Admission au CIR des prestations de R&D du sous-traitant agréé

CIRPar un arrêt du 9 septembre 2020, le Conseil d’État remet en cause la doctrine administrative limitant l’application du CIR (crédit impôt recherche) aux sous-traitants.

Il annule le deuxième alinéa du paragraphe 220 des commentaires administratifs publiés au Bofip, Bulletin officiel des finances publiques impôts, sous la référence BOI-BIC-RICI-10-10-20-30 ainsi que l’illustration chiffrée figurant à la suite de cet alinéa sous la dénomination « Exemple ».

Contestation de la doctrine administrative limitant l’application du CIR aux sous-traitants

Dans ce texte, l’administration fiscale avait supprimé la possibilité pour les entreprises sous-traitantes agréées par le ministère de la recherche d’inclure dans leur déclaration de crédit impôt recherche (CIR), les projets de recherche et développement non valorisés par leurs clients privés français, même si ceux-ci y renoncent expressément ou sont au plafond.

La doctrine jusqu’alors en vigueur depuis le 8 février 2000 prévoyait que, dans le cas où le client privé ne bénéficiait pas lui-même du CIR, la société effectuant les prestations pouvait inclure les sommes correspondantes dans la base de calcul de son propre CIR.

C’est dans ce cadre que la société T. a demandé l’annulation pour excès de pouvoir du paragraphe 220 de ces commentaires, par lesquels l’administration donne son interprétation des dispositions du III de l’article 244 quater B du Code général des impôts (CGI).

Plus particulièrement, l’annulation demandée concernait le deuxième alinéa du paragraphe 220 (en p.8) des commentaires litigieux, lequel énonce que les organismes de recherche privés agréés mentionnés au d bis du II de l’article 244 quater B du CGI doivent :

« (…) déduire de la base de calcul de son propre crédit d’impôt recherche les sommes reçues des organismes pour lesquels les opérations de recherche sont réalisées et facturées (CGI, art. 244 quater B, III). Cette disposition a pour objet d’éviter que les mêmes opérations de recherche ouvrent droit deux fois au crédit d’impôt.

Exemple :
L’entreprise A commande à un organisme agréé B une opération de recherche spécifique. En rémunération de la prestation fournie, A verse à B la somme de 10 000 €.
L’entreprise A prendra en compte dans la base de calcul de son crédit d’impôt la somme de 10 000 €.
En contrepartie, l’organisme B déduira de la base de calcul de son propre crédit d’impôt la même somme de 10 000 €. »

Pour rappel, l’article 244 quater B du CGI, dans sa rédaction applicable à la date des commentaires administratifs attaqués, prévoit, que les entreprises industrielles et commerciales ou agricoles imposées d’après leur bénéfice réel ou exonérées en application de certains dispositifs du CGI peuvent bénéficier d’un crédit d’impôt au titre des dépenses de recherche qu’elles exposent au cours de l’année.

De même, en application de cet article une entreprise peut prendre en compte dans la base de calcul de son CIR les dépenses exposées pour la réalisation d’opérations de recherche confiées à des organismes de recherche privés agréés par le ministère de la recherche dans la limite des plafonds prévus aux d bis et d ter du II de l’article 244 quater B du CGI.

Annulation par le Conseil d’État

Dans sa décision précitée, le Conseil d’État a considéré que :

  • les commentaires administratifs attaqués ajoutaient à la loi en ce que, en énonçant au deuxième alinéa de leur paragraphe 220 que les organismes de recherche privés agréés doivent « déduire » de la base de calcul de leur crédit d’impôt recherche les sommes reçues des donneurs d’ordre pour le compte desquels ils réalisent des opérations de recherche ainsi qu’il ressort de l’exemple qui suit ces commentaires ;
  • ceux-ci interprètent la loi fiscale comme ayant pour effet d’obliger les organismes de recherche privés agréés sous-traitant à inclure dans la base de leur crédit d’impôt le montant des dépenses éligibles réalisées dans le cadre d’opérations de recherche conduites pour le compte de tiers éligibles, avant de déduire de cette base le montant total des sommes facturées en rémunération de ces prestations.

Les commentaires administratifs en litige sont donc entachés d’incompétence en tant qu’ils énoncent la règle contenue dans le deuxième alinéa du paragraphe 220, illustrée par l’exemple chiffré figurant à sa suite, fondant ainsi l’annulation demandée par la société T.

Par conséquent, le Conseil d’Etat annule le deuxième alinéa du paragraphe 220 des commentaires administratifs publiés au BOFIP sous la référence BOI-BIC-RICI-10-10-20-30 et l’illustration chiffrée figurant à la suite de cet alinéa sous la dénomination « Exemple ».

Pierre-Yves Fagot
Marielle Ouattara
Lexing Droit de l’entreprise

(1) Conseil d’État, 8ème – 3ème chambres réunies, 09-09-2020, n° 440523.




Les outils pour lutter contre les difficultés des PME

difficultés des PMEDans ce contexte de crise sanitaire et économique, quels sont les dispositifs permettant de faire face aux difficultés des PME ?

Les dispositifs mis en place pendant la crise sanitaire

Le gouvernement a aménagé des outils existants et mis en place des mécanismes pour combattre les difficultés des PME. Le but : contenir au maximum les effets pervers du confinement sur les entreprises et d’éviter un déluge de licenciements économiques.

Le décret n°2020-325 du 25 mars 2020 a largement étendu le dispositif d’activité partielle et assouplit les conditions permettant aux entreprises d’y recourir. Ces mesures ont permis aux entreprises de placer une partie ou la totalité de leurs salariés en chômage partiel à temps complet ou d’aménager la durée du travail de certains d’entre eux en fonction de la réalité des besoins propres à chacune d’entre elle et des difficultés auxquelles elles se sont confrontées pendant et après la période de confinement.

Le recours massif au télétravail lorsqu’il était possible, afin d’éviter la propagation du virus, combiné à l’utilisation des nouvelles technologies de communication et d’organisation, ainsi que les dispositifs de soutien de la trésorerie octroyés par le gouvernement, ont également permis aux entreprises de poursuivre leur activité à distance sans perdre en efficacité et en minimisant l’impact de la crise à court terme.

Les outils pour affronter les difficultés des PME sur le plus long terme

Après la période particulière de confinement et la reprise progressive d’activité, la bataille contre les difficultés des PME va se poursuivre et les entreprises devront continuer à s’adapter et trouver des stratégies pour minimiser l’impact de cette crise sanitaire.

Il sera bénéfique pour les entreprises ayant un CSE, de l’associer à la définition de la stratégie de sortie de crise. Pour cela, des mesures ont été prises afin de raccourcir les délais de consultation du CSE et d’adapter les modalités de la négociation collective au contexte de pandémie, telle que la possibilité de tenir les réunions à distance par visioconférence ou audioconférence, ou encore la notification de l’accord collectif à l’ensemble des organisations représentatives par voie électronique.

Concrètement, pour permettre une adaptation rapide et flexible à la conjoncture économique, à une recrudescence possible de l’épidémie, aux spécificités de chaque secteur d’activité et aux besoins propres à chaque entreprise, elles disposent notamment des outils suivants :

La définition ou redéfinition d’un accord ou d’une charte sur le télétravail afin de réglementer et sécuriser sa pratique en misant sur une réduction des coûts pour l’entreprise et une augmentation de la performance des salariés ;

  • La modulation de la durée et du temps de travail ;
  • Les accords de performance collective ;
  • La réduction, le report ou la suppression temporaire de primes ;
  • L’activité partielle ;
  • Privilégier la mobilité professionnelle ou géographique en interne ;
  • Plan de départ volontaire autonome ;
  • Rupture conventionnelles collectives.

Les licenciements économiques en dernier ressort

Le gouvernement met à disposition des entreprises une boîte à outil permettant de lutter contre les difficultés des PME en limitant au maximum les licenciements pour motif économique.

Il n’est toutefois pas exclu d’y recourir en veillant à bien respecter les conditions de validité afin d’éviter la requalification en licenciement sans cause réelle et sérieuse.

Emmanuel Walle
Elena Blot
Lexing Social numérique




Parution de la lettre JTTIL 210 – Septembre 2020

JTTIL 210

Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 210) :

  • Renégociation de l’accord « Privacy Shield » en cours
  • Lignes directrices du CEPD sur l’application de la DSP2
  • Les dispositifs transfrontières potentiellement agressifs
  • Promulgation d’une nouvelle loi sur le démarchage téléphonique
  • Cookies et autres traceurs : annulation partielle des lignes directrices de la Cnil
  • Contrat MSP (Managed Service Provider) : fini les zones d’ombre
  • La COVID-19 reconnue comme maladie professionnelle
  • L’Observatoire de la haine en ligne est installé
  • Marchés publics : parution du décret relevant temporairement le seuil de dispense de procédure
  • Propriété intellectuelle : la CJUE précise la notion d’adresses au sens de la directive 2004/48
  • Les fonctions juridiques : au cœur de la transformation numérique
  • etc.

 De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 210

  • Le plan « France Relance » ;  Le Port du masque obligatoire en entreprise ; Nouveau guide ANSSI sur le Ransomware ; Charte des contrôles Cnil ; Sanction Cnil à l’égard d’une société de vente en ligne ; Guide Cnil durée de conservation ; Loi sur le démarchage téléphonique, etc.

Enfin, signalons nos prochains petits-déjeuners débats qui se tiendront en visioconférence :

JurisTendances Télécoms Informatique & Libertés (JTTIL 210) , Septembre 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet.



COVID-19 : Nouveau protocole national pour les entreprises

nouveau protocole national

Publication du nouveau protocole national

A la suite de l’avis du Haut Conseil de la santé publique du 14 août 2020 relatif à la transmission du virus par aérosols, le ministère du Travail a publié le 31 août 2020 un nouveau protocole national pour assurer la santé et la sécurité des salariés en entreprise face à l’épidémie de COVID-19.

Reprise des personnes vulnérables et des personnes partageant le même domicile

La reprise des salariés à risque de forme grave de COVID-19 est préconisée depuis le 1er septembre 2020 dans des conditions sanitaires renforcées (télétravail, travail en présentiel avec mesures de protection complémentaires comme un aménagement du poste de travail). Les personnes listées par décret (n°2020-1098 du 29-08-2020) présentant des pathologies particulièrement lourdes (cancer évolutif sous traitement, chimiothérapie anticancéreuse, dialysé, etc.) peuvent être placées en activité partielle si leur médecin traitant l’estime nécessaire.

Les salariés partageant le même domicile qu’une personne vulnérable ne peuvent plus bénéficier de l’activité partielle depuis le 31 août 2020.

Télétravail recommandé

Dans le nouveau protocole national, le télétravail n’est plus une solution à privilégier mais devient une pratique recommandée.

Port du masque

Le nouveau protocole rend le port du masque grand public obligatoire au sein des entreprises dans les lieux collectifs clos. Il doit être associé au respect d’une distance physique d’au moins 1 mètre entre les personnes ; de même pour l’hygiène des mains, les gestes barrières, le nettoyage, la ventilation, l’aération des locaux et la gestion des flux de personnes.

Le nouveau protocole national prévoit que ne sont pas soumis à cette obligation, les salariés :

  • Seuls dans un bureau ;
  • En atelier si les conditions de ventilation / aération fonctionnelles sont conformes et que le nombre de personne présentes dans la zone est limité avec distanciation sociale et visière ;
  • En extérieur (sauf regroupement ou impossibilité de tenir la distance d’un mètre).

Il est possible de retirer le masque de manière ponctuelle dès lors que des mesures sont prises :

  • ventilation / aération,
  • écrans de protection, visières,
  • politique de prévention des risques,
  • gestion rapide des cas de personnes symptomatiques,
  • taille des locaux, espace de 4 m2 par personne) et
  • en fonction de la zone de circulation du virus (verte, orange et rouge.

Enfin, des dispositifs de séparation entre les personnes peuvent être pris (écrans transparents à l’accueil ou dans les open space).

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique




Cnil : Comment répondre à une demande de tiers autorisé ?

demande de tiers autorisé

La Cnil a publié un guide destiné à présenter aux responsables de traitement la démarche à suivre lors d’une demande de tiers autorisé.

Qu’est-ce qu’un tiers autorisé ?

La Cnil précise la notion de tiers autorisé dans son guide pratique. Les tiers autorisés sont des autorités et des organismes habilités, par des dispositions législatives, à ordonner à un responsable de traitement le transfert de documents ou de renseignements contenant des données à caractère personnel de personnes déterminées.

Les tiers autorisés obtiennent la communication de données à caractère personnel « dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre » au sens de l’article 4, 9 du RGPD.

Toutefois, chaque responsable de traitement est tenu de respecter son obligation d’assurer la sécurité des données à caractère personnel conformément aux articles 5, 1, f et 32 du RGPD.

Le guide de la Cnil a pour objectif de présenter à chaque responsable de traitement la démarche à suivre lors d’une demande émanant d’un tiers autorisé.

Pour répondre valablement à une demande de communication de données à caractère personnel de la part d’un tiers autorisé, le responsable de traitement doit procéder à trois vérifications :

  • la demande provient d’un tiers autorisé ;
  • la source et le périmètre de la demande ;
  • la sécurisation de la communication.

La mise en œuvre de cette démarche permet à chaque responsable de traitement d’assurer la sécurité des données à caractère personnel, conformément aux exigences du RGPD.

1ère vérification : son origine, « la demande d’un tiers autorisé »

À titre liminaire, une demande de tiers autorisé peut prendre toute forme, sauf si le texte en cause en prévoit une spécifiquement.

Si la demande mentionne une disposition légale ou réglementaire, le responsable de traitement doit la vérifier.

Si elle ne le fait pas, le responsable de traitement doit demander au tiers autorisé la référence légale pour qu’il puisse procéder à cette vérification.

2ème vérification : la source et le périmètre de la demande

Avant d’accéder à la demande, une double vérification, pratique et juridique, est nécessaire. La vérification pratique a pour objet de s’assurer que la demande provient bien de l’autorité ou de l’organisme public mentionné. Elle permet d’éviter les fraudes. Quant à la vérification juridique, elle vise à contrôler que l’acteur émetteur est autorisé à exiger la communication des informations demandées

En premier lieu, afin de lever un éventuel doute concernant le tiers autorisé, plusieurs possibilités existent comme :

  • effectuer un contre-appel en utilisant le numéro de contact diffusé par l’administration,
  • vérifier que l’adresse postale communiquée correspond à celle diffusée par le tiers autorisé sur son site web
  • vérifier que le nom de domaine de l’adresse de courrier électronique utilisée correspond à celui diffusé par le tiers autorisé
  • recueillir toute information identifiant la personne se présentant dans les locaux aux fins de vérifier qu’elle appartient à l’organisme en question.

En second lieu, le responsable de traitement doit s’assurer du périmètre des données à caractère personnel transmises. Les informations qui seront transmises doivent effectivement être visées par les dispositions invoquées par le tiers autorisé. En outre, la transmission ne doit pas contenir plus de données à caractère personnel que celles demandées. Cette vérification permet de respecter le principe de minimisation énoncé à l’article 5, 1, b du RGPD.

La transmission des données à caractère personnel à des tiers autorisés pose par ailleurs la question du respect du secret professionnel. Celui-ci doit être opposé par le responsable de traitement à une demande provenant d’un tiers autorisé uniquement lorsqu’aucune disposition ne prévoit la levée d’un ou de plusieurs secrets professionnels.

Le responsable de traitement doit donc vérifier que les deux conditions suivantes sont réunies avant toute transmission de données à caractère personnel :

  • la demande de communication de données à caractère personnel est-elle couverte par un secret professionnel ?
  • si tel est le cas, la demande de communication provient-elle d’un organisme bénéficiant d’une disposition législative prévoyant la levée du secret professionnel concerné ?

3ème vérification : la sécurisation de la communication

Chaque responsable de traitement doit déterminer un canal de transmission des informations demandées entre lui et le tiers autorisé, et veiller à ce que les modalités de cette transmission en assurent la sécurité, notamment par un procédé de chiffrement, hachage, etc.

Pour aider les responsables de traitement dans leur démarche de vérification en cas de demande de tiers autorisé, la Cnil a recensé pour chaque procédure d’enquête (juridictionnelle, administrative, économique, sociale, travail et santé), le type de tiers autorisés, les objectifs et les conditions de la demande, la nature des informations transmissibles ainsi que les fondements juridiques.

Le refus de communication des données à la demande d’un tiers autorisé

Il est possible de refuser d’accéder à une telle demande, mais cela peut aboutir à l’engagement de la responsabilité du responsable de traitement.

Recommandation : Il est recommandé de documenter la gestion des demandes émanant de « tiers autorisés » et de diffuser cette documentation auprès des personnes en charge des demandes. Elle peut indiquer les premières actions à faire par tout agent à la réception d’une demande, faire mention de la nécessité d’une désignation d’un référent chargé de la prise en compte des demandes, comporter des éléments de sensibilisation des agents et des salariés, ou bien encore faire état des outils permettant de sécuriser la communication de données à caractère personnel (ex : outil de chiffrement, politique de mot de passe, etc.).

Anne Renard
Lucie Antigny
Lexing Conformité et certification




Présentation du rapport d’activité AFA 2019

AFA 2019

L’Agence française anticorruption a publié son rapport d’activité AFA 2019 présentant un panorama de l’action internationale de l’Agence.

Un rapport d’activité AFA 2019 satisfaisant

Le 9 juillet 2020, l’Agence française anticorruption, créée par la loi du 9 décembre 2016 de modernisation de la vie publique, a publié son rapport d’activité 2019 (1).

L’AFA a pour mission d’aider les personnes de droit privé ou public à prévenir et à détecter les manquements au devoir de probité que sont la corruption, le trafic d’influence, la concussion, la prise illégale d’intérêts, le détournement de fonds publics et le favoritisme. Dirigée par un magistrat nommé par décret du Président de la République, l’AFA comprend une Commission des sanctions.

D’une part, dans son rôle de contrôle de la qualité et de l’efficacité des dispositifs anticorruption, l’AFA a opéré 36 contrôles d’initiatives en 2019, dont 20 sur des acteurs économiques et 16 sur des acteurs publics.

D’autre part, dans son rôle de conseil aux acteurs publics et économiques, l’AFA a réalisé en 2019 près de 70 interventions de sensibilisation auprès d’acteurs publics et privés et 50 formations.

Le rapport d’activité AFA 2019 souligne que, pour la première fois, l’Agence a saisi la Commission des sanctions chargée de réprimer les manquements observés à l’occasion des contrôles.

L’activité AFA 2019 orientée sur la formation

L’activité 2019 de l’Agence française anticorruption a été centrée sur la formation à l’anticorruption.

Ainsi, l’AFA a diffusé et explicité le référentiel français anticorruption pour que les acteurs concernés s’approprient les démarches et outils et les déploient dans leur propre organisation.

En outre, l’AFA a soutenu le développement des formations supérieures afin de multiplier les métiers de la conformité anticorruption.

Elle a également renforcé la formation dans le domaine public (collaborations avec les organismes de formation des agents publics).

La diffusion du référentiel anticorruption et la sensibilisation aux risques dans la gestion publique ont notamment été réalisées par l’accompagnement du ministère chargé de l’Éducation nationale, de la Jeunesse, de l’Enseignement supérieur et de la Recherche et le ministère des Armées dans le déploiement de leur plan anticorruption.

L’activité AFA 2019 : une volonté de renforcer la coopération internationale

Un des points fort de l’activité 2019 de l’Agence française anticorruption fut le renforcement de la coopération internationale, notamment le développement de la coopération opérationnelle avec les autorités anticorruption étrangères.

Au cours de l’année 2019, l’AFA a intensifié sa mission en faveur d’une résolution coordonnée des affaires de corruption transnationale.

Ainsi, l’AFA a participé avec le Serious Fraud Office britannique à une table ronde sur la négociation des accords transactionnels en matière de corruption internationale. Elle est intervenue dans une conférence avec le Département de la Justice des États-Unis sur les résolutions coordonnées des affaires de corruption transnationale.

En conclusion, selon les termes de Charles Duchaine, Directeur de l’AFA, « Trois années seulement après sa création, l’Agence française anticorruption a mis en œuvre l’ensemble des missions qui lui ont été confiées par la loi du 9 décembre 2016 ».

Virginie Bensoussan-Brulé
Esther Dalle
Lexing Contentieux du numérique

(1) Agence française anticorruption, Rapport annuel d’activité 2019, 9-7-2020




Renégociation de l’accord « Privacy Shield » en cours

renégociation de l’accord « Privacy Shield »

La renégociation de l’accord « Privacy Shield » est en cours afin de permettre aux entreprises de transférer légalement les données  personnelles de citoyens européens aux Etats-Unis.

Le gouvernement américain annonce que le ministère du Commerce et la Commission européenne ont entamé des discussions afin d’« évaluer le potentiel d’un cadre amélioré du bouclier de protection des données UE-États-Unis pour se conformer à l’arrêt du 16 juillet de la Cour de justice de l’Union européenne dans l’affaire Schrems II », rapporte l’agence Reuters dans une dépêche du 10 août 2020.

Pour rappel, cet arrêt a déclaré que ce cadre n’était plus un mécanisme valable pour transférer des données personnelles de l’Union européenne vers les États-Unis (1).

Pour la CJUE « Les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis (…) ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité » (2).

Principalement en cause, les programmes de surveillance américains qui permettent au gouvernement d’avoir un accès très large aux données traitées par les entreprises. Selon la Cour, la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de données transférées depuis l’Union vers ce pays tiers, n’est pas compatible avec les principes du Règlement général sur la protection des données (RGPD).

Néanmoins, d’autres outils juridiques sont mobilisables pour opérer de tels transferts, par exemple :

  • les clauses contractuelles types adoptées en 2010 (3), non remises en cause par l’arrêt de la CJUE, ou encore
  • les Binding Corporate Rules (BCR) et
  • les codes de conduite internes aux entreprises.

Toutefois, le Privacy Shield n’en constitue pas moins la voie royale pour les transferts de données personnelles vers les États-Unis.

Nous reviendrons sur le nouvel accord en cours de négociation dès que les modalités en seront connues. Signalons d’ores et déjà les difficultés soulevées début septembre, par le commissaire européen à la justice, Didier Reynders. Selon ce dernier, « la nature politique de la question et le fait que les élections américaines sont imminentes » risquent en effet d’entraver les négociations entre les responsables américains et européens.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Voir notre post publié le 17 juillet 2020.
(2) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(3) Décision CE 2010/87 du 5 février 2010.




Lignes directrices du CEPD sur l’application de la DSP2

DSP2Le Comité européen pour la protection des données vient de publier ses lignes directrices, adoptées le 17 juillet 2020, sur l’application de la DSP2.

La directive sur les services de paiement 2 (1), adoptée le 25 novembre 2015, a donné un statut juridique à de nouveaux acteurs apparus sur le marché des services de paiement, dont les prestataires de services d’information sur les comptes (agrégateurs de comptes) et les prestataires d’initiation de paiement.

Les premiers proposent des services offrant une vue consolidée des informations sur les comptes bancaires détenus par une personne dans plusieurs établissements, lui permettant ainsi d’avoir une appréhension globale des soldes de ses comptes et, parfois, des dernières opérations réalisées sur chacun des comptes ainsi consolidés. Ce faisant, ces acteurs peuvent proposer, s’ils sont par ailleurs prestataires de services de paiement, des services de paiement à partir – ou entre – les comptes apparaîssant dans cette vue consolidée.

Les seconds proposent des services qui permettent à leurs clients de demander la réalisation d’une opération de paiement à partir d’un compte détenu dans un établissement tiers.

Ces différentes opérations impliquent donc la collecte de données à caractère personnel, qu’il s’agisse de celles du titulaire des comptes considérés ou de celles des émetteurs ou des destinataires des opérations de paiement enregistrées ou initiées. Elles impliquent également la détention d’informations souvent sensibles, résultant des opérations réalisées, et que le prestataire de services d’information sur les comptes va collecter ou détenir : par exemple, il peut s’agir d’informations, déduites des opérations bancaires rapatriées dans la vue consolidée des comptes, et qui peuvent donner des indications, par exemple, sur l’orientation sexuelle, les opinions religieuses ou politiques du titulaire des comptes considérés.

Il est donc primordial que les données collectées et conservées par ces prestataires de services soient protégées et que leur confidentialité et leur sécurité soient garanties.

La difficulté vient de ce que la DSP2, lorsqu’elle vise les questions de protection des données à caractère personnel, ne le fait pas de manière cohérente avec les dispositions du RGPD.

Il était donc important que le CEPD se prononce sur cette question. C’est ce que ses lignes directrices (2) ont l’ambition de faire, notamment au travers de l’analyse de deux sujets fondamentaux qui sont (1) la question du consentement et (2) celle de la gestion des catégories particulières de données.

La question du consentement

Pour qu’un traitement de données à caractère personnel puisse être mis en œuvre, le RGPD prévoit qu’il doit s’appuyer sur l’un ou l’autre des six fondements légaux indiqués à son article 6. Cette liste est exhaustive.

Parmi ces six fondements, ceux qui peuvent justifier la mise en œuvre d’un traitement d’information sur les comptes ou d’initiation de paiement, figurent, d’une part, l’exécution du contrat conclu entre le prestataire de services et son client et, d’autre part, le consentement du client à ce que ses données soient utilisées.

Le fondement tiré de l’exécution du contrat ne pose pas de difficulté particulière, dans la mesure où la DSP2 prévoit que les services qu’elle encadre doivent nécessairement faire l’objet de la conclusion d’un contrat entre le prestataire et son client.

Toutefois, l’absence de difficulté est conditionnée par une réserve importante : que le traitement de données à caractère personnel dont il s’agit soit strictement nécessaire à l’exécution du contrat, la preuve de cette stricte adéquation entre le traitement opéré et le contrat reposant sur les épaules du responsable du traitement.

Vient alors la délicate question des traitements de données à caractère personnel ultérieurs, réalisés pour des finalités qui n’étaient pas prévues initialement ou qui ne ressortent pas directement de l’exécution du contrat stricto sensu.

Pour ceux-ci, le fondement légal, tiré de l’exécution du contrat, ne pourra pas être invoqué, sauf à démontrer que la nouvelle finalité est « compatible » avec la finalité initiale. Mais si tel n’est pas le cas, restera alors le fondement légal tiré du consentement de la personne concernée.

D’ailleurs, la DSP2 limite les cas de traitements ultérieurs, dans la mesure où elle indique que le prestataire ne doit pas utiliser, accéder à ou stocker des données pour d’autres finalités que celles de la fourniture des services d’initiation de paiement ou d’informations sur les comptes, tels que demandés par le client.

En conséquence, tout traitement ultérieur ne peut s’appuyer que sur une demande expresse du client, ce qui conduit au recueil, de fait, du consentement de la personne concernée à ce que ce traitement soit réalisé.

Ce consentement doit donc obéir aux principes posés par le RGPD pour sa validité. Il doit être « libre, éclairé, spécifique et non ambigu ».

La difficulté qui surgit alors est que la DSP2 vise, elle aussi, le concept de « consentement explicite », mais dans un sens très différent de celui du RGPD. Pour la DSP2, ce consentement explicite vise, en réalité, le consentement du client à contracter avec son prestataire de services ou à l’autoriser à utiliser les données qu’il collecte pour la fourniture des services contractuellement prévus, et non pas le consentement en tant que fondement légal à un traitement de données à caractère personnel.

Il vient que le prestataire de services pourra être mis dans la position de devoir recueillir – et démontrer l’expression de – deux consentements : le consentement prévu par la DSP2, qui est un consentement à contracter et à réaliser les opérations prévues au contrat et, le cas échéant, le consentement prévu par le RGPD comme fondement légal aux traitements qui seront mis en œuvre (lorsque le fondement légal de l’exécution du contrat ne sera pas approprié).

La question des catégories particulières de données

Comme indiqué plus haut, le prestataire d’information sur les comptes peut être amené à connaître de données révélatrices des habitudes de paiement et des revenus de son client.

Parmi ces informations, peuvent figurer des données qu’il peut être facile de lier à des données dont la détention est normalement interdite, comme les données sur les opinions religieuses, politiques, sur la santé, la vie sexuelle ou l’orientation sexuelle.

La DSP2 ne méconnaît pas la question des données « sensibles ». Mais il convient de relever qu’elle ne les appréhende pas dans le même sens que le RGPD. Pour la DSP2, est une donnée « sensible », une donnée qui peut être utilisée pour des usages frauduleux, les données de sécurité (mot de passe, codes secrets) étant considérées comme étant des données sensibles.

Il vient donc que le prestataire d’information sur les comptes ne devrait pas pouvoir collecter, traiter ou conserver des données considérées comme « sensibles » dans l’acception donnée à ce concept par le RGPD.

Des exceptions existent cependant à ce principe général d’interdiction, parmi lesquelles figurent, notamment, le consentement (voir ci-dessus) de la personne concernée.

A ce propos, le CEPD rappelle que l’exécution du contrat n’est pas un fondement légal qui peut être invoqué pour justifier que des traitements impliquant des données « sensibles » soient mis en œuvre. Ainsi, si la prise de connaissance d’informations, par exemple sur les opinions politiques d’une personne, peut être perçue comme étant une conséquence naturelle, voire de l’essence même d’un service d’information sur les comptes, elle ne peut être justifiée, a priori, que par le consentement de la personne (les autres hypothèses de dérogations à ce principe général d’interdiction étant peu plausibles au cas particulier de ce type de service).

En conséquence, si le consentement de la personne concernée ne peut pas être obtenu, ou est refusé par elle, le responsable du traitement devrait mettre en œuvre des mesures techniques en vue d’empêcher le traitement de ces catégories de données.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Directive (UE) 2015/2366 du 25 11 2015
2) Guideline 06/2020 of the interplay of the Second Payment Services Directive and the GDPR, Version 1.0, adopted on 17 July 2020




Les dispositifs transfrontières potentiellement agressifs

dispositifs transfrontières potentiellement agressifsAfin de renforcer la lutte contre la fraude fiscale, la directive (UE) 2018/822 du Conseil du 28 mai 2018 a modifié la directive 2011/16 en ce qui concerne l’échange automatique et obligatoire d’informations entre les autorités fiscales des Etats membres de l’UE en rapport avec les dispositifs transfrontières potentiellement agressifs et devant faire l’objet d’une déclaration.

Cette directive a été transposée en droit interne par l’ordonnance n°2019-1068 du 21 octobre 2019 et codifiée sous les articles 1649 AD à 1649 AH du Code général des impôts (CGI), ainsi qu’à l’article 1729 C ter du même code pour les sanctions applicables en cas de manquement à l’obligation déclarative.

L’administration a commenté ces nouvelles dispositions dans ses instructions publiées au BOFIP les 9 mars et 29 avril 2020. Elles doivent entrer en vigueur en droit français le 1er juillet 2020.

Cependant, en raison de l’épidémie du covid-19, la Commission a proposé, le 8 mai 2020, que, pour les dispositifs dont la première étape est mise en œuvre :

  • entre le 1er juillet 2020 et le 30 septembre 2020, le délai de 30 jours dans lequel ces dispositifs doivent être déclarés ne commence à courir qu’à compter du 1er octobre 2020 au lieu du 1er juillet 2020 ;
  • entre le 25 juin 2018 et le 30 juin 2020, les dispositifs qui auraient dû être déclarés au plus tard le 31 août 2020 puissent l’être jusqu’au 30 novembre 2020.

Tout dispositif transfrontières comportant au moins l’un des marqueurs ci-après considérés comme potentiellement agressifs doit faire l’objet d’une déclaration.

Le sens du terme « dispositif » transfrontière visé

Le terme « dispositif » doit être entendu au sens large pour recouvrir notamment tout accord, montage, entente, mécanisme, transaction ou série de transactions, qu’ils aient ou non force exécutoire.

Ce terme recouvre également la constitution, l’acquisition ou la dissolution d’une personne morale ou la souscription d’un instrument financier.

De même ce « dispositif » peut être constitué d’une ou plusieurs étapes et faire intervenir un ou plusieurs participants.

Constituent par exemple un « dispositif » les mesures visant à tenir les réunions du conseil d’administration d’une société dans un Etat différent de l’Etat de résidence de la société, afin de pouvoir faire valoir un changement de résidence sur une opération de financement ou de refinancement intra-groupe (1).

En revanche, ne constitue pas un « dispositif », le fait, pour un contribuable, d’attendre simplement l’expiration d’un délai ou d’une période légale pour réaliser une transaction en exonération d’impôt (par exemple, une société établie en France qui attend l’expiration d’une période de deux ans pour vendre une participation qu’elle détient dans une société établie en Espagne afin de bénéficier du régime d’exonération des plus-values à long terme) (2).

Il doit s’agir également d’un « dispositif transfrontière ».

Le sens du terme « dispositif transfrontière » visé

Un dispositif est réputé transfrontière, dès lors que deux conditions sont réunies :

  • le dispositif concerne la France et un autre Etat que celui-ci situé dans l’UE ou hors UE ;
  • le dispositif répond à une condition de résidence ou d’activité des participants dans deux Etats distincts :
    • la France et un autre Etat, membre ou non de l’UE.

Cette dernière condition repose sur l’Etat de résidence ou d’exercice de l’activité des « participants au dispositif » connu par l’intermédiaire ou le consultant, étant précisé que sont des participants au dispositif :

  • les intermédiaires ;
  • les contribuables concernés ;
  • les entreprises associées ;
  • toute autre personne ou entité susceptible d’être concernée par le dispositif.

Enfin, un dispositif transfrontière est déclarable lorsqu’il comporte un ou plusieurs marqueurs prévus à l’article 1649 AH du CGI.

La définition des marqueurs

Un marqueur, au sens de ces nouvelles dispositions s’entend comme une caractéristique ou une particularité d’un dispositif transfrontière qui indique un risque potentiel d’évasion fiscale (3).

Pour certains marqueurs, l’obligation de déclaration du dispositif n’exige pas la recherche d’un avantage principal entendu comme un avantage fiscal.

Pour d’autres, en revanche, la recherche d’un avantage fiscal est exigée pour que le dispositif transfrontière soit déclarable, ce qui sera le cas lorsque celui-ci permet notamment d’obtenir un remboursement d’impôt, un allègement ou une diminution d’impôt, une réduction de dette fiscale, un report d’imposition ou une absence d’imposition.

Au sujet de ces derniers marqueurs, pour lesquels un avantage fiscal est exigé, il en est ainsi d’un dispositif transfrontière présentant l’une des caractéristiques suivantes (4) :

  • le contribuable concerné ou un participant au dispositif s’engage à respecter une clause de confidentialité selon laquelle il peut lui être demandé de ne pas divulguer à d’autres intermédiaires ou aux autorités fiscales la manière dont le dispositif pourrait procurer un avantage fiscal ;
  • l’intermédiaire est en droit de percevoir des honoraires, intérêts ou rémunération pour financer les coûts et autres frais, pour le dispositif et ces honoraires, intérêts ou rémunération sont fixés par référence :
    • au montant de l’avantage fiscal découlant du dispositif ; ou
    • au fait qu’un avantage fiscal découle effectivement du dispositif (5) ;
  • le dispositif dont la documentation et/ou la structure sont en grande partie normalisées et qui est à la disposition de plus d’un contribuable concerné sans avoir besoin d’être adapté de façon importante pour être mis en œuvre.

Cependant, l’administration précise, dans sa documentation, que lorsque l’avantage principal obtenu en France au moyen du dispositif transfrontière résulte de l’utilisation d’un dispositif d’incitation fiscale conforme à l’intention du législateur français, cet avantage principal n’est a priori pas considéré comme un avantage fiscal principal, sous réserve du respect de l’intention du législateur (6).

Les personnes à qui incombe l’obligation déclarative sont :

  • les intermédiaires ;
  • les contribuables concernés.

Intermédiaires tenus d’effectuer la déclaration

Un intermédiaire qui doit souscrire cette déclaration en France est :

  • toute personne professionnelle ou non,
  • rémunérée ou non,

qui répond à l’une des deux catégories visées ci-après et qui dispose d’un lien territorial avec la France.

Les deux catégories d’intermédiaires concernés par cette obligation sont :

  • l’intermédiaire concepteur, c’est-à-dire celui qui conçoit, commercialise ou organise un dispositif transfrontière devant faire l’objet d’une déclaration, le met à disposition aux fins de sa mise en œuvre ou en gère la mise en œuvre ;
  • l’intermédiaire prestataire de services c’est-à-dire toute personne qui, compte tenu des faits et circonstances et sur la base des informations disponibles, ainsi que de l’expertise en la matière et de la compréhension nécessaires pour fournir de tels services, sait ou pourrait raisonnablement être censée savoir qu’elle s’est engagée à fournir, directement ou par l’intermédiaire d’autres personnes, une aide, une assistance ou des conseils concernant notamment la conception, la commercialisation ou l’organisation d’un dispositif transfrontière déclarable ou la gestion de sa mise en œuvre.

Pour être tenu à cette déclaration en France, l’intermédiaire doit, en outre, disposer d’un lien territorial avec la France ; ce qui sera le cas si cet intermédiaire satisfait à l’une des conditions ci-après :

  • être fiscalement domicilié, résident ou à son siège en France ;
  • posséder en France un établissement stable qui fournit les services concernant le dispositif transfrontière déclarable ;
  • être constitué en France ou est régi par le droit français ;
  • être enregistré en France auprès d’un ordre ou d’une association professionnelle en rapport avec des services juridiques, fiscaux ou de conseil ou il bénéficie d’une autorisation d’exercer en France délivrée par cet ordre ou association.

Cependant, cet intermédiaire est dispensé de cette déclaration dans deux situations :

  • la déclaration de ces informations a été souscrite par un autre intermédiaire en France ou dans un autre Etat membre de l’UE ;
  • l’intermédiaire est soumis au secret professionnel et n’a pas obtenu l’accord de son client de déclarer les informations ; dans ce dernier cas, l’obligation déclarative incombe alors à tout autre intermédiaire ou, en l’absence d’autre intermédiaire, au contribuable concerné.

Contribuables tenus d’effectuer la déclaration

En outre, dans certains autres cas, l’obligation déclarative incombe au contribuable concerné.

Ainsi, un contribuable concerné est toute personne :

  • à qui un dispositif transfrontière déclarable devant faire l’objet d’une déclaration est mis à disposition pour mise en œuvre ;
  • ou qui est disposée à le mettre en œuvre ;
  • ou qui a mis en œuvre la première étape d’un tel dispositif.

Le contribuable concerné est donc l’utilisateur du dispositif ou est partie au dispositif transfrontière déclarable.

Par exemple, au sein d’un groupe de société, la société mère dont le siège est en France conçoit un dispositif transfrontière utilisé par d’autres sociétés du groupe dont le siège est dans un autre Etat membre de l’UE ou hors UE.

Dans ce cas, la société mère est un intermédiaire concepteur et les autres sociétés du groupe les contribuables concernés.

Les obligations déclaratives

Lorsqu’un dispositif transfrontière comporte un ou plusieurs marqueurs prévus à l’article 1649 AH du CGI, une déclaration de ce dispositif doit être souscrite auprès de l’administration fiscale, sous forme dématérialisée, par l’intermédiaire ayant participé à sa mise en œuvre ou par le contribuable concerné.

Déclaration par l’intermédiaire

L’intermédiaire doit souscrire cette déclaration dans un délai de trente jours à compter de la première des dates suivantes :

  • le lendemain du jour de la mise à disposition pour mise en œuvre du dispositif transfrontière devant faire l’objet d’une déclaration ;
  • le lendemain du jour où le dispositif transfrontière devant faire l’objet d’une déclaration est prêt à être mis en œuvre ;
  • le jour de la réalisation de la première étape de la mise en œuvre du dispositif transfrontière ;

L’intermédiaire doit également communiquer tous les trois mois une mise à jour des informations relatives à des dispositifs conçus, commercialisés, prêts à être mis en œuvre ou mis à disposition aux fins de mise en œuvre sans avoir besoin d’être adaptés de façon importante. Les modalités de cette mise à jour seront précisées par décret.

Déclaration par le contribuable concerné

Le contribuable concerné à qui incombe l’obligation de déclaration doit souscrire celle-ci dans un délai de trente jours à compter des mêmes dates que celles imparties à l’intermédiaire.

Chaque contribuable concerné par un dispositif transfrontière devant faire l’objet d’une déclaration déclare chaque année l’utilisation qu’il en a faite au titre de l’année précédente selon les modalités fixées par un arrêté du ministre chargé du budget.

Les sanctions

Les manquements à une obligation de déclaration ou de notification entraînent l’application d’une amende ne pouvant excéder 10 000 euros.

Le montant de l’amende ne peut excéder 5 000 euros lorsqu’il s’agit de la première infraction de l’année civile en cours et des trois années précédentes.

Le montant de l’amende appliquée à un même intermédiaire ou à un même contribuable concerné ne peut excéder 100 000 euros par année civile (7).

Pierre-Yves Fagot
Lexing Droit de l’entreprise

(1) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°20
(2) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°30
(3) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°100
(4) CGI, article 1649 AH II A
(5) Cela peut inclure une obligation pour l’intermédiaire de rembourser partiellement ou entièrement les honoraires si l’avantage fiscal escompté découlant du dispositif n’a pas été complètement ou partiellement généré.
(6) BOI- CF-CPF-30-40-10-10 du 9 mars 2020 n°160
(7) CGI, art 1729 C ter




Promulgation d’une nouvelle loi sur le démarchage téléphonique

le démarchage téléphoniqueAprès de longs mois de mise au point, la nouvelle loi réglementant le démarchage téléphonique a été publiée le 25 juillet 2020.Qui n’a pas déjà reçu des appels téléphoniques lui vantant tel ou tel produit ou service, émanant d’un fournisseur généralement inconnu, appelant à des heures parfois indues, y compris le samedi matin, pour se voir proposer de souscrire aux services d’un opérateur de télécoms, d’acheter des bouteilles de vin, d’adhérer à une mutuelle, voire de réaliser des travaux à son domicile, le tout à des prix défiant évidemment toute concurrence ?

Qui n’a pas déjà reçu ces appels alors même que le numéro utilisé est inscrit dans la base de données Bloctel et qu’en conséquence il ou elle pensait avoir acheté la paix téléphonique ?

Il faut bien reconnaître que tous les efforts qui ont jusqu’à présent été faits par le législateur pour encadrer ces campagnes d’appels téléphoniques ont été relativement peu récompensés.

L’ouvrage a donc été mis une nouvelle fois sur le métier et, après de longs mois de mise au point, un nouveau texte a été adopté et publié le 25 juillet 2020 (1).

En substance, cette loi a pour ambition de sanctionner de manière plus sévère un certain nombre de comportements. Face aux fraudes qui ont été constatées, elle va même jusqu’à interdire purement et simplement toute opération de démarchage téléphonique pour les offres de travaux de rénovation énergétique des habitations, annoncées bien souvent comme étant réalisées pour 1 euro seulement grâce aux subventions publiques dont elles bénéficient alors, qu’en réalité, le consommateur se retrouve à devoir payer des sommes bien plus importantes lorsque la facture finale lui est présentée.

Par ailleurs, la loi a considérablement augmenté, en les multipliant par 25, le montant des sanctions qui peuvent être prononcées à l’encontre des professionnels peu scrupuleux, notamment ceux qui omettent de vérifier, avant toute campagne d’appels, que les numéros appelés ne sont pas inscrits dans la liste d’opposition Bloctel.

Ainsi, ces sanctions, administratives, pourront désormais atteindre 75 000 euros, pour les campagnes réalisées par des personnes physiques, et 375 000 euros pour celles mises en œuvre par des personnes morales.

Les périodes pendant lesquelles le démarchage téléphonique sera autorisé sont également réglementées et un décret devra fixer les jours et les tranches horaires pendant lesquelles de telles campagnes pourront avoir lieu.

Enfin le professionnel devra désormais, et dès le début de l’appel, indiquer à la personne qu’elle a la possibilité d’inscrire son numéro sur la liste d’opposition Bloctel.

Par voie de conséquence, le Code de la consommation est modifié par la loi du 24 juillet 2020, mais aussi le Code des postes et communications électroniques puisque les droits des opérateurs de communications électroniques sont corrélativement renforcés.

En effet, ces derniers vont disposer de droits de suspension des numéros utilisés par les professionnels qui ne se conformeraient pas à la loi et un mécanisme de signalement devrait être mis en place par voie d’arrêté.

L’article L.44 du CPCE est également complété de nouvelles dispositions relatives au contrôle de l’authentification de l’appelant.

Reste maintenant à espérer que ce texte atteindra son objectif, face à des pratiques qui sont souvent vécues comme étant très agressives car intrusives.

Frédéric Forster
Lexing Constructeurs informatiques et télécoms

(1) Loi n°2020-901 du 24 07 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux




Contrat MSP Managed Service Provider : fini les zones d’ombre

contrat MSPA l’occasion du webinar organisé par BeMSP pour le rendez-vous annuel French Summit, Eric Le Quellenec a précisé les enjeux du contrat de Managed Service Provider (MSP) (1).

Beaucoup d’Entreprises de Services du Numérique (ESN) doivent revoir leur modèle économique ; à la fois en raison des opportunités ouvertes par le Cloud computing mais aussi à cause de la Covid-19. Elle a eu pour effet d’accélérer la recours au télétravail et aux prestations de services informatique à distance.

Le cadre technique du contrat MSP

Défini comme une entreprise de services informatiques qui gère les systèmes informatiques de ses clients à distance, le modèle du contrat MSP se développe de manière croissante en France.

L’infogérance a pour finalité principale le maintien en condition opérationnel d’un système. A l’inverse, le MSP vise à aligner les services informatiques avec les buts et les enjeux de l’entreprise.

Le prestataire MSP met en effet en place des outils pour détecter les mises à jour à effectuer sur le parc client et assurer un service global et anticipatif. Le MSP permet au prestataire d’industrialiser ses services ou ses process (2).

Véritable partenaire de confiance du client, le prestataire MSP est proactif dans le management des parcs informatiques pour assurer un fonctionnement optimal. Il détecte ainsi les incidents et procède à leur résolution avant que ces derniers impactent le client.

Afin de limiter les coûts et améliorer son efficacité, le prestataire MSP utilise des solutions de type RMM (Remote Monitoring and Management) et PSA (Professional Service Automation). Un RMM permet en effet au MSP de gérer et dépanner à distance les postes et serveurs et ainsi gérer simultanément l’informatique de plusieurs clients. Le PSA quant à lui permet de consolider l’ensemble des fonctions métier dans un outil unique et d’assurer une fondation solide à la croissance de l’entreprise.

Le cadre économique du contrat MSP

Le MSP doit toutefois veiller à conserver une certaine spécialité et ne pas proposer l’intégralité des services susvisés (3).

Pour être efficace, le MSP doit a minima proposer les services suivants dans son catalogue :

  • monitoring de l’infrastructure et des postes clients ;
  • sauvegarde des données à distance et plans de reprise d’activité ;
  • support utilisateur ;
  • prise en charge des applications cloud ;
  • gestion de parcs.

L’organisation de visites préventives chez le client constitue un élément à part entière de la proactivité. Il en va de même du suivi du cycle de vie du matériel installé.

Le prestataire MSP doit ainsi proposer un périmètre de service défini. Il doit donc être attentif au périmètre inscrit au contrat.

En effet, la facturation du modèle MSP se fait de façon forfaitaire avec le plus souvent des échéances au mois ou au trimestre. Grâce à ce système d’abonnement, le fournisseur s’assure une fiabilité de trésorerie en ayant des revenus mensuels récurrents contrairement à la distribution et aux projets unitaires. Cela lui permet également de fidéliser la clientèle.

Le catalogue MSP vient donc enrichir l’offre des ESN.

La proportion de revenus récurrents dans le chiffre d’affaires est un ainsi un excellent indicateur du positionnement d’un MSP. On considère habituellement que le revenu récurrent doit représenter au moins 50% du chiffre d’affaires.

Le cadre légal du contrat MSP et responsabilité

Le MSP souffre de l’absence de loi encadrant le contrat. Le MSP prendra la forme d’un contrat de prestation informatique ou un contrat d’infogérance classique.

Il convient de procéder à la limitation de responsabilité du prestataire MSP car celui-ci a vocation à tout gérer pour le compte de son client. Eu égard à l’autonomie et à la proactivité du prestataire MSP, il est fortement recommandé au prestataire MSP de présenter des rapports d’activité réguliers et de se rendre chez le client.

Faute de clause de gouvernance et de reporting adapté, le client risque en effet de contester la facturation.

Toutefois, il peut arriver, comme cela est déjà le cas fréquemment actuellement, que le prestataire MSP gère de manière quasi-autonome les systèmes et/ou données qui lui sont confiées. Au sens du RGPD, la qualification de responsable du traitement lui sera cependant difficilement attribuable, la relation de sous-traitance doit ainsi être encadrée en application de l’article 28 du RGPD (4).

En application de cet article, certaines obligations doivent se retrouver dans le contrat de sous-traitance, à savoir principalement :

  • l’objet et la durée du traitement de données à caractère personnel ;
  • la nature et la finalité de ce traitement ;
  • les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement.

La rédaction du contrat MSP doit être rigoureuse dans la définition des services fournis. En effet, un contrat mal rédigé pourrait engager la responsabilité du prestataire MSP sur la qualité de sauvegarde des données et sur l’exposition à des cyber-risques alors même que le MSP n’est en charge que du logiciel qui active la maintenance et non pas de la mise en sécurisation de l’ensemble du système informatique.

Le périmètre d’intervention et le degré d’autonomie du MSP dans les fonctions qui lui sont confiées détermineront l’intensité des obligations à sa charge, ayant pour corollaire l’intensité du devoir de conseil et de mise en garde auprès de son propre client (5).

Ainsi, un contrat MSP équilibré permet de satisfaire les attentes fonctionnelles du client tout en assurant un niveau élevé de sécurité juridique au profit de chacune des parties.

Eric Le Quellenec
Marine Lecomte
Lexing Informatique Conseil

(1) Replay Webinar « contrats MSP : fini les zones d’ombres », Eric Le Quellenec pour BeMSP French Summit, juillet 2020
(2) Entretien Thomas Bresse BeMSP, L’essentiel de la Distribution IT, hors-série n°20, éd. 2020, p. 22.
(3) Entretien Thomas Bresse précité, p. 23.
(4) Contrat cloud : les impacts du RGPD sur la sous-traitance, Eric Le Quellenec, Post du 30-01-2017.
(5) CA Lyon, 1-02-2018, n°16/05963 ; CA Paris, 18-10-2017, n°04/18739.




Collectivités : quelles mesures de sécurité pour son téléservice ?

téléservice En mars 2020, l’ANSSI a publié un guide intitulé « sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Au sein de ce guide, une fiche de recommandation est consacrée au respect des règles de sécurité lors de l’ouverture d’un téléservice. L’objectif de cette fiche est d’expliciter les obligations mises à la charge des collectivités territoriales, et notamment les mairies, par le RGS dans le cadre de l’ouverture d’un téléservice. La méthodologie mise en place par le RGS s’appuie sur deux piliers : l’approche par les risques et l’amélioration continue. Elle reprend la démarche « plan/do/check/act » proposée notamment par bon nombre de normes ISO.

L’analyse de risques de sécurité

Dès le départ du projet de mise en place d’un téléservice, la collectivité territoriale concernée doit délimiter les contours de ce dernier et procéder à une analyse des risques de sécurité. Elle doit à cette occasion identifier l’écosystème dans lequel évolue le système d’information, le contexte dans lequel il s’inscrit ainsi que les menaces pesant sur la collectivité territoriale. Sur la base de ce constat, elle doit ensuite analyser la vraisemblance, les conséquences ainsi que la criticité de la survenance d’éventuels incidents de sécurité.

A partir de cette analyse, la collectivité territoriale propose un plan d’action ayant pour objet la mise en œuvre de mesures de sécurité (organisationnelles, techniques et/ou contractuelles).

Les objectifs de sécurité

A l’issue de l’analyse de risque, la collectivité territoriale définit des objectifs de sécurité qui doivent couvrir, au minimum les principaux critères de sécurité que sont la disponibilité, l’intégrité et la confidentialité.

La collectivité pourra par exemple définir une politique de sécurité du système d’information, mettre en œuvre un système de journalisation des événements et/ou mettre en place un procédé de signature électronique.

La mise en œuvre des mesures de sécurité

À l’issue de la réalisation de l’analyse de risque, la collectivité territoriale doit mettre en œuvre les mesures de sécurité adéquates pour atteindre les objectifs de sécurité définis. Il existe 4 catégories de mesures à mettre en place :

  • la gouvernance de la sécurité (mise en place d’une politique de sécurité du système d’information, mise en place de responsabilités ou de processus dans le cadre de la gestion de la sécurité…) ;
  • la protection des systèmes d’information (mise en place de mesures de sécurité préventives) ;
  • la défense des systèmes d’information (mise en place d’un processus de gestion des incidents de sécurité par exemple) ;
  • la résilience des systèmes d’information (mise en place d’un plan de continuité d’activité par exemple).

Un guide d’hygiène informatique a été publié par l’ANSSI, afin d’aider notamment les collectivités territoriales à s’assurer qu’aucune thématique liée à la sécurité n’a été omise lors de la mise en œuvre du système d’information.

L’homologation de sécurité du système d’information

Préalablement à la mise en place de tout téléservice, le RGS impose aux collectivités territoriales d’homologuer le téléservice. La décision d’homologation atteste, au nom de la collectivité territoriale, le niveau de protection du téléservice et la maîtrise des risques en termes de sécurité.

Cette décision rendue sur la base de l’analyse d’un dossier d’homologation, doit être accessible aux usagers du téléservice. La décision d’homologation est prononcée pour 5 ans maximum et doit faire l’objet d’une révision à l’expiration de cette durée. Afin d’aider les collectivités territoriales et notamment les mairies dans leur démarche d’homologation, l’ANSSI a publié un guide d’homologation en 9 étapes.

Le suivi opérationnel de la sécurité du système d’information

Enfin, la conformité au RGS impose à la collectivité de mettre en œuvre des dispositifs de surveillance et de détection ; et ce, afin de pouvoir réagir au plus tôt aux incidents de sécurité. Ces dispositifs devront s’accompagner d’audits du système d’information réalisés à intervalles réguliers ; les rapports de ces audits étant notamment des éléments composant le dossier d’homologation.

Sur la base des rapports d’audit et des cas de non-conformité relevés, la collectivité devra en identifier les causes. Elle devra aussi mettre en œuvre un plan d’actions préventives et correctives.

Téléservice et sécurité mais aussi… RGPD

Ces impératifs d’analyse de risque et de sécurité sont en parfaite adéquation avec les exigences de la réglementation applicable. Cette dernière impose de mettre en place des mesures de sécurité adaptées aux risques présentés par les traitements.

Par le biais de leurs téléservices, les collectivités territoriales collectent de nombreuses données personnelles concernant leurs usagers. Un certain nombre d’interconnexions avec d’autres applications ou services peuvent présenter des risques. Un encadrement juridique et technique est alors nécessaire.

Une analyse d’impact (nouvelle obligation issue du RGPD) peut parfois s’avérer nécessaire. Ce type d’exercice poursuit une démarche similaire de gestion des risques (pour les droits et libertés des personnes concernées).

Enfin, il convient de respecter l’ensemble des exigences de la réglementation Informatique et libertés, à savoir, les principes de :

  • finalité,
  • transparence,
  • loyauté,
  • licéité,
  • minimisation.

… sans oublier l’information des personnes concernées et les durées de conservation des données.

Anne Renard
Louis Montecot Grall
Lexing département conformité et certification




Comment travailler dans un monde post-coronavirus ? Le réseau Lexing® vous informe

post-coronavirusComment travailler dans un monde post-coronavirus ? est le thème du dernier numéro de « Lexing Insights » réalisé par les membres du réseau Lexing® (1).

La pandémie et les mesures de confinement mondial ont rendu obligatoire le recours au télétravail pendant plusieurs semaines. Par conséquent, le monde du travail post-coronavirus s’est vu contraint d’intégrer le télétravail comme nouveau mode d’organisation.

Tenue des assemblées et réunions obligatoires par vidéoconférence, réalisation de signatures électroniques, dématérialisation accélérée des infrastructures, etc. Le dogme du salariat n’apparaît plus comme une solution mais comme devant se combiner avec d’autres modes d’organisation du travail.

  • Cependant, est-il souhaitable de généraliser et de pérenniser certaines des mesures prises pendant le confinement ?
  • Quels sont les risques associés et comment s’en prémunir ?
  • Quelles mesures concrètes ont été prises au niveau mondial pour permettre aux entreprises de continuer à travailler ?
  • Plus généralement, quels enseignements tirer de cette période pour construire un avenir durable dans le monde d’après ?

Pour Emmanuel Walle :

la dimension post Covid-19 implique de valoriser les travailleurs numériques, ceux-là même expulsés du système d’avant qui décident de devenir free lance ou autoentrepreneur, en se loguant sur des plateformes d’intermédiation pour louer leurs services et ainsi tenter d’échapper au marécage économique programmé ».

Le monde post-coronavirus

L’occasion selon Emmanuel Walle :

pour les acteurs que nous sommes de s’interroger et d’accélérer le traitement juridique des mutations des formes d’emploi et de travail ».

L’interrogation est centrale en France, tant les dispositions du Code du travail et son exposition prétorienne, demeurent ignorantes du reste du monde, des nouvelles formes d’emploi où les moins de 20 ans postent leurs CV sur des plateformes de grandes écoles déterritorialisées…

A l’heure du déconfinement (et avant un éventuel rebond de l’épidémie), les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

Isabelle Pottier
Lexing Département Etudes et publications

(1) Lettre Juristendances Internationales Informatique et Télécoms n°25, Juillet-août 2020.




Tour d’horizon du marché des noms de domaine en 2019

marché des noms de domaineDans son étude annuelle relative au marché des noms de domaine dans le monde (1), parue le 7 juillet 2020, l’Afnic (Association française pour le nommage internet en coopération) fournit aux opérateurs de précieuses informations sur les tendances actuelles en la matière.

Tendances générales

Sans surprise, le marché a poursuivi la hausse initiée en 2018, avec un total d’environ 346 millions de noms de domaine en décembre 2019, en progression de 4,7 % par rapport à 2018.

La majorité des noms de domaine sont enregistrés sous les extensions historiques, comme le « .com », qui reste l’extension la plus réservée avec 149 millions de noms de domaine enregistrés sous cette extension. Il convient toutefois de noter que la part de marché du « .com » ne progresse pas et reste à 43,1 % du marché des noms de domaine.

En deuxième position arrivent les extensions géographiques (132 millions de noms de domaine), comme le « .fr » ou le « .be », puis en troisième position, se placent les nTLD ou new (Top Level Domain) lancés en 2012 par l’ICANN et qui se subdivisent en trois catégories : les « .générique » tel que .poker., les « .marque » tel que .sncf et les « .géographique » tel que .paris.

En Amérique du Nord, le .com demeure majoritaire, tandis que les extensions géographiques sont largement majoritaires dans les autres régions. Il demeure donc difficile pour les nouvelles extensions (à l’exception notable de certains « .marque ») de se distinguer et de modifier les habitudes d’enregistrement de noms de domaine.

Focus particulier sur les nTLD

L’étude met en perspective une tendance à la stabilisation du nombre d’enregistrements de noms de domaine sous les nouvelles extensions (nTLDs) depuis 2017, mais avec des différences selon les catégories de nTLDs.

En effet, au sein des nTLDs, le nombre de noms de domaine enregistrés sous les extensions «.marque» a fait un bond remarquable en 2019, dû en majeure partie aux « .marque » dits ouverts et parmi eux en raison des 4,5 millions de noms de domaine sous le nTLD « .ICU ».

L’étude de l’Afnic distingue en effet les « .marque » dits ouverts pour lesquels le titulaire du nTLD ouvre l’enregistrement de noms de domaine à des tiers, selon les modalités qu’il définit, des « .marques » classiques ou fermés qui sont réservés au titulaire du nTLD. Cette distinction permet une analyse plus fine de ces nTLDs.

Autre élément remarquable : le taux très élevé de maintenance des noms de domaine en « .marque » (88 % pour les .marques classique).

Conclusion

Dans la mesure où l’identité numérique est aujourd’hui au cœur du questionnement des entreprises, les extensions en « .marque » sont un élément de la construction de la stratégie digitale des entreprises.

A cet égard, et pour anticiper qu’un 2e round de nTLD se profile pour 2022/2023, les entreprises pourront tenir compte de ce que, selon l’Afnic et au regard des coûts actuels d’un nTLD, « le seuil d’équilibre pour un TLD commercialisant ses noms de domaine autour de 20 $ se situe à 5 000 noms ».

Anne-Sophie Cantreau
Camille Goguet
Lexing Propriété industrielle conseil

(1) Le marché des noms de domaine dans le monde en 2019, Les études de l’Afnic, Juin 2020.




Le Privacy Shield invalidé par la Cour de justice de l’Union européenne

Privacy Shield invalidé

L’accord sur le transfert de données personnelles entre l’Union européenne et les Etats-Unis adopté en juillet 2016, vient d’être annulé par la CJUE (1).

Pour rappel, cet accord ou plutôt cette « décision d’adéquation » visait à reconnaître, aux mécanismes EU–US Privacy Shield bouclier de protection des données »), le niveau de protection essentiellement équivalent aux exigences européennes (2) ; l’idée étant de :

  • permettre aux entreprises européennes de bénéficier d’un fondement pour justifier les transferts de données vers les États-Unis,
  • sans passer par les mécanismes de clauses contractuelles types ou autres règles contraignantes d’entreprise posées par l’Union européenne à travers le RGPD pour autoriser de tels transferts.

Pour bénéficier de la décision d’adéquation, les entreprises américaines devaient donc « s’auto-certifier ». La démarche consistait à s’engager auprès du département du commerce des États-Unis, à respecter :

  • un ensemble de règles et
  • de garanties en matière de protection des données personnelles.

Le Privacy Shield vs RGPD

Le bouclier de protection des données faisait partie des différents outils permettant de transférer des données personnelles vers les États-Unis ; aux côtés des autres solutions telles que les clauses contractuelles types ou les règles d’entreprise contraignantes. 

Le Privacy Shield avait été attaqué dès son adoption, par le militant autrichien de la vie privée Max Schrems. Ce dernier avait déjà obtenu l‘annulation du « Safe Harbor » américain en 2015 (3).

La CJUE vient d’invalider l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, « au regard des exigences découlant du RGPD, lu à la lumière des dispositions de la Charte garantissant le respect de la vie privée et familiale, la protection des données à caractère personnel et le droit à une protection juridictionnelle effective » (4).

Les « clauses contractuelles » demeurent légales en matière de transfert de données

En revanche, la Cour valide une autre décision de la Commission européenne, sur la légalité des « clauses contractuelles » en matière de transfert de données (5).

Selon la CJUE, cette décision reste valide par le seul fait que « les clauses types de protection des données qu’elle prévoit ne lient pas les autorités de ces pays tiers », en raison de leur caractère contractuel.

En revanche, précise-t-elle, cette validité dépend « du point de savoir si, conformément à l’exigence résultant de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, sous c), du RGPD, (…), une telle décision comporte des mécanismes effectifs permettant, en pratique, d’assurer que le niveau de protection requis par le droit de l’Union soit respecté et que les transferts de données à caractère personnel, fondés sur de telles clauses, soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer ». 

La Cour constate que la décision 2010/87 met en place de tels mécanismes.

Isabelle Pottier
Lexing Département Etudes et publications

(1) CJUE affaire C‑311/18 du 16-07-2020, dit « Schrems II ».
(2) Décision d’exécution (UE) 2016/1250, du 12-07-2016.
(3) CJUE affaire C-362/14 du 06-10-2015, Schrems.
(4) Communiqué de presse CJUE n° 91/20 du 16-07-2020.
(5) Décision CE 2010/87 du 5 février 2010.




Contract Manager face à la crise sanitaire : premiers enseignements

Eric Le Quellenec

Eric Le Quellenec, a participé au colloque « Contract Manager face à la crise sanitaire : premiers enseignements » organisé par le Centre de Formation Permanente – Université Paris 2 et l’Aducma, Association du DU de Contract Management d’Assas, intervenant sur la thématique de la protection des données personnelles.

Covid-19, données personnelles et vie privée

La crise sanitaire de la Covid-19 engendre de nombreux retards ou reports dans l’exécution des projets de toute nature. Le contract manager, en lien avec le project manager, doit savoir si l’indisponibilité de collaborateurs ou d’équipes clients côté utilisateur nécessite justement de :

  • revoir le planning projet,
  • mettre en place un complément de budget ou peut-être encore
  • réorganiser le phasage de lots.

Par conséquent, ces mesures nécessitent d’avoir une vue claire sur qui est absent, indisponible et pendant combien de temps. Cela supposerait qu’il puisse y avoir nécessité au niveau des personnes clés du projet d’individualiser la gestion des équipes.

Il pourrait être tentant d’avoir une vue claire sur les arrêts maladie voire peut-être l’état de santé des personnes clés du projet en prenant leur température. Cela n’est pas possible.

Ainsi, dans des recommandations très claires, le Cnil a indiqué que malgré la Covid-19, il n’y a pas de régime d’exception sur la collecte des données de santé. Il n’est pas possible d’avoir un fichier de santé qui répertorie de telles données a fortiori sur des relevés de température.

Le contract manager doit bien faire avec les outils comme le dossier de risques, le dossier de problèmes mais aussi le suivi des actions. Par exemple, il convient de mettre en œuvre le principe de la minimisation de la collecte des données personnelles, s’en tenir à une approche chiffrée, objective qui permette de mesurer impact sur l’exécution contrat et prendre les mesures adaptées au niveau de la gestion du projet au travers d’un nouveau phasage des lots ou envisager de régulariser un avenant, lequel supposera la signature des parties.

L’action du contract manager ne doit pas se faire en violation du RGPD. La prise de mesures adaptées nécessite d’appliquer la démarche et d’utiliser les outils à sa disposition.

L’usage de la vidéoconférence par le contract manager en négociation

La vie des affaires ne s’est pas arrêtée pendant la crise de la Covid-19. Simplement, il a fallu s’adapter et de réunions que l’on privilégie en présentiel lorsque l’on parle de négociation de contrat, il a fallu se contenter de visioconférence voire de téléconférence. Les outils sont nombreux, le Contract Manager aura tendance à utiliser les outils qui sont ceux de son entreprise.

Pour des raisons de compatibilité, il a parfois été nécessaire d’utiliser des outils grands publics comme Facetime ou l’outil vidéo proposé dans Messenger. Pour des raisons de confidentialité, il est nécessaire, dans certaines négociations sensibles, de :

  • régulariser certains accords de confidentialité et
  • fixer des règles comme l’interdiction de la captation du son ou des images afin de préserver la loyauté des échanges.

Il a fallu une meilleure coordination ou discipline dans le déroulement de ces réunions ou séances de travail, tout particulièrement en phase de négociation :

  • présentation obligatoire des parties (tour de table) et
  • mise à disposition d’un ordre du jour écrit
  • suivi d’un compte-rendu avec plan d’action associé.

Sur la phase de négociation contractuelle, la plus sensible, en séance, il est assez aisé d’anticiper les réactions des uns et des autres et de s’accorder un peu de souplesse dans le déroulement des échanges et, peut-être, organiser des pauses.

En visioconférence, sur une session liée à un créneau horaire donné et fixé à l’avance, cela est plus compliqué. Il faut, pour chaque contract manager réunissant autour de lui des parties, s’assurer que chacune puisse, en temps utile :

  • s’exprimer et
  • bénéficier le moment venu d’une pause autant que nécessaire, sans perdre la session de visioconférence.

Il faut également :

  • prévoir que le micro soit en mode « muet » et
  • partager autant que de besoin son écran lorsque des clauses sensibles doivent être discutées en séance.

Une réorganisation plutôt qu’une révolution

Ces règles doivent s’appliquer lorsque l’on est sur des réunions de gestions de projet auxquelles le contract manager est associé. A cet effet, il doit également s’assurer avec les parties prenantes, que :

  • chacun ait la possibilité de s’exprimer et
  • les idées partagées au cours de cette réunion le soient d’une manière transparente, accessible et constructive.

La Covid-19 n’a pas révolutionné la manière de travailler à distance. Elle a plutôt contraint à se réorganiser et être un peu plus sensible à ces règles de travail collaboratif afin que la cible et les résultats obtenus soient atteints et partagés de tous.

Eric Le Quellenec,
Avocat au barreau de Paris
Lexing Informatique Conseil




Plateforme de partage et directive droit d’auteur

directive droit d’auteur

Une mission consacrée aux outils de reconnaissance des contenus et des œuvres sur les plateformes de partage vient d’être lancée. Elle est conjointe au Conseil supérieur de la propriété littéraire et artistique (CSPLA), à la Hadopi et au CNC.

Elle s’inscrit pleinement dans le cadre de article 17 de la directive droit d’auteur de 2019 (1) (ancien art. 13). Celui-ci prévoit la responsabilité des « fournisseurs de services de partages de contenus en ligne » en cas de diffusion d’un contenu sans autorisation de l’ayant-droit.

C’est donc sur la base d’un premier rapport conjoint des trois institutions (2), qu’un certain nombre de technologies et d’outils de reconnaissance existants ont pu être évalués.

Quels outils de reconnaissance des contenus sur les plateformes de partage ?

L’empreinte numérique (fingerprinting) est sans conteste, la solution « la plus répandue, la plus développée, la plus efficace ». L’examen de la robustesse de plusieurs algorithmes de reconnaissance permet de conclure à un niveau d’excellence ; de sorte que l’empreinte numérique est une « référence ».

Pour autant, d’autres techniques ne doivent pas être occultées, comme le souligne le rapport.

Ainsi, le hachage (hashing), le recours aux métadonnées, le tatouage numérique (watermarking) sont autant de solutions alternatives qui à défaut de rivaliser l’empreinte numérique, pourront la compléter.

Ces outils permettront aux plateformes de mettre en œuvre « leurs meilleurs efforts » pour le blocage et retrait des contenus illicites. qui conditionnent l’absence d’engagement de leur responsabilité.

Enfin l’évaluation de ces outils et les recommandations formulées dans le rapport seront indispensables pour la transition qu’appelle la Directive.

L’apport de la directive droit d’auteur

La directive droit d’auteur et droits voisins permet aux titulaires de droits et aux éditeurs de presse d’obtenir de meilleurs accords de rémunération pour l’utilisation de leurs œuvres et contenus présents sur les plateformes internet.

Pour rappel, cette directive avait fait l’objet de nombreuses controverses opposant :

  • d’un côté les artistes et les éditeurs de presse et
  • de l’autre les GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Les uns se battant pour une meilleure protection de leurs œuvres et une juste rémunération, conséquence de la diffusion de leurs créations, les autres prônant une diffusion libre sur internet et pour qui la directive serait de nature à restreindre l’accès aux savoirs.

L’adoption de cette directive le 15 avril 2019 est venue rééquilibrer le marché numérique tout en protégeant les auteurs et leurs ayants droits dont les créations sont bien souvent reproduites sans autorisation (3).

Deux points majeurs de la directive peuvent être mise en exergue :

  • Premièrement : le texte entraîne l’instauration d’un droit voisin pour les éditeurs et agences de presse leur permettant d’obtenir une contrepartie financière en cas d’utilisation de leurs contenus en ligne par une plateforme ;
  • Deuxièmement : la directive introduit un régime de responsabilité pour les plateformes de diffusion en ligne concernant la rémunération des créateurs. Par ce biais, les GAFAM sont incités à conclure des accords de licence avec les artistes et éditeurs de presse. A défaut d’accords, les plateformes d’hébergement commercial devront mettre en place un système de filtrage des publications mises en ligne et s’assurer de facto, que leurs publications ne contiennent pas des œuvres protégées.

Les suites : transposition partielle de la directive

La France a fait figure de modèle en étant le premier état membre à transposer le nouveau « droit voisin » des éditeurs et agences de presse consacrée par la directive (4).

Ainsi, depuis le 25 octobre 2019, l’ensemble des plateformes, réseaux sociaux et autres sites agrégateurs d’informations doivent obtenir une autorisation de l’éditeur ou de l’agence de presse. Elle est indispensable à  toute reproduction ou communication au public, totale ou partielle, sous une forme numérique, de publications de presse. En contrepartie, les éditeurs et agences de presse peuvent solliciter une rémunération.

Reste maintenant à la France, le devoir de terminer la transposition de la directive. Le projet de loi relatif à la communication audiovisuelle (5) devrait comprendre une proposition de transposition de l’article 17 sur la reconnaissance et le système de filtrage ainsi des articles 18 à 22 sur la juste rémunération des artistes et auteurs.

En bref, les Etats membres ont jusqu’au 7 juin 2021, au plus tard, pour transposer la directive droit d’auteur dans leur droit interne.

Marie Soulez
Lexing Propriété intellectuelle contentieux

(1) Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE.
(2) Rapport CSPLA-Hadopi-CNC : Les outils de reconnaissance faciale, 2020.
(3) Rapport sur la proposition du Parlement européen et du conseil de directive sur le droit d’auteur dans le marché unique numérique du 29 juin 2018.
(4) Loi n°2019-775 du 24 juillet 2019 tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse.
(5) Projet de loi n°2488 relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique.




Covid-19 : retour sur l’interdiction par le Conseil d’Etat de la surveillance par drones

surveillance par dronesAlain Bensoussan revient, dans Planète Robots, sur l’interdiction par le Conseil d’Etat de la surveillance par drones du respect des règles sanitaires.

A l’heure du déconfinement, un constat : les technologies de surveillance ont été en première ligne pour lutter contre la pandémie. La surveillance par drones en fait a partie, non sans soulever des questions relatives à l’atteinte à certaines libertés fondamentales.

Celles-ci ont conduit le Conseil d’Etat, statuant en référé, à en suspendre l’usage à Paris, dans l’attente que le gouvernement revoie sa copie. En cause : le risque d’identification des personnes surveillées

La surveillance par drones

L’État doit « cesser, sans délai, de procéder aux mesures de surveillance par drone, du respect, à Paris, des règles de sécurité sanitaire applicables à la période de déconfinement ». C’est ce que le Conseil d’État a en effet, enjoint à l’Etat par une ordonnance du 18 mai 2020 (1).

Suite à la déclaration de l’état d’urgence, des moyens aériens de la préfecture de police avaient été engagés afin de procéder à une surveillance du respect des mesures de confinement mises en place à compter du 17 mars 2020.

Plusieurs drones de la préfecture de police avaient ainsi été utilisés pour effectuer cette mission de police administrative.

Les risques d’identification des personnes

Bien que les drones n’aient pas été utilisés pour identifier des personnes, mais uniquement pour détecter des rassemblements du public à Paris contraires aux mesures sanitaires en vigueur et pouvoir ainsi procéder à la dispersion du rassemblement ou l’évacuation des lieux, le Conseil d’Etat a estimé qu’une telle utilisation relevait d’un traitement de données à caractère personnel et devait à ce titre, respecter le cadre de la loi informatiques et libertés du 6 janvier 1978.

À l’appui de sa décision, deux constats :

  • des zooms optiques équipent les drones utilisés ;
  • les drones peuvent voler en dessous de 80 mètres, ce qui permet de collecter des données identifiantes.

Il a par conséquent ordonné à l’État de cesser sans délai la surveillance par drones, tant qu’un arrêté ou décret ministériel ne serait pas pris après avis de la Cnil, ou tant que les drones ne seraient pas dotés d’un dispositif de nature à rendre impossible l’identification des personnes filmées.

La protection des données personnelles

Les mêmes contraintes réglementaires que les systèmes de vidéosurveillance et de vidéoprotection (2) s’appliquent à l’usage des drones ; dès lors que des caméras peuvent capter, enregistrer ou transmettre des paroles ou des images de personnes sans leur consentement.

A l’heure du déconfinement, pour Alain Bensoussan, il est une évidence qu’illustre cette affaire :

Il convient plus que jamais de libérer le potentiel des technologies d’identification en prenant en compte l’essence du droit à la protection des données. A condition de mettre en place quelques garde-fous, et de garder présent à l’esprit que la protection de la vie privée s’arrête lorsque l’on est privé de vie » (3).

Isabelle Pottier
Lexing Département Etudes et publications

Alain Bensoussan pour Planète Robots, « Covid-19 : La justice suspend l’usage des drones de surveillance », n°63, Juin-Juillet-Août 2020.

(1) Conseil d’Etat, Ord. Référé du 18 mai 2020, nos 440442, 440445.
(2) A. et J. BENSOUSSAN, I.A. et droits des robots, Larcier 2e éd. 2019.
(3) A. Bensoussan, « Application StopCovid: libérons le potentiel des technologies d’identification », L’Opinion.fr du 26 avril 2020.




Parution de la lettre JTTIL 209 – Juillet-août 2020

 lettre JTTIL 209 Voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre JurisTendances Télécoms Informatique & Libertés (JTTIL 209) :

  • Entrée en application du règlement attendu « Platform to Business« 
  • Une nouvelle directive européenne sur les faux avis clients
  • Le Nouveau protocole de déconfinement pour les entreprises
  • Rappels sur le dénigrement et la juridiction compétente
  • Les bouleversements de la santé numérique
  • Les lignes directrices du cloud européen Gaia-X dévoilées
  • Caméras intelligentes et caméras thermiques face au COVID-19
  • Vol des données de 9 millions de clients d’Easyjet
  • La mise en œuvre de StopCovid
  • Poursuivre le dialogue social durant l’épidémie
  • La Cnil publie son rapport annuel pour 2019
  • Abrogation partielle de la riposte graduée d’Hadopi
  • etc.

Par ailleurs, dans le dernier numéro de « Lexing Insights », les membres du réseau Lexing® dressent un tableau de la situation post-coronavirus en Afrique du Sud, Australie, Belgique, France, Grèce, Maroc et Sénégal.

 De même, retrouvez les textes et jurisprudence clés sélectionnés dans la JTTIL 209

  • La fin de l’état d’urgence sanitaire au 11 juillet ;  Free refuse de supporter le coût du blocage des sites pirates  ; Rapport Capgemini sur le rythme d’adoption de l’IA en entreprise ; Propositions de loi ; Rapport CNNum sur le travail à l’ère des plateformes ; Nouvelles modalités de chômage partiel ; Annulation partielle des lignes directrices de la Cnil relatives aux cookies, etc.

Ainsi que la vie du cabinet :

Enfin, signalons la parution de :

JurisTendances Télécoms Informatique & Libertés (JTTIL 209), Juillet-août 2020.

  • Les lettres JurisTendances Télécoms Informatique & Libertés sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux, notre chaîne YouTube et notre site internet.



Entrée en application du règlement attendu Platform to Business

Platform to Business

Le règlement Platform to Business (1) publié au journal officiel de l’Union européenne le 21 juillet 2019 entre en application le 12 juillet 2020.

Il vise à instaurer un environnement économique équitable et prévisible pour les entreprises et commerçants utilisant les plateformes en ligne. Il n’interviendra que dans le secteur B2B, et concernera environ 7 000 plateformes en ligne ou places de marché. Certaines règles relatives à la transparence des classements s’appliqueront également aux moteurs de recherche.

Voici un petit rappel des principaux objectifs poursuivis par ce règlement.

Le règlement Platform to Business interdit certaines pratiques déloyales

A compter de juillet 2020, les plateformes en ligne ne pourront plus suspendre ou fermer des comptes de vendeurs sans motiver de façon claire leur décision et/ou sans offrir de possibilité de recours effectif. En cas de suspension ou de clôture du compte intervenue par erreur, la plateforme devra rétablir le compte du vendeur.

Le règlement Platform to Business demande également aux plateformes en ligne de rendre plus accessibles, plus claires et plus compréhensibles leurs conditions générales. Toute modification de celles-ci devra être notifiée au moins 15 jours à l’avance aux entreprises concernées. Si ces modifications nécessitent des adaptations complexes, un délai plus long sera alors envisagé.

L’amélioration de la transparence des pratiques commerciales

Le règlement Platform to Business impose aux places de marché et moteurs de recherche d’indiquer les principaux paramètres utilisés pour le référencement des biens et services, afin de permettre aux vendeurs de développer une position compétitive et pertinente au regard des attentes des consommateurs.

En outre, les Platform to Business (« P2B »), agissant en qualité de vendeurs, devront communiquer tous les avantages accordés à leurs propres produits.

Enfin, les plateformes en ligne devront indiquer les données qu’elles collectent ainsi que l’utilisation faite, notamment en cas de communication à des partenaires commerciaux.

L’instauration de nouvelles possibilités de règlement des litiges et des plaintes

Le règlement Platform to Business met en place un système interne de traitement des réclamations, sauf pour les plateformes en ligne de petite taille.

Des médiateurs spécialisés interviendront afin de réduire le coût des litiges et d’accélérer leur règlement.

En outre, les Etats membres ont la possibilité de désigner des autorités publiques nationales dotées de pouvoirs répressifs.

Enfin, les associations professionnelles peuvent exercer une action de groupe afin de faire cesser les manquements constatés.

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Règlement 2019/1150 du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne




Une nouvelle directive européenne sur les faux avis clients

faux avis clientsSi la France fut un élément moteur en matière de lutte contre les faux avis clients, la voici désormais suivie par l’Union européenne.

La directive européenne  pour le renforcement de la protection des consommateurs du 27 novembre 2019 (1) a ainsi pour vocation de renforcer la protection des consommateurs européens en assurant davantage de transparence dans les transactions en ligne.

Dans cette optique, cette nouvelle directive vient compléter le dispositif relatif aux faux avis clients. Ses rédacteurs sont partis du postulat selon lequel les consommateurs se basent de plus en plus sur les avis et recommandations publiés par d’autres clients avant d’arrêter leur choix (2). Il apparaît donc primordial que les professionnels garantissent l’authenticité et la fiabilité de ces avis.

Le rôle précurseur de la France en matière de norme relative à la lutte contre les faux avis clients

La France fut l’un des premiers Etats européens à mettre en place un dispositif de lutte contre le phénomène. En effet, dès juillet 2013, elle a instauré la norme AFNOR devenue « NF ISO 20488 » en septembre 2018.

Cette norme permet aux professionnels d’exposer sur leur site marchand leurs bonnes pratiques en matière de publications d’avis clients. Elle impose à ce titre des exigences en termes de collecte et de modération de ces avis. Il s’agit d’interdire aux professionnels d’acheter des avis, ou de s’engager à publier tous les avis, y compris ceux négatifs.

Les dispositions du code de la consommation

Le code de la consommation contient un certain nombre de dispositions visant à interdire les pratiques commerciales trompeuses ou déloyales. A ce titre, la loi pour une République numérique du 7 octobre 2016 a introduit des obligations générales d’informations pré contractuelles.

Cette loi a notamment inséré dans le code de la consommation un article L.111-7-2. Il impose aux personnes dont l’activité consiste, à titre principal ou accessoire, à collecter/modérer/diffuser des avis en ligne, de délivrer aux utilisateurs une information loyale, claire et transparente sur les modalités de publication et de traitement desdits avis. Ces personnes doivent également préciser si les avis font ou non l’objet d’un contrôle. Leurs sites marchands doivent en outre permettre un signalement par les consommateurs de tout avis dont l’authenticité leur paraît douteuse. Le non-respect de ces obligations est sanctionné par une peine d’amende, voire par le retrait de l’avis litigieux et le paiement de dommages-intérêts.

Les apports de la nouvelle directive européenne sur le renforcement de la protection des consommateurs face aux faux avis client

Les rédacteurs de la directive ont bien perçu la dimension européenne du problème lié aux faux avis clients (3). Dès lors, principe de subsidiarité oblige (4), l’Union européenne paraît la mieux placée pour se saisir de la question.  L’Europe doit tendre vers une meilleure application ainsi qu’une modernisation du droit en matière de protection des consommateurs.

Eu égard au rôle cardinal des avis clients dans la prise de décision des consommateurs, la directive imposent aux professionnels :

  • d’indiquer l’existence ou non de processus permettant de garantir l’authenticité des avis publics ;
  • si ces processus existent, de préciser la manière dont les informations sont contrôlées (5) ;
  • de fournir des informations claires sur la manière dont les avis sont traités ;

En outre, la directive érige en « pratique commerciale déloyale » le fait de tromper les consommateurs en indiquant que les avis ont été soumis par des consommateurs ayant effectivement utilisé le produit, alors qu’aucune mesure raisonnable et proportionnée ne permet de le démontrer (6).

Enfin, elle interdit aux professionnels de publier de faux avis clients, qu’ils proviennent des vendeurs eux-mêmes ou de tiers incités par eux. En outre, la directive prohibe toute manipulation des avis clients ; c’est le cas lorsque les avis négatifs sont occultés (7).

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Directive (UE) 2019/2161 du 27 novembre 2019 (…) en ce qui concerne une meilleure application et une modernisation des règles de l’Union en matière de protection des consommateurs, modifiant la Directive 2005/29/CE du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur («directive sur les pratiques commerciales déloyales») .
(2) Considérant n°47 de la directive (UE) 2019/2161.
(3) Considérant n°60 de la directive (UE) 2019/2161.
(4) Article 5 TUE
(5) Article 3 de la directive portant modification de l’article 7 de la directive 2005/29/CE – ajout au c) un paragraphe 6
(6) Article 3 de la directive portant modification de l’annexe 1 de la directive 2005/29/CE – art. 26 ter
(7) Idem, art. 26 quater




Nouveau protocole de déconfinement pour les entreprises

protocole de déconfinement Le Ministère du Travail vient de publier un nouveau protocole de déconfinement en entreprise, se substituant à celui qui avait été publié le 3 mai 2020.

Assouplissement des règles précédemment édictées

Le nouveau protocole de déconfinement à destination des entreprises publié le 24 juin 2020 vient se substituer au protocole du 3 mai. Il remplace également les 90 guides métiers élaborés par le Ministère du Travail en partenariat avec les autorités sanitaires, les branches professionnelles et les partenaires sociaux. Ces textes n’ont plus de valeur normative. Ils seront prochainement remplacés par une FAQ répondant aux questions concrètes des entreprises.

Un protocole de déconfinement prenant en compte l’évolution de la situation sanitaire

Le protocole de déconfinement du 24 juin 2020 vient assouplir les règles et recommandations édictées par le Ministère du Travail à destination des entreprises. Il vise à faciliter la reprise ou la poursuite de l’activité dans le contexte du déconfinement. Enfin, il prendre en compte les évolutions de la situation sanitaires observées durant les dernières semaines.

Cet assouplissement ne signifie pas que les risques liés à l’épidémie de Covid-19 ont disparus. Il appartient en effet à chacun de rester vigilant. Néanmoins, la situation sanitaire s’améliore significativement pour le moment. Il appartenait au Ministère du travail de donner un cadre plus souple aux entreprises afin de les accompagner et de les encourager à reprendre ou poursuivre leur activité dans des conditions moins contraignantes.

Les mesures phares à retenir

Le nouveau protocole de déconfinement permet un retour à la normalité de l’activité économique. Il maintient la mise en garde des entreprises en leur imposant les recommandations et obligations suivantes :

  • Maintien du respect des gestes barrière sur les lieux de travail avec certains allègements :
    • La distance d’au moins un mètre entre les personnes reste la même mais le respect des 4 m² entre chaque personne est passé au rang d’outil proposé à titre indicatif ;
    • Dans le cas où le respect de la distance d’un mètre entre chacun ne peut être assuré de manière efficiente, le port du masque reste obligatoire ;
  • Le télétravail n’est plus la norme mais reste un outil à privilégier. Il peut également être utilisé comme solution pour un retour progressif ou alterné à l’activité présentielle habituelle lorsqu’il est possible ;
  • Les personnes à risques doivent pouvoir continuer à télétravailler ou bénéficier de mesures adaptées de protection renforcée ;
  • Protocole de prise en charge d’une personne déclarant les symptômes et des personnes entrées en contact avec elle.

Enfin, il comporte également des annexes sur :

  • les « bonnes pratiques à promouvoir dans la gestion des flux de personnes » ;
  • les recommandations en matière de « nettoyage/désinfection des surfaces et aération des locaux » et de port des « masques ».

Emmanuel Walle
Elena Blot
Lexing Droit social numérique




Rappels sur le dénigrement et la juridiction exclusivement compétente

TripAdvisor dénigrement

Dans un jugement du 27 avril 2020 (1),  le Tribunal de commerce de Paris a rappelé le champ d’application du dénigrement ainsi que le tribunal compétent pour connaître de ce litige (2).

En l’espèce, une société prestataire de services reprochait à TripAdvisor un détournement de clientèle. La société aurait constaté, sur le forum du site internet de TripAdvisor, une discussion renvoyant à son activité ; laquelle comportait des commentaires négatifs à son encontre. La société, estimant que ces propos étaient dégradants, a demandé à TripAdvisor leur retrait. Or, TripAdvisor a refusé de faire droit à cette demande. Il affirmait ne pas être l’auteur des propos litigieux et se réfugiant derrière la liberté de la presse. La société a alors assigné TripAdvisor en justice pour obtenir la suppression des commentaires litigieux.

La qualification des propos publiés sur le forum du site internet de TripAdvisor

Le Tribunal de commerce de Paris a profité du débat sur la qualification de propos publiés sur le forum du site internet de TripAdvisor pour réaffirmer le critère de distinction entre la diffamation et le dénigrement.

En l’espèce, les magistrats ont estimé que « relève du régime juridique du dénigrement les propos incriminés publiés sur le site de la société TripAdvisor LLC, en ce qu’ils critiquent un produit (…) de la société V. (…) et la qualité des prestations fournies par celle-ci, mais ne portent pas sur le comportement de la société V., personne morale parfaitement identifiée, jamais mentionnée ».

Dès lors, on comprend que le critère de distinction entre la diffamation et le dénigrement tient à l’objet des critiques. Si la personne morale est directement visée par les propos litigieux, alors il s’agit de diffamation. En revanche, si ce sont ses produits ou prestations, et non la personne morale, alors il s’agit de dénigrement.

En l’occurrence, les juges ont relevé que les propos litigieux ciblaient directement les produits et les prestations du concurrent. Ils en ont alors tiré la conclusion que la qualification de dénigrement s’imposait.

La compétence exclusive du tribunal de commerce en matière de dénigrement

Le Tribunal de commerce de Paris rappelle par la même occasion que la juridiction compétente découle entièrement de la qualification retenue.

En effet, TripAdvisor a soulevé une exception d’incompétence. La défense soutenait que les propos litigieux publiés sur le forum du site internet de TripAdvisor relevaient de la qualification de diffamation, de sorte que devait être déclaré compétent le Tribunal judiciaire de Paris.

Les magistrats ont débouté TripAdvisor en retenant la qualification de dénigrement, en réaffirmant que le Tribunal de commerce a une compétence exclusive pour connaître des litiges engagés du chef de dénigrement.

Ce jugement rappelle donc clairement que la juridiction compétente en matière de dénigrement ou diffamation dépend uniquement de la qualification retenue. Cette juridiction détient alors une compétence exclusive pour connaitre de ce chef d’infraction. En l’occurrence, le dénigrement entraîne systématiquement, et de manière exclusive, la compétence du Tribunal de commerce.

Alexandra Massaux
Lexing Technologies émergentes contentieux
Cyrielle Girard-Berthet
Auditrice de justice de la promotion 2020
École Nationale de la Magistrature

(1) Tribunal de Commerce de Paris du 27 avril 2020, 15ème ch.
(2) Article « Dénigrement : le TC de Paris rejette l’exception d’incompétence invoquée par TripAdvisor », Legalis.net 12-05-2020.




Les bouleversements de la santé numérique

la santé numériqueMarguerite Brac de la Perrière répond aux questions de DII sur les bouleversements de la santé numérique : nouveaux besoins, nouveaux usages, nouvelles synergies… Que change la crise du Covid-19 à l’écosystème de la santé numérique ?

A cette occasion, elle rappelle les conditions de développement depuis 2009 des actes de télémédecine que sont la téléconsultation, la téléexpertise, la télésurveillance, la téléassistance et la régulation médicale.

Citant Jean Monnet :

Les hommes n’acceptent le changement que dans la nécessité et ne voient la nécessité que dans la crise »,

Marguerite Brac de La Perrière explique comment la crise liée au Covid-19 a bouleversé la santé numérique, secteur déjà en forte croissance depuis une dizaine d’années, avec notamment, le développement des trois premiers actes (téléconsultation, téléexpertise, télésurveillance).

En effet, avant la crise, le recours à la télémédecine restait assez limité et concernait surtout les territoires en pénurie de médecins ou les personnes atteintes de maladies chroniques. Avec la crise, les usages se sont massivement développés pour répondre à un enjeu de santé publique, au moyen d’assouplissements substantiels et successifs des conditions réglementaires de prise en charge et de réalisation.

Ainsi, l’augmentation du nombre de téléconsultations est considérable. On a compté jusqu’à un million de téléconsultations hebdomadaires remboursées, alors que l’on en a décompté 75 000 sur 2019.

Cette interview parait en avant première de la conférence E-Santé à l’ère de l’IA, organisée le 30 septembre 2020. Lire l’intégralité de l’interview

La santé numérique

La santé numérique à l’ère de l’IA

Plus généralement, le Covid-19 joue un rôle crucial dans l’accélération des usages digitaux en santé.

L’IA, la réalité virtuelle, les objets connectés connaissent un déploiement massif. Cela permet aux chercheurs et praticiens d’améliorer les conditions de prise en charge des patients. Ils bénéficient de nombreuses données et indicateurs, d’aide au diagnostic et à la thérapeutique, et d’outils de suivi des patients.

Par ailleurs, le secteur est en pleine transformation numérique. En effet, le gouvernement a fait de la numérisation de la santé l’une de ses priorités (plan « Ma Santé 2022 »). La crise sanitaire mondiale rebat les cartes du jeu. La clarification de la réglementation offre aux acteurs du secteur l’opportunité de prendre une place dans un marché en croissance.

Isabelle Pottier
Lexing Département Etudes et publications