité de retarder le point de départ de la prescription ce qui aurait le même effet que de suspendre ou d’interrompre la prescription : retarder l’acquisition de la prescription. Cela correspondrait alors encore un espace de liberté laissé aux contractants.

Il convient de mettre en exergue que l’article 2254 du Code civil en son alinéa second énonce que « Les parties peuvent également, d’un commun accord, ajouter aux causes de suspension ou d’interruption de la prescription prévues par la loi ». Ainsi, il est encore possible pour les parties d’aménager de manière conventionnelle les causes de suspension ou d’interruption de la prescription. L’évènement interruptif prévu par les parties permettra d’effacer le délai écoulé, et un nouveau délai identique recommencera à courir après cet évènement.

Alors que la suspension empêche le délai de prescription de courir une fois l’obstacle levé, le délai reprendra son cours. Les parties ont alors la possibilité de retarder la fin de la prescription, d’aménager des évènements susceptibles d’interrompre, ou de suspendre la prescription. C’est alors encore une fois un espace liberté laissé aux contractants.

B) Les limites envisageables à la liberté contractuelle concernant la clause de prescription dans un contrat informatique

La liberté d’encadrement de la prescription par les parties est consacrée par la loi de 2008. Toutefois, certaines limites ont été posées par le législateur pour encadrer notamment la durée, et a construit quelques limites concernant le consommateur, ou l’assuré. Mais d’autres limites peuvent aussi s’ériger contre la clause de prescription.

Concernant notamment l’abus de dépendance économique, l’article L 420-2 du code de commerce énonce qu’est « prohibée, dès lors qu’elle est susceptible d’affecter le fonctionnement ou la structure de la concurrence, l’exploitation abusive par une entreprise ou un groupe d’entreprises de l’état de dépendance économique dans lequel se trouve à son égard une entreprise cliente ou fournisseur. ». (2)

Ainsi, le législateur consacre sa volonté de lutter contre les obligations créant un déséquilibre significatif. Il alors intéressant de s’interroger sur l’impact de l’encadrement contractuel de la prescription, car cette clause apporte indéniablement un avantage à une des parties au contrat.

À titre d’illustration, la dernière prise de position en date résonne dans l’arrêt du 25 janvier 2017, par lequel la Cour de cassation a confirmé que la notion de déséquilibre significatif entendue par l’article 442-6 pouvait porter sur le prix stipulé dans une convention, ouvrant la voie à un pouvoir de contrôle du juge sur ce prix. Ce choix porte néanmoins une nouvelle atteinte considérable au principe de liberté contractuelle.

Une autre limitation peut encore être soulevée, concernant le comportement dolosif du contractant. L’article 2254 du Code civil ne précise pas si le comportement dolosif ou la faute lourde du titulaire de l’action qui profite de l’encadrement contractuel de la prescription peut permettre d’écarter la clause de prescription.

Cependant, la Cour de cassation avait déjà eu à répondre à cette question avant la réforme dans un arrêt du 12 juillet 2004 (Cass. com., 12 juill. 2004, n° 03-10.547) qui énonce que « la disposition contractuelle abrégeant le délai de prescription reçoit application même en cas de faute lourde ». Ainsi pour la Cour de cassation il n’était pas possible d’écarter la clause de prescription en présence d’une faute lourde.

Ceci étant, la faute lourde et le dol constituent des comportements qui selon la Cour de cassation permettent de ne pas appliquer la clause limitative de responsabilité, il serait alors possible de penser que la Cour de cassation pourrait revenir sur sa position et assimiler le régime de la clause de prescription à la clause limitative de responsabilité, et ainsi admettre qu’une faute lourde ou un dol permettraient d’écarter la clause de prescription. Il faudra alors attendre que la Cour de cassation se reprononce sur ce point pour savoir si elle adopte un régime identique aux clauses limitatives de responsabilité, ou si elle maintient sa jurisprudence antérieure à la réforme.

Tout en posant des limites nécessaires afin d’éviter les abus, les évolutions jurisprudentielles et légales permettent d’encadrer plus clairement le droit des contrats, de permettre aux parties d’organiser à leur guise leur contrat.

Pour lire une version plus complète de cet article sur les clauses sensibles des contrats informatiques, cliquez

Sources :

  • Décret n° 2016-884 du 29 juin 2016 relatif à la partie réglementaire du code de la consommation ; Cass. 1er 11-12-2019 n° 18-21.164
  • Ordonnance n° 2019-698 du 3 juillet 2019
    CA Versailles, 3 mai 2018, n° 17/02576
  • CA Toulouse, 28 janvier 2019, n° 16/03044

Par internet-et-droit • Tags: , , , ,

Est-il possible d’annuler un contrat d’édition ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Signer un contrat d’édition est certainement un rêve pour la plupart des artistes ou auteurs ayant réalisé une œuvre qu’ils veulent faire connaitre au public. En effet ce contrat leur permettra de distribuer la création qu’ils ont inventée, d’en faire la promotion et de la monnayer. Cependant certaines situations peuvent complexifier les relations entre les parties à tel point que le contrat qu’ils ont signé est remis en cause.

Il faudra alors envisager quelles sont les solutions pour réussir à débloquer la situation. Il faudra ainsi savoir si la rupture de ce contrat est possible et si oui par quels moyens ?

Un contrat d’édition est un contrat en vertu duquel l’auteur d’une œuvre de l’esprit (ou son ayant droit) cède à des conditions déterminées à une personne nommées éditeur le droit de fabriquer en nombre des exemplaires de l’œuvre à charge pour elle d’en assurer la publication et la diffusion. L’originalité de l’œuvre est un critère important pour savoir si elle peut réellement être protégée.  Dans certains domaines certaines spécificités de l’œuvre peuvent faire l’objet d’une analyse plus approfondie comme par exemple pour les œuvres musicales. Il faut noter que ce critère d’originalité a évolué avec les œuvres informatiques.

Le droit  d’auteur est régi par le code de propriété intellectuelle qui regroupe plusieurs lois comme celle du 11 mars 1957, du 3 juillet 1985 ou encore celle de 2006. Cette loi de 2006 a été adoptée car avec l’apparition de nouveaux médias comme  les réseaux sociaux il a fallu adapter ce droit pour faire face à des problématiques contemporaines.

Plusieurs situations peuvent intervenir remettant en cause ce contrat. Il n’est dès lors plus possible de continuer à l’exécuter. Il faut donc se demander s’il est possible d’annuler ce contrat d’édition ?

I/ Les conditions pour annuler un contrat d’édition

 A) Les manquements de l’éditeur à ses obligations contractuelles

Plusieurs conditions doivent être réunies avant d’annuler un contrat d’édition. Le non-respect des obligations contractuelles de l’éditeur est une première cause d’annulation du contrat d’édition.  L’éditeur a par exemple une obligation de publication par laquelle il s’oblige à publier l’œuvre. En règle générale un délai de quelques mois est prévu dans le contrat pour laisser à l’éditeur le temps de satisfaire à cette obligation. Les parties prévoient aussi dans le contrat le nombre d’exemplaire que devra publier l’éditeur.

Besoin de l’aide d’un avocat pour un problème de contrat ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

En cas d’épuisement de l’œuvre, l’éditeur doit assurer sa réimpression pendant toute la durée du contrat. Une reddition des comptes annuels doit être fournie par l’éditeur. Ce dernier doit ainsi rendre des comptes à l’auteur au moins une fois par an pour l’informer sur le nombre d’exemplaires vendus. Des détails sur  l’état des stocks doivent également être remis à l’auteur.

B) Les manquements de l’auteur à ses obligations contractuelles

L’auteur doit aussi être payé par l’éditeur pour avoir fourni un travail qui a abouti à la commercialisation d’une œuvre. Les parties peuvent choisir une rémunération proportionnelle aux recettes de la vente ou une rémunération forfaitaire.

L’auteur doit lui aussi satisfaire à certaines exigences contractuelles. L’auteur a une obligation de délivrance mais aussi de conformité. L’œuvre doit donc correspondre aux attentes fixées par l’éditeur. Si ce dernier n’est pas satisfait du travail fourni par l’auteur il peut lui demander de recommencer. De manière générale le contrat prévoit une clause indiquant que l’éditeur se réservera le droit d’apprécier le contenu de l’œuvre. Si l’auteur introduit un contenu  qui est juridiquement répréhensible c’est la responsabilité de l’éditeur qui sera engagée. Mais il pourra ensuite se retourner contre l’auteur.

Par une clause de préférence, l’auteur peut s’obliger à réserver l’édition de ces prochaines œuvres au même éditeur. Cette clause est prévue dans l’article L 132-4 du code de propriété intellectuelle. Cependant l’application de cette clause est limitée à un nombre de genres très strict mais que les parties pourront déterminer eux-mêmes. Le contrat peut prévoir aussi que ce droit ne s’exercera que sur un nombre limité de livres ou pendant une période donnée.

La signature d’un contrat d’édition n’est donc pas un acte anodin et peut entrainer de lourdes conséquences. Un manquement contractuel peut en effet entrainer l’engagement de la responsabilité des parties sous conditions. Toutefois certaines situations peuvent empêcher les parties d’exécuter le contrat. Ce sont des cas de force majeure comme la crise sanitaire du coronavirus par exemple. Certains critères doivent cependant être remplis pour caractériser ce cas de force majeure et ainsi exonérer l’une des parties en cas d’inexécution du contrat.

II/ les conséquences d’un manquement contractuel d’une des parties

 A) Les différentes procédures d’annulation d’un contrat d’édition

Un manquement contractuel peut entrainer la remise en cause du contrat. De ce fait si l’obligation de publication dans le délai imparti n’est pas respectée cela entrainera la résiliation de plein droit du contrat. L’article L132-17 du CPI dispose en effet que « la résiliation a lieu de plein droit lorsque sur mise en demeure de l’auteur lui impartissant un délai convenable, l’éditeur n’a pas procédé à la publication de l’œuvre ».

La résiliation pourra être prononcée si l’ouvrage est épuisé et que l’éditeur ne la pas réimprimé ou en cas d’absence de reddition des comptes. En cas de redressement judiciaire avec cessation d’activité depuis plus de trois mois ou de liquidation judiciaire de l’éditeur, le contrat sera résilié. En cas d’inexécution du contrat d’une certaine gravité qui sera appréciée par le juge il pourra être résilié sans préavis.

Pour les contrats de collaboration le contrat doit être rompu par toutes les parties qui l’ont signé (Cass.Com., 14 octobre 2015, n°14-19.214). En cas de conflit sur la preuve de l’antériorité du droit d’auteur il faudra, dans un contrat de collaboration que tous les auteurs soient mentionnés. Ce contrat qui aura été déposé auprès d’une société d’auteur ne pourra être retiré que par une démarche conjointe de tous les auteurs.

B) La reprise de ses droits par l’auteur

La fin d’un contrat d’édition aux torts de l’éditeur est un enjeu extrêmement important car il permet à l’auteur de se réapproprier les droits sur l’œuvre qu’il a créé. La création d’une œuvre originale est un acte tellement rare qu’il est compréhensible que son auteur ait envie d’en posséder les droits à nouveau. D’un point de vue juridique c’est comme une nouvelle qui commence pour l’œuvre car le fait de récupérer les droits sur celle-ci permettra à l’auteur de pouvoir l’a protéger à nouveau. A partir de là il sera à nouveau possible pour l’auteur de pouvoir exploiter sa création et de là faire connaitre au public.

Pour lire une version plus complète de cet article sur la rupture du contrat d’édition, cliquez

Sources :

https://www.occitanielivre.fr/lassistance-juridique/fiches-juridiques/la-resiliation-du-contrat-dedition-de-livre-par-lauteur-en#:~:text=Si%20l%27%C3%A9diteur%20ne%20satisfait,est%20r%C3%A9sili%C3%A9%20de%20plein%20droit.

http://www.kgn-avocats-lyon.fr/avocat-lyon-contrat-edition.html

https://www.sgdl.org/sgdl-accueil/le-guide-pratique/le-contrat-d-edition

https://www.legavox.fr/blog/maitre-haddad-sabine/clauses-execution-cessation-contrat-edition-4005.htm

https://www.labase-lextenso.fr/jurisprudence/CAVERSAILLES-10032022-21_03295?em=Cour%20d%27appel%20de%20Versailles%2C%2010%20mars%202022%2C%20%2021%2F03295

https://www.labase-lextenso.fr/jurisprudence/CARENNES-16092022-19_03935?em=Cour%20d%27appel%20de%20rennes%2C%202%C3%A8me%20Chambre%2C%2016%20septembre%202022%2C%20%2019%2F03935

Par internet-et-droit • Tags: , , , ,

Intrusion dans un système informatique

Le piratage informatique est aujourd’hui un problème quotidien qui affecte notamment de nombreuses entreprises. Pour lutter contre ce fléau, le législateur est intervenu.  Avec la loi Godfrain du 5 janvier 1988 qui est venue créer des infractions nouvelles comme l’accès et le maintien frauduleux dans un système de traitement automatisé de données. Cependant, des problèmes nouveaux en lien avec le numérique apparaissent constamment.

NOUVEAU : Utilisez nos services pour vous défendre en cas de piratage informatique en passant par le formulaire !

A titre d’exemple, l’aspiration d’un site web est aujourd’hui une technique répandue. Elle consiste à récupérer entièrement ou en partie, le contenu d’une surface interactive et de l’archiver dans le disque dur de son ordinateur. Ainsi, l’internaute peut y avoir accès même lorsqu’il se trouve  hors connexion.

On remarque de nombreuses similitudes entre la technique d’intrusion dans un système informatique et celle de l’aspiration de site. Notamment en ce qui concerne le mode d’exécution. Pour les deux techniques, des programmes ou logiciels spécifiques sont utilisés, que ce soit pour accéder dans un système de traitement automatisé de données ou pour  » aspirer  » un site web. Néanmoins, les deux techniques ne font pas l’objet des mêmes poursuites.

Besoin de l’aide d’un avocat pour un problème de piratage informatique?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Concernant le cas de l’accès et maintien frauduleux dans un système informatique, on parle bien ici d’une infraction pénale. Elle se caractérise par le fait d’entrer dans un système informatique en forçant l’accès. Les dispositions du Code pénal permettent de lutter contre les intrusions frauduleuses (connexion pirate, appel d’un programme ou d’un fichier sans autorisation etc), le maintien frauduleux, l’entrave d’un système ou l’altération de son fonctionnement (virus, mail bombing etc), ainsi que l’altération, la suppression ou l’introduction de données pirates.

Dans le cas de l’aspiration de site, il n’existe pas de disposition légale spécifique. Cependant, copier une partie ou intégralement un site web qui ne nous appartient pas dans l’objectif de visualiser le contenu sans être connecté, peut porter atteinte aux droits d’auteur du créateur dudit site.

I. L’intrusion dans un système informatique.

Le hacker dans le monde informatique, ne cherche pas nécessairement à entrer dans un système pour y voler des données ou les supprimer. Il existe différents types de hacker, certains ont juste pour objectif de démontrer l’existence d’une faille de sécurité. Dans tous les cas, le fait de s’introduire dans un système informatique est susceptible de poursuite pénale.

Afin de s’introduire dans un système, le hacker peut utiliser un programme cachant lui-même un programme « net »  (par exemple reçu dans la boite aux lettres ou téléchargé). Il sera par exemple possible de tenter d’accéder au Back office pour pouvoir administrer l’ordinateur à distance. Également, l’objectif du hacker peut porter sur le fait d’obtenir par le biais d’un programme le mot de passe du système informatique, il pourra également utiliser des programmes de déchiffrage.

Une fois que le pirate a accès au système il pourra : modifier les données, supprimer des données, copier les données ou encore installer des programmes malveillants tels que des virus.

A) La responsabilité pénale

Dès 1988 le législateur s’est emparé de la question de l’intrusion dans un système avec la loi Godfrain du 8 janvier 1988.

Aujourd’hui les dispositions de cette loi ont été reprises et améliorées. On retrouve dans le code pénal un chapitre intitulé  » Des atteintes aux systèmes de traitement automatisé de données « ,

Ainsi, les intrusions non autorisées seront sanctionnées. Les sanctions prévues varient selon que l’intrusion a eu ou non une incidence sur le système en cause.

Il est prévu à l’article L.323-1 du Code pénal que  » le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende » « .

1) Accès frauduleux

Dans un arrêt rendu le 5 avril 1994, la Cour d’appel a considéré que  » l’accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d’un système de traitement automatisé de données, que l’accédant travaille déjà sur la même machine mais à un autre système, qu’il procède à distance ou qu’il se branche sur une ligne de communication « .

Mais alors, quand est-il si le système en question n’est pas protégé ? Dans un arrêt rendu le 30 octobre 2002, la Cour d’appel de Paris a énoncé que le fait de pouvoir accéder à des données qui sont stockées sur un site en utilisant un simple navigateur, dès lors que des failles de sécurité existent, n’était pas répréhensible.

Le Tribunal de grande instance de Paris avait quant à lui estimé que l’existence de faille de sécurité ne constituait  » en aucun cas une excuse ou un prétexte pour le prévenu d’accéder de manière consciente et délibérée à des données dont la non-protection pouvait être constitutive d’une infraction pénale « .

Il est à noter que l’article 226-17 du Code pénal réprime « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures » de sécurité et toute les précautions utiles pour préserver la sécurité de ces informations.

2) Le maintien frauduleux

Également, le simple fait de se maintenir dans un système de traitement automatisé de données est réprimandé. Sur l’élément intentionnel de l’infraction, la doctrine et la jurisprudence s’accordent sur le fait que même si une personne s’est retrouvée par erreur dans un système informatique, le simple fait de s’y être maintenue constitue un maintien « frauduleux ». En effet, dès lors le délinquant à conscience qu’il n’a pas le droit de se trouver ici car ni l’accès ni le maintien ne lui a été autorisé.

En ce sens la Cour d’appel de Paris dans un jugement rendu le 5 avril 1994 a énoncé que « le maintien frauduleux ou irrégulier dans un système de traitement automatisé de données de la part de celui qui y est entré par inadvertance ou de la part de celui qui, y ayant régulièrement pénétré, se serait maintenu frauduleusement »

3) Les intrusions avec dommages

L’article 323-1 du Code pénal a prévu des sanctions plus importantes lorsque l’intrusion dans le système et le maintien frauduleux à des conséquences. L’alinéa 2  prévoit un renforcement des sanctions, lorsque l’intrusion et le maintien frauduleux ont certaines conséquences :

 » Lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d’emprisonnement et de 30 000 euros d’amende  »

Ne sont concernées par cet article que les altérations involontaires. L’entrave volontaire au système ou l’entrave volontaire aux données sont visés par les articles 323-2 et 323-3 du nouveau Code pénal.

Les entraves volontaires au système ou aux données s’y trouvant.

L’entrave volontaire au système est définie à l’article 323-2 du Code pénal comme  » Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données « . Le peine encourue est de cinq ans d’emprisonnement et de 150 000 € d’amende. »

Est notamment visé par cette infraction : l’introduction des programmes susceptibles d’entraîner une perturbation au système, tels que les virus, les bombes logiques etc.

Est sanctionné par l’article 323-3 nouveau du Code pénal : l’introduction, l’extraction, la détention, la reproduction, la transmission dans un système informatique.

Ainsi, l’article s’applique pour des faits très nombreux. Les infractions peuvent être par exemple l’introduction afin de réduire le prix d’une marchandise sur un site de e-commerce ou de supprimer intégralement le contenu d’une base de données d’une entreprise.

Les agissements du hacker constituent généralement une perte financière très importante pour l’entreprise ciblée.

B ) La responsabilité civile

1) La responsabilité civile délictuelle

La notion de faute est au fondement du droit commun de la responsabilité civile délictuelle. On l’a retrouve à l’article 1382 du Code civil.

Pour que la responsabilité civile délictueuse soit engagée, il faut : une faute, un dommage et un lien de causalité entre la faute et le dommage.

Dans cette infraction, la faute correspond au fait de s’introduire dans un système informatique sans y avoir été autorisé préalablement. En ce qui concerne le dommage, celui-ci pourra par exemple être caractérisé par une perte financière, une altération des données ou encore par la communication d’informations privées à des tiers. Il faudra ensuite établir de manière claire le lien de causalité.

Que se passe-t-il si le hacker n’est pas de nationalité française ou si ce dernier commet l’infraction de l’étranger ? Qui dispose de la compétence juridique et quelle loi est applicable ?

En droit français, par principe le tribunal compétent est celui du domicile du défendeur. , à moins que le demandeur, s’il est français, ne souhaite invoquer le privilège de juridiction des articles 14 et 15 du Code civil. Or, ce dernier privilège est interdit dans le cadre de la Communauté européenne par la Convention de Bruxelles de 1973, devenue en 2000 un règlement « , puis, en 2012, le règlement  » concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale « .

S’il s’agit d’un délit ou d’un quasi délit, au regard des articles 5§3 et 7§2 de la Convention de Bruxelles et du règlement n° 1215/2012 de la Convention de Bruxelles et du règlement 44/2001 précité, il existe une règle de compétence spéciale en faveur du tribunal où le fait dommageable s’est produit ou risque de se produire.

Ce lieu peut être aussi bien celui où le dommage est survenu qui celui de l’événement causal qui est à l’origine de ce dommage (CJCE, 30 novembre 1976, aff. C-21/76, Mines de potasse d’Alsace : Rec. CJCE, p. 1735).

Si le dommage qui a été causé par l’intrusion est survenu au sein système informatique d’une société domiciliée en France, les juridictions françaises seraient sans doute compétentes pour juger le litige.

Quant à la loi applicable, le juge applique, de manière générale la lex loci delicti, c’est à dire la loi où le fait dommageable s’est produit. Dans un arrêt rendu par La Cour de Cassation en sa première chambre civile le 14 janvier 1997, il a été jugé que le lieu où le fait dommageable s’est produit s’entend aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier.

2) La responsabilité civile contractuelle.

La responsabilité civile contractuelle de l’hébergeur du site peut être engagée. Tout dépendra des clauses prévues dans le contrat d’hébergement, notamment en ce qui concerne les clauses de sécurité du site et de la mise en place de systèmes informatiques de protection contre toute forme d’intrusion.

Si une telle clause existe, il convient de qualifier l’obligation de l’hébergeur. Est-ce une obligation de résultat ou seulement de moyen. Généralement, il s’agira d’obligation de moyen, ainsi le prestataire devra être en mesure d’apporter la preuve qu’il n’a pas manqué aux obligations normales qui lui incombaient, en cas d’intrusion informatique non autorisée. S’il rapporte une telle preuve, alors sa responsabilité ne sera pas retenue.

Il convient de parler de la blockchain. Il s’agit d’un outil numérique permettant de sécuriser un réseau informatique. Différentes opérations peuvent être enregistrées par le biais de cette plateforme numérique. Initialement elle était utilisée pour enregistrer toutes les opérations financières effectuées en bitcoin. Dès lors qu’une vente était réalisée à partir du Bitcoin, la transaction apparaissait automatiquement sur un registre blockchain.

Pour imager la blockchain, il suffit de penser un gigantesque livre numérique ou un tableau Excel qui liste chacune des actions entreprises dans l’ordre chronologique dans lesquelles elles ont eu lieu. Une blockchain est donc comparable à un historique de compte d’une banque sur lequel toutes les opérations financières sont recensées.

Toute la sécurité de la blockchain repose notamment sur le fait qu’elle soit décentralisée, il est donc beaucoup plus difficile de la pirater. Car pour ce faire, il faudrait déjouer le système de sécurité de tous les utilisateurs du registre en même temps. Par conséquent, à l’inverse des moyens classiques de stockage (USB, disque dur, cloud etc) qui sont gérés par un membre en particulier ou une entité (entreprise, état, banque etc), ici, la gestion de la blockchain sera partagée entre tous ses membres sans tiers intermédiaire.

Un nouveau bloc se crée à chaque nouvel utilisateur intégré à la blockchain. Ce block s’ajoutera au précédent. Ils contiennent chacun les informations partagées avec chaque utilisateur. Ces blocs sont scellés les uns aux autres ce qui forme donc une chaîne de blocs. Ainsi, dès lors qu’ un acte malveillant est détecté les autres participants appelés aussi nœuds du réseau sont immédiatement informés et peuvent empêcher cette intrusion.

Des mineurs sont nommés parmi les nœuds pour participer à la sécurisation du système. Ces derniers devront résolver des énigmes cryptographiques ce qui permet la validation des opérations.

La véracité de l’information est automatiquement garantie dès lors qu’elle est enregistrée sur un registre de la blockchain. Elle ne pourra donc plus être supprimée ou modifiée. La seule et unique possibilité sur cette base de données est donc d’ajouter des éléments.

Pour protéger des données sensibles, la blockchain s’avère particulièrement utile. C’est notamment le cas avec les données de santé. Ici, les informations pourront être protégées car elles seront décentralisées ce qui empêchera le risque lié aux données dès lors que la base de données d’un hôpital est attaquée. En effet, aujourd’hui les hôpitaux sont souvent la cible d’attaque. Actuellement, les dossiers médicaux de chaque patient, les laboratoires les résultats d’analyse, les généralistes et les pharmaciens ont aussi leurs propres données comme le dossier pharmaceutique.

Ainsi, une confiance maximale pourrait être instaurée entre le médecin et son patient avec l’utilisation de la blockchain. . Le patient peut ainsi nouer en toute quiétude un contact avec différents professionnels de santé qui représentent chacun un bloc du réseau de la blockchain. Ces derniers peuvent alors apporter des informations supplémentaires au registre du patient avec son consentement. Le consentement du patient permet d’accéder au registre, de consulter les informations qui s’y trouvent ou d’ajouter de nouveaux blocs.

En effet si la blockchain fonctionne sans intermédiaire, les données appartiennent quand même à un « propriétaire » qui doit plus être considéré comme un gestionnaire des données, en l’occurrence dans cette hypothèse c’est le patient. Pour sécuriser son dossier blockchain, le patient dispose de deux clés de sécurité, une clé publique et une clé privée.

Une clé privée permet de déchiffrer une clé publique, elles fonctionnent ensemble, mais l’inverse n’est pas possible. Cela permet une sécurité très importante du moment que la clé privée reste avec son propriétaire. La clé publique est une adresse de réception. Elle est comparable à une adresse postale permettant de recevoir du courrier dans sa boîte aux lettres. La clé privée est dans cet exemple le seul moyen d’ouvrir cette boîte.

La blockchain a d’abord été utilisée pour le bitcoin. Mais cette technologie peut servir dans bien d’autres cas. Elle possède de nombreuses qualités : Immutabilité, sécurité, traçabilité, intégrité.

Son intérêt pour les professionnels, les clients ou encore les patients n’est plus à prouver. Aujourd’hui la sécurité est essentielle et il est difficile de cacher des informations confidentielles sur internet, cet outil pourrait bien s’avérer être la meilleure solution pour lutter efficacement contre les fraudes, les cyberattaques ou le piratage de données.

D’autant que d’un côté l’utilisation d’internet et des appareils connectés s’accroît d’année en année, mais de l’autre la méfiance qu’ils suscitent aussi. Les bases de données centralisées contiennent énormément d’informations concernant leurs utilisateurs et le seul moyen de les protéger est de faire confiance au site, à l’entité qui détient toutes ces données.

Les utilisateurs leur sont donc complètement dépendants et n’ont d’autre choix que de se fier à la protection offerte par ces tiers. Si celle-ci est insuffisante, défaillante ou inexistante alors l’utilisateur ne pourra rien faire pour protéger ses données. La blockchain apparaît donc comme l’outil idoine pour remédier à toutes ces carences.

II. Les mesures préventives

Bien qu’il soit possible d’intenter une action a posteriori contre le responsable de l’intrusion existe. Est-ce, pourtant, une solution efficace ?

Toute la difficulté de l’action réside dans la preuve de l’intrusion. Surtout si celle-ci a été effectuée à partir d’un réseau ouvert de type Internet.

Bien que l’on puisse détecter l’origine de cette intrusion, identifier la personne à l’origine de celle-ci peut s’avérer particulièrement compliqué.

Il est à rappeler l’importance des dommages qu’une intrusion dans un système informatique peut causer, tant sur la crédibilité de l’entreprise que sur ses finances. Ainsi, avant tout, il convient de mettre en place des mesures de sécurité.

Il est donc nécessaire d’insérer dans tous les contrats techniques une clause concernant la sécurité du contenu du système en cause, sous le double angle de la sécurité physique et logique.

Dans le premier cas, il s’agira de déterminer les conditions d’accès au serveur en tant que matériel informatique (contrôle des personnes ayant accès dans l’espace où sera localisé le serveur, conditions d’intervention en cas de panne etc).

Dans l’hypothèse de la sécurité logique, le prestataire devra assurer la mise en place de systèmes informatiques de protection conformes aux technologies disponibles (sécurité logicielle, fire wall, anti-virus etc). A cet effet, une des solutions les plus efficaces consiste à isoler l’ordinateur connecté à l’Internet, afin d’empêcher les utilisateurs de s’en servir pour naviguer sur l’ensemble du système informatique. Les systèmes de signature électronique et de cryptologie permettent également d’assurer la sécurité des échanges.

Une entreprise pourrait souscrire une assurance contre le risque d’attaque informatique, ici, le dédommagement dépendra alors du type d’assurance souscrite.

III. L’aspiration de site

Comme expliqué précédemment, l’aspiration d’un site correspond à copier en partie ou entièrement un site web sur le disque dur de son ordinateur pour y avoir accès même hors connexion. Une fois le site « aspiré » l’utilisateur pourra l’ouvrir sans aucun problème, il n’aura plus de risque de coupure de connexion.

Certains logiciels tels que Mémoweb permettent de récupérer les images, les sons, de préserver les liens entre les pages, et offrent de multiples capacités de traitement supplémentaires (mise à jour automatique des sites et des changements éventuels, comparaison périodique de pages…).

Cette technique d’aspiration de site pose de nombreux problèmes, notamment au regard du droit d’auteur. On verra que les réponses données par l’application du droit de la propriété intellectuelle peuvent varier selon la catégorie à laquelle l’œuvre en cause s’attache.

A) L’aspiration de site face aux droits de propriété intellectuelle

1) Droit d’auteur

En France, l’auteur d’un œuvre bénéficie d’une protection importante. La protection est prévue dans le code de la propriété intellectuelle. Également, au niveau européen, la directive CE 2001/29 du 22 mai 2001 porte sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information.

Le tribunal de commerce de Paris a énoncé dans un arrêt rendu le 9 février 1998 que le contenu des pages web est protégeable au titre des droits d’auteurs. Pour cela, il faut que les critères posés par le CPI – création originale, fixée sur un support- soient remplis. Ainsi, l’art. L.122-4 du CPI dispose que  » Toute représentation ou reproduction intégrale ou partielle faite sans le consentement de l’auteur ou de ses ayants cause est illicite  » et elle est donc punie à titre de contrefaçon.

Il est à souligner que l’interdiction de reproduction intégrale ou partielle de l’œuvre réaliser dans le consentement de son auteur ne s’applique pas pour  » les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective  » selon l’article 122-5 2° du CPI

Ainsi, il est tout à fait possible de considérer que l’aspiration d’un site puisse être considérée comme l’exercice par l’utilisateur de son droit de copie privée d’une œuvre déjà divulguée.

En d’autres termes, la légitimité de la technique d’aspiration d’un site, face au droit d’auteur qu’on présume applicable, dépend, comme c’est le cas pour tous les œuvres de l’esprit bénéficiant de la protection par ce dernier, de l’utilisation qu’en est faite. Ainsi, la projection d’un site aspiré devant un publique serait, sans doute, considérée comme une utilisation collective de l’œuvre et serait, donc, interdite, à moins que le titulaire des droits n’ait pas donné préalablement son accord.

2) La protection des bases de données

L’article L.341 du Code de propriété intellectuel énonce que « Le producteur d’une base de données, entendu comme la personne qui prend l’initiative et assure le risque des investissements correspondants, bénéficie d’une protection du contenu de la base lorsque la constitution, la vérification ou la présentation de celui-ci atteste d’un investissement financier, matériel ou humain, substantiel. Cette protection est indépendante et s’exerce sans préjudice de cesses résultant de celles du droit d’auteur ou d’un autre droit sur la base de données ou un de ses éléments constitutifs « .

L’article L.342-1 du CPI prévoit quant à lui que « Le producteur de bases de données a le droit d’interdire : 1. L’extraction, par transfert permanent ou temporaire de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu d’une base de données sur un autre support, par tout moyen et sous toute forme que ce soit ; 2.  La réutilisation, par la mise à la disposition du public de la totalité ou d’une partie qualitativement ou quantitativement substantielle du contenu de la base, quelle qu’en soit la forme. Ces droits peuvent être transmis ou cédés ou faire l’objet d’une licence. Le prêt public n’est pas un acte d’extraction ou de réutilisation. »

Enfin, l’article 122-4 du CPI exclu quant à lui le droit de copie privée pour les  » copies et reproductions d’une base de données électronique « .

Mais qu’entend-on par base de donnée ? L’article L. 112-3 du CPI dispose qu’  » on entend par base de données un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen « .

Cependant, bien que certains sites web puissent être considérés comme des bases de données, la majorité d’entre eux ne le sont pas.

Cela s’explique car ils ne répondent pas à la définition de  » recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique « .

De ce fait, un site de compilation de données tel qu’un annuaire en ligne par exemple constitue bien une base de données, un site classique de type e-commerce ne semble quant à lui pas pouvoir être assimilé à une base de données. En effet, dans le cas de ce dernier, l’assemblage d’images, de sons et de textes n’a rien ni d’une disposition systématique, ni d’un recueil de données.

Mais alors, qu’en est-il des sites commerciaux qui constituent et mettent à jour en permanence des bases des données sur leurs clients ou des sites qui proposent des modes de recherche, nécessitant le passage par une ou plusieurs bases de données ?

Il faudra considérer qu’ici l’objet de la protection ne porte pas sur le site entier, mais uniquement sur la base elle-même. Cette dernière, d’ailleurs, n’est pas visible pas les internautes et par conséquent elle ne peut pas être aspirée. L’accès à une telle base constituerait l’infraction, décrite ci-dessus, d’accès et de maintien dans un système de traitement automatisé de données.

B) L’aspiration d’un site peut-elle être considérée comme une intrusion dans un système informatique ?

L’article 323-1 du Code pénal prévoit que pour sanctionner il faut une intrusion dans un système informatique. Or, il n’y a intrusion que si la pénétration dans le système informatique en cause a été effectuée de manière irrégulière par une personne non-autorisée.

La cour d’appel de Paris a démontré qu’il ne suffisait pas que la personne n’ait pas le droit d’accès au système, il fallait pouvoir démontrer qu’elle en ait forcé l’accès, en utilisant une méthode particulière et non pas un simple navigateur.

L’aspiration d’un site s’effectue bien sûr avec des logiciels spéciaux. En plus, dans la plupart de cas, l’utilisateur ne demande pas l’autorisation préalable du créateur du site. Or, l’accès à ce dernier n’est nullement forcé !

Enfin, si des dégâts au contenu ou au système du site ont été causés, le préjudice pourra être réparé sur le fondement de la responsabilité civile délictuelle, à la condition, toutefois, de rapporter la preuve du lien de causalité entre l’aspiration et le dommage.

Finalement, l’aspiration d’un site n’est rien d’autre qu’un téléchargement simultané de tous les éléments d’une page ou d’un site web. Mis à part l’hypothèse où le site puisse être considéré en lui-même comme une base de données et supposant que l’accès à celui-ci est libre, rien a priori ne semble s’opposer à son aspiration pour des fins privés.

Par Informatique • Tags: , , ,

1 2 3 4 5 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes