Découvrez ce que tous les entrepreneurs devraient savoir sur leur responsabilité juridique et cliquez ici !

Mentions légales absentes : 5000 euros la ligne…

secret_affairesLa première décision sanctionnant l'absence de mentions légales sur un site aura le mérite de laisser une trace indélébile ! En effet, c'est par un jugement du 11 juillet 2014 que le Tribunal Correctionnel de Paris a condamné de manière très substantielle deux personnes pour ne pas avoir indiqué de mentions légales sur leur site Internet. Et la condamnation est pour le moins sévère :

  • 12.000€ d'amende pour les coupables (6.000€ chacun) ;
  • 1.500€ d'article 475-1 ;

Ce à quoi il faut évidemment ajouter les frais d'avocat (disons 4.000€ dans une affaire classique de ce type).

Faisons donc les comptes... On peut estimer la taille des mentions légales LCEN à 3 lignes environ. Quant au total de la condamnation il en ira de 13.500€ (sans les frais d'avocat). On divise donc cette somme par 3, et cela nous donne un total de 4.500€ par ligne de texte manquante. Mais, l'hypothèse ne tient alors compte que du cas où les condamnés sont allés en procédure sans leur avocat... hypothèse fausse. Calculons donc avec les frais. Il faut ajouter pour cela la somme de 4.000€ (en gros) à celle des 13.500€, et diviser le tout par 3. Cela nous donne donc 5800€ la ligne de texte.

A ce tarif, on pourrait très certainement s'offrir l'écriture des plus grands poètes de ce monde pour - par exemple - faire vaciller le coeur de sa chère et tendre avec une, ou deux lignes (selon le porte-monnaie), de la plus grande éloquence et certainement de la poésie la plus belle.

Mais non ! Tout au contraire... ces lignes sont des plus rébarbatives qui soient : l'identification de l'éditeur du site, du directeur de la publication et de l'hébergeur... Vraiment pas de quoi emporter le coeur de son élue, tout au mieux son plus grand ennui !

Les faits 

Mais passons sur les calculs arithmétiques.

Les faits de l'affaire illustrent en réalité parfaitement pourquoi la loi a imposé une telle obligation, et surtout, l'a assortie de sanctions importantes (en réalité, la sanction aurait pu aller jusqu'à 1 an d'emprisonnement et 75.000€ d'amende).

En l'espèce, les prévenus éditaient un site Internet comportant un forum dans lequel un des utilisateurs avait diffusé des propos dénigrants sur une entreprise (comme c'est finalement assez souvent le cas dans les forums).

L'entreprise dénigrée avait, par requête, fait ordonner la communication des données de connexion (notamment l'adresse IP et la date à laquelle le message avait été posté) par le propriétaire du forum, afin d'identifier précisément l'auteur du message en question. Mais celle-ci était restée sans effet faute de mentions légales permettant d'identifier l'éditeur du site en question.

Restait alors une seconde option à l'entreprise dénigrée, qu'elle a très justement opté : faire sanctionner les éditeurs du site en question pour défaut de mentions légales ! C'est au terme d'une mission d'enquête confiée à la Brigade de répression de la délinquance contre la personne (BRDP) que les services de police ont réussi à identifier les auteurs de l'infraction en partie au travers des publicités qui y étaient affichées.

On connait la suite de l'histoire : tribunal correctionnel, jugement, et sanctions.

Il nous reste cependant à élaborer la morale de l'histoire, si tant est que l'on puisse tirer de cette mésaventure un quelconque enseignement : le rébarbatif paye ?

[Lire la suite...]

7 clés pour vous préparer au projet de règlement européen !

Runner Crouching at Starting LineCela faisait un petit moment que je voulais faire un webinar sur le projet de règlement européen en matière de protection des données personnelles, et en particulier comment s'y préparer dès maintenant ! Je me suis demandé longuement si cela valait la peine de faire quelque chose sur un texte qui n'est pas encore adopté. Mais après longue maturation, je pense en fait que c'est une nécessité ! D'une part, le texte est maintenant en bonne voie d'adoption - et de nombreuses incertitudes sur son adoption se sont dissipées ces derniers mois.

D'autre part, certaines dispositions sont d'ère du temps, de sorte qu'elles seront adoptées à un moment donné ou à un autre, quoi qu'il arrive (quitte à ce qu'elles trouvent un autre véhicule que ce projet). Il y a donc assez de matière pour y consacrer un matinée !

Mais surtout et au-delà du texte, les organisations vont devoir gérer vent de panique au jour de son adoption. En effet, nous sommes très peu actuellement à avoir une expertise importante du sujet (ex : experience de plus +5 ou 10 ans sur ces questions de privacy) ; or, avec un risque financier de 5% du CA d'un groupe, ou 100 Millions d'euros d'amende (le plus grand des deux montants), nous allons être très vite submergés par la demande. De nombreuses organisations vont donc se retrouver seules à devoir gérer ce risque.

Il est donc important de se consacrer maintenant à analyser les questions qui présentent le plus de risque afin d'apporter un maximum de sécurité juridique. L'inscription au webinar est gratuite, mais limitée à 100 personnes. Ensuite l'enregistrement du webinar sera accessible sur commande (295€ HT).

[Lire la suite...]

Webinar les 7 risques juridiques des entrepreneurs du web

OPHJe viens de boucler le webinar sur les 7 risques juridiques des entrepreneurs du web, et que cela a été un vrai succès tant le flot de questions a été important.

Nous avons pu voir de nombreux points dont :

  • Comment faire gagner plus d’argent à votre entreprise en optimisant simplement la fiscalité
  • Comment vous débarrasser des 20% de problèmes juridiques qui causent 80% des problèmes dans les petites entreprises
  • Comment être en conformité très simplement dès le départ avec la CNIL
  • Les 3 points clés pour avoir des CGV à l’épreuve du feu
  • Ce que vous ne devez SURTOUT PAS DIRE sur votre site web
  • Comment vous assurer que votre marque est à l’abri des attaques de vos concurrents

Laissez-nous votre commentaire ci-dessous afin de me dire ce qui a été le plus important pour vous !

[Lire la suite...]

Faut il vraiment respecter la loi informatique et libertés ?

jeu-echecC'est un peu la question que l'on peut se poser au regard des dernières décisions pronnoncées par la CNIL. En fait, la discussion est systématique et récurrente depuis l'adoption de la loi informatique et libertés. Quand bien même le risque juridique ne vient pas réellement de la CNIL (mais plutôt des infractions pénales qui existent), il n'en reste pas moins que l'absence de sanctions administratives prononcées par la CNIL encourage souvent les organisations à traiter la question en "gestion de risques" (noble expression pour dire "pas du tout").

Il me semble personnellement qu'il ne faut pas condamner cette approche car finalement pour quelle raison les organisations devraient-elles faire les frais de mise en conformité s'il leurs chances d'être sanctionnées sont quasiment inexistantes ? A l'heure actuelle, il existe en France environ 90 Codes, 10.000 lois et 500.000 règlements. Il est tout à fait illusoire de penser que les organisations sont à même de respecter toutes les règlementations. Naturellement, elles apprécient la nécessité de respecter les normes en fonction des risques réels - pragmatisme oblige - c'est-à-dire des coûts potentiels induits. En effet, pourquoi dépenser 10.000€ de frais de mise en conformité CNIL, si les sanctions potentielles ne coutent que 1.000€ (et encore à supposer que l'organisation se fasse prendre) ? La CNIL n'ayant qu'à augmenter le niveau de risque si elle souhaite que les organisations respectent la loi, ce qu'elle n'a jamais fait (sauf contre Google !). Donc statu quo.

[Lire la suite...]

Droit à l’oubli : protégez votre e-réputation

Timer Le droit à l'oubli est à l'affiche ! Sans doute est-il la conséquence normale d'une société de communication, où tout un chacun peut s'exprimer sans limites aucunes sur la moralité des hommes et des femmes qui s'exposent quelque part sur l'Internet.

En première ligne, on doit citer l'arrêt récent de la CJUE du le 13 mai 2014 qui a fait l'effet d'un énorme pavé dans la marre par les effets qu'il a entraîné, en particulier en jugeant qu'il advenait à Google de déréférencer les pages de son index qui comportaient des données à caractère personnelles sur demande de la personne concernée.

La surprise est venue de Google qui a mis quasiment immédiatement en place un formulaire permettant à tout un chacun de demander la suppression des pages litigieuses. On en vient presque à s'étonner que la société respecte la loi !

[Lire la suite...]

Une proposition de loi veut interdire la biométrie

Newsletter bye byeEnfin interdire est sans doute un grand mot, disons que la proposition vise à la restreindre de manière tellement importante qu'en pratique rare seront ceux à pouvoir la mettre en oeuvre au sein de systèmes de traitements automatisés de données.

Celle-ci justifie l'interdiction en affirmant que "L'on assiste depuis quelques années au développement exponentiel de l'usage des données biométriques, en particulier pour contrôler l'accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs". Personnellement, je n'ai pas constaté de développement exponentiel de ces dispositifs, et encore moins sur les lieux de travail, mais qu'importe. L'Iphone 5 contient un dispositif biométrique, mais il n'est pas concerné par l'interdiction posée par la proposition de loi (puisque la loi informatique et libertés ne s'applique pas aux traitements réalisés pour les besoins personnels des personnes physiques).

En droit français, au contraire tout est déjà fait pour que la biométrie soit très difficile à mettre en place. Sa mise en oeuvre suppose une autorisation préalable de la CNIL, qu'elle ne donne qu'avec parcimonie, et évidemment à condition que tous les principes de la loi informatique et libertés soient respectés... Notamment, que le dispositif soit proportionné aux finalités et que les données soient collectées de manière loyale et licite - cela, sous peine de 5 ans d'emprisonnement et 300.000€ d'amende.

[Lire la suite...]

Il est désormais légal d’attaquer des sites web (pour “tester” leur sécurité) !

Parmi les perles cachées de la LPM je viens de découvrir une énormité qu'un RSSI avisé à eu la gentillesse de me transmettre.

Droit à l'oubliEn résumé : la loi autorise désormais les attaques informatique - y compris sur des systèmes gouvernementaux d'ailleurs - pour "tester [leur] fonctionnement ou [leur] sécurité"...

Si vous pensez comme moi que l'on est en plein délire, et que ce que vous venez de lire relève d'un mauvais poisson d'avril, lisez ce qui suit... On croit rêver, le Gouvernement l'a (vraiment) fait !

[Lire la suite...]

Qui va faire sauter la LPM (ou le jeu de la course à la QPC) ?

Droit à l'oubliDepuis l'adoption de la LPM je me demande qui sera le premier à sauter sur l'occasion d'anéantir ses dispositions les plus attentatoires aux libertés publiques et introduire une Question Prioritaire de Constitutionnalité (QPC).  Les paris sont ouverts, mais je dirais que les grands de l'Internet (Google, Amazon, Apple...) sont ceux qui y ont le plus intérêt.

Ces entreprises ont, en effet, été largement vilipendées ces derniers mois pour leur collaboration dévoyée avec les services de renseignement. Elles souffrent aujourd'hui d'une image ternie qui a suscité une importante vague de contre-attaques, au moins d'apparat.

Elles ont donc là une occasion facile - et  parfaitement louable - de montrer publiquement leur attachement aux libertés individuelles et gagner une victoire  à moindre frais. La question qui surgit, en réalité, est : peuvent-elles s'en passer ?

Tout d'abord, parce qu'il est facile de faire sauter les dispositions les plus attentatoires aux libertés publiques de la LPM, tant leur rédaction est grossière. Cela amuse toujours de voir à quel point l'inlassable suffisance des Gouvernants aveugle quant à la réalité de l'Etat de Droit et à quel point le pouvoir peut pervertir de tout lucidité démocratique. A l'heure actuelle, l'article 20 de la LPM autorise ainsi la captation de toute information, y compris la correspondance privée, que détiennent les acteurs de l'Internet (créateurs de sites web, FAI, hébergeurs, etc.), pour des motifs extrêmement larges tels que la sauvegarde du potentiel économique de la France... (dit clairement : Google, SVP "donnez-nous accès à toutes les correspondances privées de vos dirigeants ainsi que ceux d'Apple, nous en avons besoin pour connaître les prochaines orientations stratégiques de vos entreprises..."). Difficile de soutenir le caractère raisonnable et proportionné de ces dispositions...

Ensuite, parce que ces entreprises seront, avec les FAI, probablement les premières sollicitées par des demandes d'accès à des informations sur le fondement de la LPM. Or, le mécanisme de la QPC est tel qu'il ne peut être déclenché qu'à l'occasion d'un contentieux (voir ses détails sur le site du Conseil constitutionnel) :

La « question prioritaire de constitutionnalité » est le droit reconnu à toute personne qui est partie à un procès ou une instance de soutenir qu'une disposition législative porte atteinte aux droits et libertés que la Constitution garantit. Si les conditions de recevabilité de la question sont réunies, il appartient au Conseil constitutionnel, saisi sur renvoi par le Conseil d'État et la Cour de cassation de se prononcer et, le cas échéant, d'abroger la disposition législative.

Il y a donc ici un fort lien d'opportunité, autant probablement que financier (la mise en oeuvre de ces mécanismes aura également un coût qu'il est utile d'éviter si ces dispositions sont contraires à la Constitution...).

Nous verrons donc qui héritera des premières demandes et qui sera assez rapide pour introduire sa QPC... les paris sont ouverts, effet médiatique massif garanti : le gagnant remportera une énorme victoire médiatique.

Fort heureusement aujourd'hui, faire passer en force de telles dispositions - anticonstitutionnellement - est d'une témérité grotesque et ne sert aujourd'hui à rien d'autre que de retarder leur annulation. 

Ce qui suscite une véritable inquiétude toutefois est de voir à quel point les promoteurs de ces mécanismes ne réalisent pas l'atteinte que ces dispositions portent à la confiance démocratique ; à quel point elles sabrent le pacte social, l'Etat de droit dont l'essence n'est que "la conservation des droits naturels et imprescriptibles de l’homme", "la liberté, la propriété, la sûreté et la résistance à l’oppression".

L'article 20 aurait peut-être permis une plus grande efficacité des services.

Mais c'est sans compter toute la défiance que les citoyens, plus encore, leur portent désormais.

A vos QPC... Prêt... Partez...

[Lire la suite...]

Les 3 merveilles de la LPM…

business man with laptop over head - mad Je discutais vendredi dernier avec un journaliste du Monde qui m'avait appelé pour des éclaircissements sur certains aspects de la LPM suite au moratoire demandé par l'ASIC ; l'association  (qui regroupe notamment AOL, Dailymotion, Google, Deezer, PriceMinister, Facebook, Yahoo...) fustigeait en effet l'extension substantielle de l'accès administratif des données de connexion conservées par les FAI et les hébergeurs de contenu sur Internet.

La raison de sa colère, plus précisément, tient à ce que la LPM (et son futur article 246-1) prévoit une double extension de la possibilité de récupérer des données de connexion :

  • d'abord le texte va ouvrir un accès très large aux agents de plusieurs ministères (v. futur art. 246-1), en particulier ceux chargés "de la sécurité intérieure, de la défense, de l’économie et du budget" ; on comprend parfaitement que les services de police y aient accès, mais quid de ceux de l'économie et des finances ?
  • ensuite les motifs pour lesquels ces agents auront accès à ces informations seront étendus substantiellement eux aussi, à : "la sécurité nationale, la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, ou la prévention du terrorisme, de la criminalité et de la délinquance organisée (...)" ; actuellement l'article L. 34-1 du CPCE est beaucoup plus strict et prévoit que cet accès ne peut se faire que "dans le seul but de permettre, en tant que de besoin, la mise à disposition de l'autorité judiciaire (...)". On voit donc bien le changement de perspective !
  • Enfin, il faut noter que ces agents auront accès à ces informations en temps réel (futur art. L. 246-3).

L'ASIC souhaitait en particulier que les demandes des agents administratifs soient  « placées sous la direction ou la surveillance de l'autorité judiciaire » ce qui semble assez raisonnable considérant l'ampleur du nouveau système, particulièrement à l'heure où PRISM occupe les esprits...

Toute cette réflexion a été pour moi l'occasion de me plonger dans la LPM et d'y découvrir également une série de perles cachées... Voilà en quelques mots ce que cette loi nous prévoit :

[Lire la suite...]

Les méthodologies de sécurité, outil de limitation des risques juridiques

jeu-echec

S'assurer de respecter l'ensemble des obligations légales liées à la mise en oeuvre d'un traitement de données personnelles n'est jamais simple, en particulier dès lors que l'on touche aux aspects de sécurité informatique.

Fort heureusement, un énorme travail de rationalisation a été effectué en ce sens afin de tenter de s'assurer, de la manière la plus scientifique possible, que toutes les précautions utiles de sécurité ont bien été prises. De nombreuses méthodologies de sécurité ont ainsi émergé, les deux les plus citées étant sans doute Ebios (initiée par un ancien collègue) et Méhari.

Toutes deux ont avant tout pour finalité d'analyser un certain nombre de risques techniques, humains et organisationnels, afin d'assurer une sécurité optimale à un système d'information (dont on parle abondamment dans les formations CIL, au passage). Toutes deux permettent au responsable du traitement d'avoir, autant que possible, une pleine conscience des risques auxquels le système est exposé.

D'un point de vue juridique, ces méthodologies ont donc un intérêt majeur.

[Lire la suite...]