avenant-rgpd

Comment mettre mes contrats en conformité avec le RGPD ?


L’une des obligations principales du Règlement Général sur la Protection des Données est d’encadrer les relations entre responsables de traitement et sous-traitants, si des données personnelles sont transférées entre ceux-ci.

Il est donc nécessaire de faire un audit des contrats existants, pour s’assurer que les clauses adéquates y figurent.

A défaut, un avenant doit être signé pour les y intégrer. Nous pouvons vous assister pour vérifier votre conformité au RGPD et pour rédiger ou négocier les avenants à vos contrats en cas de besoin.

Il existe des spécificités en cas de transfert de données personnelles hors de l’Union Européenne.


Quelles sont les clauses qui doivent y figurer au sein de mon avenant RGPD ?


L’Article 28 du RGPD indique les mentions qui doivent obligatoirement figurer dans tous les contrats entre les responsables de traitement et les sous-traitants :

  • L’obligation du sous-traitant de se conformer aux instructions du responsable de traitement, et l’interdiction de traiter les données en l’absence d’instructions.
  • L’obligation de respecter la confidentialité.
  • Le détail des mesures de sécurité à mettre en œuvre.
  • Les conditions pour faire appel à un sous-traitant ultérieur.
  • L’assistance à fournir par le sous-traitant au responsable de traitement, en cas de demande d’exercice de ses droits par une personne physique.
  • L’assistance apportée par le sous-traitant au responsable de traitement pour respecter ses obligations au titre du RGPD.
  • L’obligation de suppression ou de renvoi des données personnelles.
  • La fourniture de toutes les informations utiles au responsable de traitement par le sous-traitant.

Il est donc nécessaire de détailler de manière très précise l’étendue des obligations de chaque partie.

En cas de contrôle de la CNIL, ces informations devront être présentées sur demande.

Le non-respect de ces obligations est susceptible de justifier la mise en œuvre des sanctions prévues au RGPD.


Quelles ressources pour la mise en conformité des contrats au RGPD ?


La ressource principale reste le site de la CNIL.

Des clauses de sous-traitance type ont été rédigées par les juristes de la CNIL et sont disponibles à l’adresse suivante : https://www.cnil.fr/fr/sous-traitance-exemple-de-clauses

Elles peuvent s’adapter à la plupart des traitements de données personnelles non sensibles et proposent diverses options de répartition des responsabilités et engagements.

Il convient donc, a minima, de rédiger un avenant à vos contrats pour y intégrer ces éléments.


Les spécificités des contrats régissant le transfert de données personnelles hors de l’Union Européenne


Si la relation de sous-traitance entraîne le transfert de données personnelles hors de l’Union Européenne, ce contrat peut être soumis à des conditions particulières.

La Commission Européenne a prévu que dans ce cas, et sauf si le tiers installé hors de l’UE fait partie d’un pays disposant d’une protection en matière de données personnelles considérée comme adéquate, il est nécessaire de conclure les clauses contractuelles types.

Cela n’est pas nécessaire pour les prestataires installés aux Etats-Unis s’ils sont titulaires de la certification Privacy Shield.

Elles doivent être complétées et signées sur le modèle fourni par la Commission Européenne, et disponible sur le site de la CNIL : https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

Toute modification de ces clauses contractuelles types est soumise à l’accord préalable de la CNIL.






prestations-informatiques-contrat

Comment me protéger lorsque je fais appel à un développeur informatique ?


Il est désormais presque impossible, pour toute entreprise, de se passer d’une phase de développement informatique. Qu’il s’agisse d’un site internet, d’un logiciel métier ou d’un service SaaS, il est parfois difficile de procéder à ces développements en interne. Vous devez donc faire appel à un prestataire informatique, ou un développeur.

Nous voyons trop souvent des cas où le processus de développement n’a pas été clairement défini, ce qui entraîne des contestations à la livraison, ou au paiement, si les livrables ne correspondent pas en tous points à vos demandes. De même, il n’est souvent rien prévu pour la cession des droits de propriété intellectuelle sur les développements.

Il est donc préférable de conclure un contrat de prestations régissant ces diverses problématiques. Cet article n’a pas vocation à être exhaustif mais plutôt à promouvoir de bonnes pratiques contractuelles.


Conclure un contrat de prestations de développements informatiques


Le contenu du contrat de développement informatique peut varier selon les cas, mais des clauses communes s’y retrouvent généralement :

  • Planning des développements : le planning peut être ferme ou plus large, mais il est préférable de l’inclure pour éviter que les développements dépassent les délais convenus.
  • Contenu des développements et livrables : il est essentiel que le contenu des développements soit détaillé au sein d’une annexe spécifique précise (un cahier des charges, une proposition commerciale, etc).
  • Procédure de validation des livrables (« recette ») : cette procédure prévoit le délai au cours duquel le client peut transmettre ses réserves, puis le délai de correction par le prestataire. Il est également possible de prévoir une limite de nombre de présentations en recette, si les développements ne sont pas satisfaisants.
  • Étendue des obligations des parties : obligations de résultat, obligation de moyens, cette dernière n’étant pas recommandée pour le client.
  • Paiement : paiement au forfait, paiement au jour, échéancier de paiement, retard de paiement. Une annexe financière peut également être prévue (proposition commerciale, conditions financières).
  • Cession de la propriété intellectuelle : voir ci-après pour plus d’informations.
  • Garanties du développeur quant à l’absence de contrefaçon au sein des livrables.
  • Confidentialité.
  • Responsabilité des parties : il convient de s’assurer que la responsabilité du développeur n’est pas trop limitée.
  • Résiliation pour faute : ceci permet de mettre fin au contrat si les développements ne se passent pas comme prévue.
  • Gestion des litiges et droit applicable (notamment en cas de contrat non franco-français).

Des clauses spécifiques peuvent également être ajoutées selon les particularités du projet (maintenance, données personnelles, etc).


Effectuer le transfert de la propriété intellectuelle sur les développements


Le code informatique, qu’il s’agisse de celui qui compose un site web, un logiciel, ou tout autre développement, mais également l’interface, sont susceptibles d’être protégés par le droit d’auteur.

Si vous commandez un développement, quel qu’il soit, il convient de vous assurer que sa propriété intellectuelle vous soit bien transférée.

Le code de la propriété intellectuelle, en son Article L131-3, indique qu’en l’absence de cession du droit d’auteur par contrat, en respectant un formalisme spécifique, le développeur reste titulaire de tous les droits sur les développements. De manière très simplifiée, le contrat doit inclure :

  • Le détail des droits cédés.
  • La durée de la cession.
  • Le territoire de la cession.
  • Le prix de la cession.
  • La destination des droits cédés.

A défaut, les droits de propriété intellectuelle ne sont pas cédés.

En conséquence, si aucune clause de cession de propriété intellectuelle ne figure au sein de votre contrat, ou si la clause est mal rédigée, vous ne serez pas propriétaire de vos développements. Ceci pourra avoir un impact sur votre activité future. Vous pourriez en effet être condamné pour contrefaçon, et perdre le droit d’usage des développements que vous avez payé. En cas de levée de fonds, les investisseurs potentiels souhaiteront également s’assurer que vous êtes titulaires des droits. A défaut, ceci pourra entraîner des retards, ou même être un obstacle à l’investissement.

Il est donc fortement conseillé, pour votre tranquillité d’esprit et l’assurance de pouvoir disposer de la pleine jouissance de vos développements, de traiter cette problématique dès la phase contractuelle initiale, avant le début des prestations.

En cas de besoin, n’hésitez pas à nous contacter. Nous disposons d’une expertise importante en matière de rédaction de contrats de prestations informatiques et pourrons vous assister.





conformite-rgpd

Le RGPD, quel impact opérationnel sur le traitement des données personnelles par les startups ?


Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’appliquera à tous les traitements de données personnelles au sein de l’Union Européenne.

Il concernera toutes les entreprises, quelle que soit leur taille.

En conséquence, il est fondamental de faire le nécessaire pour être mis en conformité avant la date fatidique.

Le RGPD a un double impact sur vos activités :

  • Renforcement de la protection des personnes concernées par les données personnelle.
  • Adaptation des procédures internes pour mettre en place une conformité en amont.

Les sanctions, en cas de non-respect du RGPD, sont conséquentes dans tous les cas :

  • Chiffre le plus élevé entre 10 millions d’euros et 2% du chiffre d’affaire mondial pour les atteintes techniques (Privacy by Design, Privacy by Default, absence d’analyse d’impact)
  • Chiffre le plus élevé entre 20 millions d’euros et 4% du chiffre d’affaire mondial pour les atteintes aux droits des personnes.

Un renforcement des droits des personnes sur les données personnelles


Le RGPD renforce les droits des personnes dont les données personnelles sont collectées.

Les principes mis en place sont les suivants :

  • Traitement des données personnelles de manière licite, loyale et transparente.
  • Collecte pour des finalités précises, claires, déterminées, explicites, compréhensibles et légitimes.
  • Utilisation uniquement pour ces finalités.
  • Minimisation des données collectées à celles qui sont pertinentes pour la finalité.
  • Mise à jour des données – suppression des données périmées.
  • Conservation limitée dans le temps aux besoins du traitement.
  • Protection de la sécurité des données.
  • Privacy by Design : les principes du RPGD doivent être intégrés dès la mise en place du traitement.
  • Privacy by Default : seules les données nécessaires sont traitées.

Ces principes impliquent la mise en œuvre de procédures techniques spécifiques : acceptation par cases à cocher, anonymisation, pseudonymisation, chiffrement, logs, processus de sécurité.

Les personnes concernées doivent également être entièrement informées des données collectées, des finalités des traitements et des procédures mises en place. Elles doivent également pouvoir obtenir du responsable de traitement qu’il modifie les données, les supprime, lui transmette ou l’informe sur les données personnelles qu’il détient sur elle, dans un délai d’un (1) mois à compter de sa demande. Toute personne peut également s’opposer au traitement de ses données, à tout moment.

Les droits conférés sont donc extensifs et doivent être répercutés au sein de vos documents contractuels (CGV / CGU notamment) et procédures internes.


La nécessité de mettre en place des procédures de conformité en interne


Si les droits conférés aux personnes sont étendus, ceux-ci restent dans le prolongement de la réglementation existante.

En revanche, les entreprises sont désormais soumises à des obligations transformées et bien plus importantes.

La déclaration préalable n’est plus nécessaire, chaque responsable de traitement devant garantir le respect du RGPD pour tous les traitements de données personnelles.

Il est nécessaire, au sein de chaque entreprise de plus de 250 salariés, de tenir un registre des traitements effectués. Les entreprises de moins de 250 salariés ne doivent tenir qu’un registre des traitements sensibles ou si le traitement est régulier. Toutefois, il est fortement conseillé à toutes les entreprises de tenir un registre de l’intégralité de leur traitement. La CNIL fournit un modèle de registre qu’il est conseillé d’utiliser : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

Tout traitement de données sensibles (données de santé, politiques, ethniques, religieuses, sexuelles) ou incluant un profilage doit également faire l’objet d’une analyse d’impact. Celle-ci est également conseillée, bien que non obligatoire, pour tous les traitements de données personnelles. La CNIL a mis à disposition du public un logiciel qui guide cette analyse : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Les entreprises sont également invitées à nommer un Data Protection Officer (DPO), qui coordonne les traitements en interne, et les relations avec la CNIL en cas de contrôle. Ceci est obligatoire si l’entreprise traite des données personnelles de manière régulière et systématique, ou si elle traite des données sensibles. Le DPO peut être interne à l’entreprise ou un prestataire spécifique.

Diverses procédures techniques et administratives doivent également être mises en place :

  • Procédure de réponse aux demandes des personnes concernées.
  • Portabilité des données.
  • Suivi des destinataires.
  • Procédure de notification de la CNIL en cas d’atteinte aux données.
  • Suivi documentaire de la conformité au RGPD (audit technique régulier, détail des mesures de sécurisation prise).
  • Mise en place d’obligations de confidentialité pour les salariés.
  • Limitation des accès aux données (par exemple via un système de permission).
  • Mise en place de logs des accès aux données.
  • Système de purge des données.
  • Procédure d’acceptation de la politique de données personnelles par vos clients, en particulier si des services sont fournis en ligne (case à cocher non précochée).

Il convient également de s’assurer que vos contrats avec vos sous-traitants prévoient une répartition des rôles et responsabilités en matière de données personnelles, et notamment que vos partenaires présentent les garanties nécessaires de conformité au RGPD.

Il est donc nécessaire de faire le point sur vos procédures internes et de les adapter préalablement au 25 mai 2018.

La CNIL disposera de pouvoirs et moyens renforcés pour vérifier la conformité des entreprises au RGPD, dès cette date.

N’hésitez pas à nous contacter si vous souhaitez être assisté.




hotel-ota-brandjacking

Comment les hôteliers peuvent-ils lutter contre le brandjacking ?


Tout le monde utilise les comparateurs de prix afin de réserver des chambres d’hôtels ou des vols. L’envers du décor est toutefois moins connu.

Les hôteliers subissent un phénomène appelé le brandjacking, qui poussent leurs clients à procéder aux réservations sur le site des comparateurs de prix et non directement sur le site des hôteliers, ce qui entraîne une perte financière conséquente pour ces derniers.

Pour en savoir plus, nous avons écrit deux articles en partenariat avec le site www.resaendirect.fr :

http://www.resaendirect.fr/lutter-contre-les-comparateurs/

http://www.resaendirect.fr/comment-contrer-le-vol-de-marque/




escroquerie-nom-domaine

Attention à l’escroquerie aux noms de domaine


Après l’arnaque aux formalités, dont nous avions parlé précédemment, voici une arnaque que nous ne connaissions pas et qui semble assez courante : l’arnaque au nom de domaine.

Il s’agit d’une arnaque qui vous encourage à enregistrer des noms de domaine sous plusieurs extensions nationales, souvent en Asie ou en Chine, à un tarif très élevé.

Comme toujours avec ce type d’escroquerie, la meilleure solution reste de jeter le mail concerné à la corbeille et de ne pas y répondre.


Qu’est-ce que l’arnaque au nom de domaine ?


L’arnaque est simple mais efficace, et joue sur la peur et l’incertitude du destinataire.

Dans un premier temps, vous recevez un email dans un anglais passable mais compréhensible, qui vous indique qu’un tiers envisage d’enregistrer votre nom de domaine sous une extension asiatique.

L’expéditeur vous indique alors qu’il a préféré vérifier avec vous que ce tiers était bien autorisé à procéder à un tel enregistrement, qui pourrait porter atteinte à vos droits.

L’adresse mail de l’expéditeur peut être soit une adresse mail générique (gmail ou similaire) ou provenir d’un nom de domaine rempli de pages basiques.

Cet email peut prendre par exemple la forme suivante :

« Dear sir or madam,

We are an agency engaging in registering brand name and domain names. Today, Our center received an application from XX and they apply to register « votre nom de domaine » as their brand name and some top-level domain names(.CN .HK etc). We found the main body of domain names is same as your company name. I am not sure about the relationship between you and them. Please tell me whether or not your company authorizes them to register names.

We are dealing with the application and we need to confirm whether you have authorized them? If you don’t authorize them, please reply me an e-mail. Looking forward to your reply.

Best regards, »

L’anglais est suffisamment passable pour pouvoir être réel, et les informations restent suffisamment vagues pour s’appliquer à tous.

Si vous répondez, vous serez peut-être contacté par un autre email, prétendant être une personne travaillant pour le tiers en question.

L’objectif sera de tenter de vous convaincre d’acheter les noms de domaine en question avant que le tiers ne vous les subtilise. Bien entendu, ces noms de domaine devront être achetés auprès de l’escroc à un tarif bien supérieur à celui du marché.

Il n’est pas certain que quelqu’un qui suivrait l’escroquerie jusqu’au bout récupère ses noms de domaine enregistrés au prix fort.

Certains téméraires ont poussé la curiosité jusqu’au bout afin d’obtenir tous les détails de l’escroquerie.


Se renseigner sur l’expéditeur de l’email et ne pas y répondre


Si vous avez un doute sur la validité du mail, vous pouvez toujours faire une recherche sur l’expéditeur et sa société.

Si l’adresse mail est expédiée depuis un domaine spécifique, il convient de faire une recherche sur ce domaine.

En pratique, toutefois, il est improbable que ce type de mail soit sérieux. Il est préférable de ne pas y répondre et de le mettre immédiatement à la corbeille.

 Si vous souhaitez enregistrer les noms de domaine dans l’extension des pays concernés car vous envisagez d’avoir une activité dans ces pays, nous vous conseillons de le faire auprès de l’organisme chargé de cette tâche dans le pays.

Pour trouver l’organisme en question, il est recommandé soit de faire appel à un registrar reconnu, soit de s’assurer de l’organisme officiel pour l’extension concernée par exemple sur le site de l’ICANN.

 




donnees-sites-internet-extraction-utilisation

L’extraction et l’indexation de données par les crawlers sur internet – Point juridique


L’explosion du data mining et du big data pousse à s’intéresser à la légalité de la collecte automatisée de données.

Les données peuvent être collectées volontairement, au moyen de formulaires remplis par des utilisateurs, ou en obtenant le droit d’utiliser des bases de données. Elles peuvent également être collectées au moyen de robots – dits crawlers web – qui parcourent le web à la recherche de données pour les indexer et en permettre la consultation ultérieure par des tiers.

Qui est propriétaire des données collectées ? Est-il possible de collecter les données sans autorisation ?

Il s’agit d’un risque juridique à analyser pour toute société procédant à ce type de collecte.

Voir la suite : http://www.legavox.fr/blog/maitre-matthieu-pacaud/extraction-indexation-donnees-crawlers-internet-22421.htm




app-code-source-logiciel-depot

Le dépôt du code-source à l’Agence pour la Protection des Programmes (APP)


Le dépôt du code-source à l’Agence pour la Protection des Programmes (APP) est souvent mal compris par les développeurs informatiques.

Ce dépôt a deux objectifs : créer une preuve de la date de création du code-source, et permettre de rassurer les co-contractants en permettant un accès à celui-ci sous condition. Il ne permet pas de créer un titre de propriété intellectuelle sur le code-source ou tout autre élément déposé.

Il est possible de déposer des codes-source de logiciel, des bases de données, des sites internet ou tout autre document informatique.


L’Agence pour la Protection des Programmes (APP) permet de créer une preuve de la date de création


Le droit d’auteur, contrairement aux droits de propriété industrielle tels que la marque ou le brevet, ne naît pas du fait du dépôt mais de son existence.

Si un œuvre répond aux critères du droit d’auteur (en particulier l’originalité), elle est automatiquement protégée.

Outre la question de l’originalité, la problématique majeure en matière de droit d’auteur est celle de la date de création et de l’identité de l’auteur.

Le dépôt à l’APP permet de disposer d’une date certaine de l’existence de l’œuvre, et donc de potentiellement disposer d’une date d’antériorité vis-à-vis des tiers. Il permet également de détailler le contenu de l’œuvre à la date du dépôt, ce qui permettra de se ménager une preuve en cas de contrefaçon.

Par ailleurs, ce dépôt permet au déposant de disposer d’une présomption de paternité de l’œuvre. Si ce dépôt est frauduleux, il sera bien entendu possible de casser la présomption, pour tout tiers disposant des preuves utiles.

Le dépôt devrait être renouvelé à chaque mise à jour majeure du code-source, en particulier si celle-ci intègre des fonctions essentielles du logiciel. Ce dépôt successif permet également de tracer l’évolution du code.


L’APP, une source de confiance pour les clients avant la signature de contrats


Préalablement à la conclusion d’un contrat informatique (notamment en matière de licence ou contrat SaaS), il est fréquemment demandé au prestataire informatique s’il a procédé au dépôt du code-source, et s’il est possible d’obtenir l’accès à celui-ci sous certaines conditions.

Les clients souhaitent en effet se garantir contre la possibilité de perdre l’accès à leur logiciel ou à sa maintenance, si le prestataire ne continue pas son activité. Cette question est récurrente lorsque le prestataire est une société de petite taille ou une start-up.

L’accès peut prendre deux formes :

La clause d’accès est une clause simple qui prévoit que sous certaines conditions, le client pourra accéder au code source : ces conditions sont souvent la liquidation judiciaire ou la cessation d’activité. Il conviendra ensuite d’informer l’APP lorsqu’il est donné accès au code-source à un partenaire contractuel.

Le contrat d’entiercement est signé entre le fournisseur, le client et l’APP. Il prévoit une fréquence de dépôt, en particulier en cas de mises à jour, les droits de l’utilisateur sur le code-source (utilisation commerciale ou utilisation interne, maintenance en interne ou par un tiers, développements complémentaires, modification du code-source, etc), ainsi que les modalités précises d’accès au code-source (selon la procédure de l’APP). L’accès peut également être limité à des conditions spécifiques.

L’APP fournit un modèle de contrat d’entiercement qu’il est nécessaire de respecter pour pouvoir bénéficier de ce régime. Il sera plus simple pour le client d’accéder au code via ce mécanisme en cas de difficulté.

L’utilisation de ces outils permettra de rassurer les clients sur la pérennité du logiciel et favorisera le développeur du logiciel.


Le coût du dépôt à l’Agence pour la Protection des Programmes


Avant de déposer un code-source à l’APP, il sera nécessaire d’y adhérer et de renouveler l’adhésion chaque année. La cotisation annuelle est, pour 2017, de 204 euros TTC par an (auquel il convient d’ajouter 60 euros pour la première année) pour une personne physique et de 560 euros pour une personne morale.

Chaque dépôt est ensuite facturé 228 euros TTC.

Des coûts spécifiques peuvent également être ajoutés en cas de clause d’accès ou de conclusion d’un contrat d’entiercement.

Le coût d’un dépôt à l’APP peut être important pour une petite entreprise, mais il permet d’en sécuriser les créations.


Les solutions alternatives au dépôt à l’APP (séquestre chez un notaire, courrier recommandé, enveloppe SOLEAU)


Si le dépôt auprès de l’APP est trop onéreux ou complexe, il est toujours possible de se créer d’autres preuves de la date de création :

  • Envoi d’une lettre recommandée à soi-même, sans l’ouvrir, avec un support numérique ou optique contenant le logiciel ;
  • Dépôt chez un tiers séquestre tel qu’un notaire ;
  • Enveloppe SOLEAU papier ou électronique.

Ces solutions sont moins complètes que l’APP, mais permettent tout de même de disposer d’une date certaine de création et d’un commencement de preuve sérieux quant à la paternité de l’œuvre.

Quelle que soit la solution retenue, il est utile d’effectuer ces démarches et de protéger tout création avant l’existence de litiges.




site-internet-mentions-legales

Quelles sont les mentions légales et documents à intégrer sur un site internet ?


Nous sommes souvent interrogés sur les mentions légales à intégrer sur un site internet. Il convient de différencier les mentions légales obligatoires, celles qu’il peut être utile d’intégrer, et les autres documents qui peuvent figurer sur le site.


Les mentions légales obligatoires pour tous les sites internet


Conforment à la LCEN, chaque site internet doit inclure un minimum d’informations afin de permettre aux visiteurs d’identifier les responsables du contenu publié sur celui-ci. Cela est particulièrement important car le contenu du site peut parfois porter atteinte à un tiers, qui doit pouvoir disposer de moyens de recours.

Les mentions légales doivent inclure les informations légales de la société qui édite le site : dénomination sociale, forme juridique, siège social, SIRET, moyens de contact (téléphone, mail), numéro de TVA le cas échéant. S’il s’agit d’un particulier, son nom, prénom et son domicile doivent apparaître.

Un responsable de publication doit également être systématiquement désigné.

Les informations légales relatives à l’hébergeur doivent également y figurer : nom, siège social, SIRET.

Toute information relative à une activité réglementée doit être également intégrée. A titre d’exemple, les avocats doivent inclure leur barreau d’appartenance et leur toque. Un médecin, un courtier ou un expert comptable devra en faire de même avec les équivalents pour sa propre profession.

La page des mentions légales doit être accessible facilement par les visiteurs, en général via un lien en pied de page.

Il est également nécessaire, si des données sont collectées, d’informer les visiteurs du numéro de déclaration effectuée auprès de la CNIL. Dans ce cas, il conviendra également de les informer de la manière dont les données sont collectées, hébergées, sécurisées, et de leur finalité.

Par ailleurs, si des cookies sont utilisés sur le site, et à des fins de conformité avec la législation européenne sur les données personnelles, il sera nécessaire de faire apparaître un bandeau d’acceptation des cookies sur la page d’accueil lors de la première visite sur le site internet. Les utilisateurs doivent également être informés qu’ils disposent du droit d’opposition, de rectification et d’accès aux données collectées, avec une adresse de contact. 

L’absence d’une de ces mentions est sanctionnée d’un an d’emprisonnement et de 75 000 € d’amende pour les personnes physiques ou 375 000 € pour les personnes morales.


La mention de propriété intellectuelle : utile mais non obligatoire


Il est fréquent de voir apparaître des mentions relatives à la propriété intellectuelle sur la page mentions légales. Celles-ci n’ont pas de véritable impact juridique mais permettent toutefois de se ménager un commencement de preuve de titularité en cas de contrefaçon par un tiers. Sa valeur reste toutefois très faible et il convient de protéger les droits d’auteur et de marque par d’autres moyens.


Les autres documents à intégrer : CGV et CGU


Il ne faut pas négliger vos CGV et CGU, si votre site internet met une plateforme à disposition de ses utilisateurs ou vend des produits.

Ces documents vont prévoir les modalités de vente, paiement et d’utilisation de votre site internet. Par ailleurs, en cas de vente ou prestations à des consommateurs (B2C), des mentions spécifiques au droit de la consommation devront être intégrées (rétractation, médiation, etc). Nous vous invitons dans ce cas à vous rapprocher de nous.

 Ces documents vont également compléter vos mentions légales.




liens-hypertextes-droit-legal-illegal

Tous les liens hypertextes sont-ils légaux ?


La Cour de Justice de l’Union Européenne a rendu le 8 septembre dernier un arrêt GS Media fondamental quant à la légalité des liens hypertextes, en particulier en matière de propriété intellectuelle.

La solution choisie par la CJUE met en place des présomptions particulièrement contraignantes pour les éditeurs de sites internet, ce qui va les obliger à s’assurer que les liens hypertextes utilisés sur leur site dirigent vers des contenus publiés de manière légale.

Les entreprises du digital mettent souvent en place une stratégie de linking afin de réduire leurs coûts de productions de contenu, en particulier au début de leur activité. Cela permet en effet de maintenir un rythme de publication important et donc une présence vis-à-vis du public.

La multiplication des liens vers des publications tierces peut donc aisément engager votre responsabilité en raison de la présomption. Il est en conséquence particulièrement important de vous assurer que vos liens dirigent vers des sites qui respectent bien les droits d’auteur en amont, et non a posteriori.

Cet article a pour objet de présenter une synthèse rapide du nouveau régime applicable aux liens hypertextes.


La publication de liens légaux


1. L’arrêt GS Media se fonde sur le critère de l’objectif poursuivi par la personne ayant publié le lien.

Il semble que l’objectif soit de faire la distinction entre la publication d’un lien à titre lucratif ou non.

Ne sont pas considérés comme illégaux :

  • Les liens publiés « sans but lucratif » ;
  • Les liens publiés par une « personne [qui] ne sait pas, et ne peut pas raisonnablement savoir, que cette œuvre avait été publiée sur Internet sans l’autorisation du titulaire des droits d’auteur ».

En conséquence, si une personne publie un lien qui dirige vers un contenu portant atteinte aux droits d’auteur d’un tiers, sans but lucratif, cela ne saurait lui être reproché, sauf à prouver qu’elle était consciente que celui-ci était illégal. Cette preuve pourra être établie par exemple si le titulaire des droits l’en a informé (« Lorsqu’il est établi qu’une telle personne savait ou devait savoir que le lien hypertexte qu’elle a placé donne accès à une œuvre illégalement publiée »).

2. Toutefois, si le contenu a déjà été publié par l’ayant droit, ou si celui-ci en a autorisé sa publication, il est présumé autoriser sa « communication au public » par le biais de liens, pour autant que le public ne soit pas plus large que le public initial.

Le public n’est pas considéré comme plus large dès lors que la publication initiale a été effectuée sur un site ouvert au public.


La publication de liens illégaux


1. Une présomption d’illégalité est créée pour toutes les publications de liens effectuées à titre lucratif. En conséquence, tout lien dirigeant vers un contenu pouvant porter à la propriété intellectuelle et publié à titre lucratif sera illégal.

Il est alors à charge pour la personne ayant publié le lien de prouver que le contenu de la page visée ne porte pas atteinte au droit d’auteur.

Cette preuve est particulièrement difficile à rapporter en pratique et oblige chaque éditeur de site internet à s’assurer que l’intégralité des liens qui figurent sur son propre site est conforme au droit d’auteur. Cette tâche peut rapidement être d’une complexité inouïe pour les sites comportant des milliers de liens.

2. En outre, si le lien vise un contenu qui est publié à destination d’un public qui n’aurait pas dû avoir accès au contenu (par exemple un lien vers un contenu republié sur une plateforme ouverte à tous mais issu d’une plateforme dont l’accès est limité), le lien sera également considéré comme portant atteinte au droit d’auteur.

3. Il en va de même si le lien est diffusé par une personne agissant à titre non lucratif mais en étant consciente de l’illégalité du contenu figure sur la page liée.

4. La majorité des liens dirigeant vers des pages portant atteinte au droit d’auteur sera ainsi considérée comme illégale et pourra engager la responsabilité de la personne publiant le lien. Il sera intéressant de voir comment ce régime va s’articuler avec le régime de l’hébergeur et de l’éditeur.

N’hésitez pas à nous contacter si vous avez besoin de clarification sur la manière dont ce nouveau régime s’appliquera à votre site.




Procédure SYRELI – Noms de domaines sous l’extension .fr (infographie)


La procédure SYRELI a été mise en place par l’AFNIC en particulier pour permettre aux titulaires de droits antérieurs (noms de domaines, marques), d’obtenir la suppression ou la transmission de noms de domaine qui portent atteinte à leurs droits.

Elle permet donc de lutter contre le cybersquatting. S’agissant d’une procédure mise en place par l’organisme chargé de la gestion des extensions .fr, il s’agit d’une procédure qui ne s’applique qu’en matière franco-française.

Pour les extensions internationales (.net, .com, .org), la procédure UDRP est applicable.

Préalablement à la mise en oeuvre de ces procédures, il est préférable de tenter de connaître le nom du titulaire du nom de domaine et de tenter d’en obtenir le transfert de manière amiable.

Si vous souhaitez plus d’informations sur la lutte contre le cybersquatting, un article précédent a déjà abordé le sujet.


syreli-cybersquatting-nom-domaine-france


Résumé de la procédure SYRELI


La procédure SYRELI est ouverte si le nom de domaine, objet du litige, est (article L45 du Code des Postes et des Communications Electroniques) :

  • “susceptible de porter atteinte à l’ordre public ou aux bonnes mœurs ou à des droits garantis par la Constitution ou par la loi ; ou
  • susceptible de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi ; ou
  • identique ou apparenté à celui de la République française, d’une collectivité territoriale ou d’un groupement de collectivités territoriales ou d’une institution ou service public national ou local, et que le titulaire ne justifie pas d’un intérêt légitime et agit de mauvaise foi.” 

La procédure suit les étapes suivantes :

  • Le demandeur introduit la demande auprès de l’AFNIC,
  • Le coût de cette procédure est de 250 euros HT,
  • L’AFNIC notifie la demande au titulaire du nom de domaine,
  • Le titulaire du nom de domaine dispose de 21 jours pour y répondre,
  • L’AFNIC rend sa décision sous 2 mois à compter de la demande initiale,
  • En cas de décision favorable, le nom de domaine est transféré au demandeur ou supprimé, la décision étant exécutoire.