Catégorie : Droit de l’Informatique

Fournisseurs de logiciel et sociétés de conseil en solution informatique attention à quoi vous vous engagez, même en l’absence de convention.

Dans une affaire jugée récemment par la Cour d’Appel de Grenoble (CA. Grenoble, 4 juin 2015, n°2009J386), la société CIMM Franchise qui exploite un réseau de 120 agences immobilières, a commandé à la société de conseil E-Développement Conseil la création d’un logiciel afin de faire évoluer la gestion de ses biens immobiliers. La conception du logiciel a été confiée par E-Développement Conseil à la société 3C Evolution.

Il doit être précisé qu’aucun contrat ni cahier des charges n‘a été formalisé pour définir les missions confiées aux deux prestataires informatiques, ou encore les modalités de la création du logiciel.

Toutefois, des comptes rendus de réunion ont permis d’établir que les parties ont décidé que la livraison du logiciel serait due pour le mois de janvier 2008.

Le logiciel commandé n’a finalement été livré qu’en juin 2008 et a révélé de nombreux dysfonctionnements le rendant impropre à son utilisation. CIMM Franchise a, dans ces conditions, fait assigner les deux prestataires informatiques en résolution des contrats, en remboursement des sommes versées et en paiement de dommages-intérêts.

La Cour d’Appel de Grenoble, estimant que :

  • le développeur avait violé ses obligations en ne respectant pas le délai de livraison du logiciel, ladite obligation étant une obligation de résultat même en l’absence de contrat ou de cahier des charges ;
  • le développeur avait également violé ses obligations en ne fournissant pas un logiciel conforme aux besoins du client, ladite obligation constituant pareillement une obligation de résultat même en l’absence de contrat ou de cahier des charges ;
  • la société de conseil avait manqué à son obligation de conseil car d’une part, elle n’avait pas procédé à un appel d’offre avant de sectionner le développeur et ne s’était donc pas assurée de ses compétences, et d’autre part, elle n’avait pas formalisé de cahier des charges précis exprimant les besoins du client,

a prononcé la résolution des conventions aux torts exclusifs des deux prestataires et le remboursement par ces derniers des acomptes versés. Elle a en revanche débouté la demanderesse de sa demande en paiement de dommages-intérêts.

De toute évidence, l’absence de formalisation d’actes a porté préjudice aux deux prestataires.

0

C’est un fait, le piratage des données et la fraude informatique sont en constante évolution. Le nombre d’atteintes liées au piratage informatique a défrayé la chronique ces dernières années ayant parfois des conséquences désastreuses pour les entreprises, tant au niveau financier qu’en terme de réputation.

A titre d’exemple, en mai 2014 le site eBay a connu le pillage des données personnelles de plus de 233 millions de clients. Plus récemment, TF1 s’est fait pirater près de 2 millions de données concernant ses abonnés.

Les cyber-menaces sont capables d’infecter un vaste public silencieusement et efficacement, quelque soit le secteur d’activité, la taille de l’entreprise ou le pays.

Pourtant, la loi Informatique et Libertés impose aux sociétés effectuant des traitement de données personnelles de « préserver la sécurité des données et notamment d’empêcher qu’elles soient déformées endommagées ou que des tiers non autorisés y aient accès » (cf. article 34) sous peine d’une peine de 5 ans d’emprisonnement et 300.000 euros d’amende (1.500.000 euros pour les personnes morales). Cette condamnation peut être, en plus, augmentée des dommages intérêts à verser aux victimes dont les données ont été divulguées (ce qui peut concerner l’ensemble des personnes concernées par le piratage, la France autorisant depuis peu les actions de groupe) et est d’autant plus importante que les compagnies d’assurances refusent de plus en plus de prendre en compte le risque lié aux cyber-attaques dans leurs polices de responsabilité civile.

Face à l’ingéniosité des pirates et l’obsolescence perpétuelle des mesures techniques de protection, comment respecter l’obligation de sécurité des données et éviter la condamnation ?

Il convient de constater que l’obligation imposée par la loi Informatique et Libertés est une obligation de moyen (obligation de prendre toutes les « précautions utiles »). Cela signifie que le responsable de traitement doit mettre en place les moyens techniques et organisationnels adaptés pour garantir la sécurité, l’intégrité et la confidentialité des données et sera exonéré dès lors qu’il aura mis ces moyens en place.

Malheureusement, il n’existe pas de liste énumérant les mesures techniques à mettre en place en cas de traitement de telles ou telles données à caractère personnelle. Considérant la rapidité avec laquelle évoluent les technologies, la pertinence d’une telle liste serait en toute hypothèse réduite à néant.

En conséquence, afin d’échapper à toute éventuelle condamnation le responsable de traitement devra :

  • se tenir constamment informé des nouvelles technologies et mesures techniques susceptibles de lutter contre le piratage ;
  • mettre en œuvre ces mesures techniques si elles sont adaptées au traitement effectué ;
  • suivre les recommandations de la CNIL relatives à la sécurité ;
  • sensibiliser, à tous les nivaux de l’entreprise, aux problématiques liées à la protection des données à caractère personnel (56 % des entreprises françaises victimes de fraudes indiquent qu’elles ont été commises par un fraudeur interne) ; et
  • surveiller les agissements des employés (dans le respect de droit au respect à la vie privé).

Attention, il convient de constater que même si le responsable de traitement met en place les mesures internes précitées, il pourra être retenu responsable du pillage des données gérées par son sous-traitant (hébergeur par exemple).

Dès lors, afin de limiter la condamnation à laquelle pourrait donner lieu le piratage des données confiées au sous-traitant, il est primordial d’imposer contractuellement à ce dernier des obligations de sécurité drastiques au moins équivalentes à celles prisent en interne par le responsable de traitement.

Une grande majorité des sous-traitants étant basés à l’étranger ou ayant recours à des contrats d’adhésion, cette démarche peut s’avérer délicate mais demeure impérativement nécessaire.

0