18 mois après sa mise en application, le Règlement Général sur la Protection des Données méritait une double approche ; opérationnelle et de Retour d’EXpérience avec Didier PAWLAK, DSI de Pénélope et un bilan global plus global, par Cécile VERNUDACHI, avocate.

Didier Pawlak a débuté par les actions conduites par son entreprise afin de se mettre en conformité avec le RGPD et poursuivit par un bilan de la mise en œuvre après 18 mois. Cécile VERNUDACHI nous a ensuite dressé le bilan 2018 de la CNIL à travers les sanctions prononcées, ceci préfigurant les enjeux de l’action de la CNIL pour 2020. Elle conclut par un cas concret consistant en la manière de gérer un contrôle de la CNIL.

Les exposés ont tous été complétés de réponses suscitées par les nombreuses questions, certaines ouvrant sur un débat entre membres, chacun ayant ses centres d’intérêts et ses particularités, le sujet intéressant tous les membres de l’association.

Merci aux orateurs qui ont su apporter de l’information et des conseils, et également occasionner ces débats entre pairs.

Le Compte-Rendu est téléchargeable et librement distribuable.

Comme le montrent certains cas dont la presse spécialisée s’est fait l’écho, l’intégration d’un ERP n’est pas sans risque. Autour d’un cas présenté par un (ex) DSI, l’intégration d’ERP est souvent un projet d’envergure, faisant intervenir différentes parties prenantes, et représente de ce fait un enjeu sérieux pour les DSI… et pour leur entreprise.
Maître André MEILLASSOUX, Avocat spécialisé dans les technologies de l’information, la propriété intellectuelle et les contrats, répond aux interrogations des DSI présents et leur fait bénéficier de son expertise des contrats d’intégration. Il revient plus particulièrement sur la question du niveau d’engagement des prestataires IT et sur la pertinence du concept de « Maîtrise d’œuvre », avant de présenter quelques pistes concernant le schéma contractuel à privilégier.
Le Compte-Rendu est téléchargeable et librement distribuable. Il est accompagné de la présentation d’André Meillassoux.

Me André MEILLASSOUX, ATM Avocats & Président de l’AFDIT (Association Française du Droit de l’Informatique et de la Télécommunication), accompagné de Me Alban BEGUE, ATM, a présenté l’inflexion possible des rôles et responsabilités des DSI.
Les DSI font face à une situation nouvelle, le décloisonnement, auquel se conjugue une « industrialisation » de grande ampleur qui concerne tous les aspects de la profession.
L’externalisation, en particulier des fonctions techniques, et la progression d’offres telles que Saas, Paas, IaaS…, conduit vers un modèle orienté revente de services, au détriment du modèle actuel encore majoritairement basé sur la fourniture directe de services aux utilisateurs.
Face à des prestataires informatiques, le DSI doit veiller à une relation contractuelle parfaitement claire alors qu’en interne le décloisonnement engendre des obligations et des risques auxquels il est exposé sur un plan professionnel mais également sur un plan civil voir pénal.
Le dirigeant d’entreprise aura tout intérêt à procéder à une délégation de pouvoir. Au DSI d’être vigilant dans la forme de contractualisation que présentera cette délégation.
La protection des données à caractère personnel est devenue un sujet majeur. Sa collecte et son traitement font l’objet d’obligations par la CNIL qui seront relayées et peut être amplifiées par le futur règlement européen en 2014-2015, avec le poste de Data Protection Officer (DPO).
Dès lors la rigueur, qualité reconnue d’un DSI, doit elle être particulièrement utilisée pour sécuriser sa fonction en interne mais également par rapport à ses relations extérieures.

L’exposé a suscité de nombreuses questions de la salle ; plus de 15% , en nombre croissant, des DSI présents ayant connu, au cours de leur carrière, une formalisation de leur délégation de pouvoir.

Le Compte-Rendu est téléchargeable et librement distribuable.

DROIT DES NOUVELLES TECHNOLOGIES:  

Une nouvelle pierre apportée à la construction de l’équilibre entre les droits de l’entreprise et les droits du salarié dans le domaine de l’utilisation des moyens technologiques mis à disposition du salarié par l’employeur.

Dans son arrêt du 9 juillet 2008, la Cour de cassation a posé le principe selon lequel l’employeur pouvait légitimement rechercher les sites internet consultés par un salarié depuis son poste informatique, sans que le salarié en soit informé ou soit appelé à assister à cette inspection.

Dans cette affaire un salarié utilisait, abondamment et à des fins personnelles (plus de 4 heures pas jour), les outils technologiques mis à sa disposition par son employeur, notamment pour se connecter à divers sites internet. L’employeur, en inspectant le contenu de son poste à l’insu de l’intéressé, a découvert cette utilisation, dont il a considéré, au regard de son ampleur, qu’elle était abusive.  Il a en conséquence licencié l’intéressé pour faute grave.

Pour contester son licenciement l’intéressé  soutenait que l’employeur ne pouvait, sauf risque ou événement particulier, rechercher les sites internet consultés par un salarié en inspectant le disque dur de l’ordinateur mis à sa disposition par la société qu’en présence de ce dernier ou celui-ci dûment appelé.

La Cour de Cassation a rejeté cette argumentation en jugeant « Mais attendu que les connexions établies par un salarié sur des sites internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence ».

Quoique l’arrêt n’ait pas abordé la question puisqu’elle n’était pas soulevée, il parait cependant prudent d’inclure dans les chartes internet une mention relative au droit que se réserve l’employeur  de procéder à de telles inspections.

On connait en effet le principe posé par cette même juridiction en matière de loyauté dans les moyens de preuve pouvant être utilisés par une partie à un procès pour établir ses prétentions.

En se basant sur ce principe, les tribunaux écartent les dispositifs mis en œuvre par les employeurs qui n’ont pas été portés à la connaissance de leurs salariés.

Or la loyauté de la preuve suppose l’information du salarié sur la possibilité que l’employeur  se réserve de procéder à de telles inspections des connexions internet des salariés.

DROIT DE L’INFORMATIQUE

La loi du 25 juin 2008 portant modernisation du marché du travail consacre expressément le portage salarial. Cette forme de recours au travail extérieur est définie par l’article 8 de la loi (qui introduit un article L. 1251-64 au sein du Code du Travail) il s’agit d’un « ensemble de relations contractuelles organisées entre une entreprise de portage, une personne portée et des entreprises clientes comportant pour la personne portée le régime du salariat et la rémunération de sa prestation chez le client par l’entreprise de portage. Il garantit les droits de la personne portée sur son apport de clientèle. »

La loi a également modifié l’article L. 8241-1 du Code du travail : désormais le portage salarial est expressément réputé ne pas tomber sous le coup du délit de prêt de main-d’œuvre.

La pratique du portage salarial est donc légitimée au regard du droit social.

Il s’agit donc d’une solution à privilégier donc lorsque l’entreprise a besoin de recourir aux talents d’un «indépendant ».

1.         DROIT DU COMMERCE ELECTRONIQUE

Rappel : la loi Châtel est entrée en vigueur au 1^er juin 2008. Elle implique diverses modifications pour ceux qui opèrent des sites de commerce électronique. La teneur de ces modifications est résumée ci-dessous

1. Obligation d’information renforcée sur le droit de rétractation

L’article L. 121-18 du Code de la consommation impose que le consommateur soit informé sur les limites éventuelles  du droit de rétractation ainsi sur les cas dans lesquels il de droit n’existe pas.

2. Obligation d’indiquer des coordonnées téléphoniques effectives

En vertu des modifications apportées à l’article L. 121-18 du Code de la Consommation, l’opérateur de commerce électronique doit indiquer dans ses conditions générales de vente les coordonnées téléphoniques permettant d’entrer effectivement en contact avec lui.

3. Obligation de fournir une assistance téléphonique non surtaxée

Au titre des modifications apportées à l’article L. 121-18 du Code de la Consommation, l’opérateur de commerce électronique doit fournir aux consommateurs des moyens de communication leur permettant de suivre l’exécution de leur commande, d’exercer leur droit de rétractation ou de faire jouer la garantie, en ne supportant que « les coûts de communication, à l’exclusion de tout coût complémentaire spécifique ».

4. Obligation de remboursement dans les trente jours en cas d’exercice du droit de rétractation

L’article L. 121-20-1 impose désormais à l’opérateur de commerce électronique de rembourser le consommateur de la totalité des sommes versées, dans les meilleurs délais et au plus tard dans les trente jours suivant la date à laquelle ce droit a été exercé.

Au-delà, la somme due est, de plein droit, productive d’intérêts au taux légal en vigueur. Ce remboursement s’effectue par tout moyen de paiement. Sur proposition du professionnel, le consommateur ayant exercé son droit de rétractation peut toutefois opter pour une autre modalité de remboursement[1].

5. Obligation d’indiquer une date limite de livraison en cas de vente à distance

En vertu du nouvel article de l’article L. 121-20-3 du Code de la Consommation, tout opérateur de site de commerce électronique doit avant la conclusion du contrat, indiquer la date limite à laquelle il s’engage à livrer le bien ou à exécuter la prestation de service. A défaut, l’opérateur est réputé devoir délivrer le bien ou exécuter la prestation de service dès la conclusion du contrat. En cas de non-respect de cette date limite, le consommateur peut obtenir la résolution de la vente. Il est alors remboursé.