Protection des données personnelles : quelles obligations légales pour les collectivités ?

Les collectivités locales sont amenées, dans le cadre de leur mission, à collecter des données dites « personnelles » sur leurs administrés et leurs agents. Investies d’une mission de service public, elles sont particulièrement concernées par le respect des droits des citoyens et des libertés individuelles. La loi informatique et libertés (modifiée en 2004) impose depuis le 6 janvier 1978 que le traitement de ces données personnelles soit déclaré à la Commission Nationale Informatique et libertés (CNIL), voire fasse l’objet d’une demande d’autorisation dès lors que ces données sont dites « sensibles ».

Voir les questions fréquemment posées

Que doit-on déclarer à la CNIL ?
Tout fichier mettant en oeuvre le traitement d’une donnée à caractère personnel doit faire l’objet d’une déclaration à la CNIL.

Comment gérer l’ensemble des fichiers détenus par une collectivité ?
Il faut établir un inventaire des traitements mis en oeuvre par la collectivité et des données qui sont collectées dans ce cadre. Il permet de vérifier si les informations collectées sont bien conformes aux principes de la loi : finalité, proportionnalité, loyauté, etc.

Comment respecter le droit des citoyens ?
Chaque traitement doit être accompagné d’une information des administrés sur leurs droits : le caractère obligatoire ou facultatif de leur réponse, le droit d’accès à leurs données personnelles, le droit de rectification des données personnelles et droit de suppression.

Quelles obligations de la collectivité dans la gestion quotidienne des données personnelles ?
Les données collectées doivent l’être dans le cadre strict des critères de la loi. Consultables uniquement par des personnes dûment habilitées, leur conservation doit avoir une durée limitée. Les données peuvent être archivées mais ces archives doivent être stockées sur support distinct.

Les collectivités font-elles l’objet de contrôles ?
Les collectivités locales n’ont pas été une «cible prioritaire» des contrôles en 2006 et 2007 (moins de dix mairies, Conseil régional, Conseil général, communauté d’agglomération ont été contrôlés). La tendance s’inverse en 2008, notamment auprès des collectivités qui détiennent de nombreux fichiers de données personnelles.

A quels types de contrôles procède la CNIL ?
Ils sont le plus souvent inopinés, aucune notification préalable n’étant nécessaire pour les réaliser. L’organisme peut parfois en être informé quelques jours auparavant et être invité à rassembler un certain nombre de documents utiles à la mission. En revanche, le procureur de la République territorialement compétent est systématiquement informé du contrôle au moins 24 heures avant qu’il ne débute.

Qu’est-ce qui est précisément contrôlé ?
Une mission de contrôle vise à obtenir copie du maximum d’informations (techniques et juridiques) permettant d’apprécier les conditions dans lesquelles sont mis en oeuvre les traitements des données personnelles : sécurité et confidentialité, information des personnes, modalités de collecte, accomplissement des formalités préalables, etc.

Qui est responsable des fichiers détenus par la collectivité ?
La responsabilité, notamment pénale, du maire, du président du Conseil général et du Conseil régional et le président d’un Etablissement public de coopération intercommunale peut être engagée en cas de non respect de la loi.

Quelles mesures sont prises par la CNIL en cas de manquements ?
Soit la mission est close par un courrier d’observations du président de la CNIL. Soit le dossier est transmis à la formation restreinte de la CNIL (formation contentieuse) qui peut notamment adresser un avertissement, mettre en demeure l’organisme concerné de se conformer à la loi, prononcer une sanction pécuniaire ou dénoncer l’organisme au parquet.

Que contient un contrat d'exploitation de base de données?

La base de données est définie à l’article L. 112-3 comme un recueil d’œuvres, de données ou d’autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen. L’exploitation d’une base de données fait souvent l’objet d’une licence, qui encadre les obligations du titulaire des droits sur la base et de l’exploitant.
Les parties à un contrat d’exploitation doivent veiller à leurs intérêts respectifs en prévoyant un certain nombre d’éléments dans leur licence.

• Les modalités d’accès à la base de données : possibilité de reproduction de la base sur poste unique ou multi-postes, sécurisation de l’accès par le producteur, précision de l’étendue du droit d’accès.
• Les modalités d’extraction en quantité et en qualité : limitation d’extraction dans le temps ou limitation de la fréquence d’accès sur une période définie, énumération des supports de destination des données extraites.
• Les applications autorisées des données extraites ainsi que les applications non autorisées ex. exploitation commerciale, mise à disposition d’un tiers.
• Le contrat devra prévoir les modalités de conservation, de reproduction, de représentation, de traduction et d’adaptation des données.
• L’exploitant pourra exiger la garantie du producteur sur le respect des dispositions de la loi du 6 janvier 1978 quant aux obligations liées au traitement de données personnelles (déclaration, autorisation de la CNIL).
  

Un fonctionnaire est-il libre de s’exprimer sur son blog ?

Si la pratique du blogging semble avoir trouvé des adeptes au sein de la fonction publique, les agents ont une certaine conduite à adopter, vu le caractère public de l’Internet. Comment dès lors trouver le juste milieu entre la liberté d’opinion et d’expression du fonctionnaire et son devoir de réserve ?

Le devoir de réserve du fonctionnaire est entendu au sens large. Dans l’exercice tout comme en dehors de l’exercice de ses fonctions, le fonctionnaire se doit d’adopter un comportement qui ne porte pas atteinte à la dignité de ses fonctions ou à sa capacité de les exercer, ne donne pas lieu à scandale ou ne compromet pas les intérêts du service public.

Le fonctionnaire doit, dans l’exercice comme en dehors de l’exercice de ses fonctions, éviter tout ce qui pourrait porter atteinte à la dignité de ses fonctions ou à sa capacité de les exercer, donner lieu à scandale ou compromettre les intérêts du service public.

Ce comportement doit se concilier à la liberté d’opinion et d’expression reconnues par l’article 6 de la loi no. 83-634 du 13 juillet 1983, relative aux droits et obligations de ces agents.

Selon le Secrétaire d’Etat chargé de la Fonction publique, l’appréciation du comportement du fonctionnaire se fera au regard de plusieurs critères dégagés par le Conseil d’Etat notamment la nature des fonctions exercées par l’agent, son rang hiérarchique, et le contexte dans lequel il s’est exprimé. Le contexte peut être public, ce qui est le cas du blog .

Le contenu du blog sera également pris en compte. Le fonctionnaire blogueur doit à tout moment avoir un comportement empreint de dignité.

Au final, il appartiendra à l’autorité hiérarchique dont dépend l’agent d’apprécier si un manquement à l’obligation de réserve a été commis et si une procédure disciplinaire s’avère nécessaire.

Oumeira TEGALLY - Juriste TIC

Les communes sont-elles soumises à l’obligation de déclaration des fichiers de chambres d’hôtes ?

Tout propriétaire qui souhaite louer des chambres d’hôte doit en faire la déclaration en mairie (Décret n° 2007-1173 du 3 août 2007 relatif aux chambres d'hôtes et modifiant le code du tourisme). Cette déclaration peut donner lieu à la mise en place d’un fichier de chambres d’hôte tenu par la mairie et ce fichier comporte des données personnelles sur les propriétaires. La CNIL a décidé de dispenser les communes de déclaration de ce fichier (Délibération n° 2008-044 du 21 février 2008), car il est considéré comme étant peu sensible.

Pour bénéficier de cette dispense, les communes doivent respecter les conditions suivantes (tableau annexé à la délibération de février 2008) :

1. L’utilisation du fichier des chambres d’hôtes ne doit pas aller au-delà de :

- L’enregistrement des déclarations des exploitants et l’édition de récépissés de déclaration,
- La mise à disposition du public de la liste des chambres d’hôtes,
- L'élaboration de statistiques et leur communication aux autorités visées par le code du tourisme,
- L’envoi de courriers d’information en lien avec leur activité aux exploitants,
- La contribution, si besoin, au fichier communal de gestion de la taxe de séjour.

2. Les seules informations qui pourront faire l’objet d’un traitement sont celles prévues par l’article D.324 -15 du code du tourisme :

- Identité et coordonnées du loueur de chambres d’hôte (nom, prénoms, adresse).
- Les caractéristiques de la location (adresse, maison ou appartement, étage, nombre de pièces en location, nombre de personnes susceptibles d’être accueillies, périodes de location).
Les autres informations (numéros de téléphone, de télécopie, l’adresse électronique, ne peuvent être collectées que de manière facultative.

3. Les informations collectées ne sont conservées que pendant la durée de l’exercice de l’activité de location.
4. Une apposition en bas du formulaire de déclaration à la mairie réalisera l’obligation d’informer les personnes (article 32 de la loi dite « Informatique et Libertés ») : identité du responsable et finalité du traitement, caractère facultatif ou obligatoire des réponses demandées, les destinataires des informations, les modalités d’exercice du droit d’accès et de modification des personnes aux informations les concernant).

Quelles autorisations préalables en matière de vidéosurveillance ?

L’augmentation des caméras dans des lieux publics et privés et les préoccupations des citoyens rendent nécessaire un examen de l’encadrement juridique de la vidéosurveillance. La mise en place de dispositifs de vidéosurveillance ne peut se faire sans l’accomplissement de certaines démarches préalables qui peuvent être compliquées car deux régimes juridiques s’affrontent.

• D’une part, l’article 10 de la loi d’orientation et de programmation relative à la sécurité du 21 janvier 1995 modifiée s’applique au déploiement de la vidéosurveillance dans des lieux publics ou ouverts au public. L’obtention d’une autorisation préfectorale est suffisante dès lors que les images ne sont pas enregistrées ni conservées dans des traitements informatisés ou des fichiers permettant d’identifier les personnes physiques qui y figurent. Sur ce point, les avis sont divergents. Comment faut-il interpréter les textes applicables dès lors que la vidéosurveillance concerne un lieu public et les images conservées, l’autorisation préfectorale exclut-elle une déclaration à la CNIL ou les deux mesures sont-elles cumulatives ?

• D’autre part, la loi « Informatique et Libertés » du 6 janvier 1978 modifiée en 2004 soumet la mise en place d’un dispositif de vidéosurveillance dans un lieu privé à une déclaration préalable à la CNIL.

• Dans tous les cas, des obligations communes devront être respectées :
  

• Si un dispositif biométrique de reconnaissance faciale est mis en œuvre, il faudra l’autorisation de la CNIL.
  
  
• Il faut veiller au respect de la vie privée des personnes.
  
  
• La durée de conservation des images doit être précisée dans l’autorisation préfectorale et ne devra en aucun cas dépasser un mois.
  
  
• Les personnes filmées doivent être clairement informées que les lieux sont sous vidéosurveillance et qu’elles disposent d’un droit d’accès aux images qui les concernent.

Dans le contexte actuel de multiplication des dispositifs de vidéosurveillance sur le territoire national et ce, à l’initiative des pouvoirs publics, la CNIL demande à les contrôler. Aujourd’hui, tous les enregistrements sont numériques, et font dès lors l’objet de ‘traitements automatisés’ relevant de la compétence de la CNIL. Les technologies actuelles présentent la possibilité d’extraire des images des enregistrements et les comparer à des images stockées. De ce fait, les dispositifs de vidéosurveillance des lieux publics devraient désormais relever du contrôle de la CNIL plutôt que du contrôle préfectoral. Affaire à suivre…

Les licences «Creative Commons » sont-elles toujours valables ?

Les licences « Creative Commons » sont des contrats-type permettant la mise à disposition d’œuvres en ligne. L’adaptation de ces licences au droit français consiste à assurer leur complémentarité avec le droit d’auteur existant afin d’autoriser dès le départ une diffusion étendue des œuvres. Malgré cette adaptation, certains détracteurs insistent sur l’incompatibilité des licences « Creative Commons » avec le système français de protection du droit d’auteur. Les options les plus contestées sont les suivantes :

- L’interdiction de toute utilisation commerciale (« Non commercial Use »).
En permettant à la base une circulation de l’œuvre avec attribution de paternité, ces licences donnent la possibilité à l’auteur de l’œuvre d’en interdire à l’avance toute utilisation commerciale. Cette possibilité s’apparente à une disposition du droit d’auteur classique qui exige que l’autorisation de l’auteur soit demandée avant toute adaptation de son œuvre. Cette option ne doit pas être interprétée comme une interdiction absolue d’utilisation commerciale mais plutôt comme une absence d’autorisation préalable d’un tel usage. La personne qui souhaite faire une utilisation commerciale de l’œuvre devra prendre contact avec l’auteur pour obtenir son autorisation.

- L’interdiction de production d’une œuvre dérivée (« No derivative work ») et l’obligation de distribution identique des œuvres dérivées (« Share Alike »).
Comme l’option précédente, celles-ci assurent à l’auteur une maîtrise sur l’utilisation et la transformation de son œuvre. Il garde la possibilité de refuser toute œuvre dérivée qui ne correspondrait pas à l’esprit de son œuvre. Par ailleurs, il se réserve le droit d’accorder ou non son autorisation à une distribution différente des œuvres dérivées.

Il est important de savoir que les conditions posées par l’auteur peuvent être levées si celui-ci donne son accord. Les licences « Creative Commons » originales ont été adaptées au droit français afin de ne pas perdre la protection offerte par celui-ci aux auteurs. Certaines options des licences originales ont été écartées, telle que l’option de non attribution de la paternité, afin de respecter le droit moral inaliénable qui existe dans le régime traditionnel du droit d’auteur.

Oumeira TEGALLY - Juriste TIC

La désignation de la personne responsable de l’accès aux documents administratifs (PRADA).

Parmi les mesures à prendre par les collectivités pour se mettre en conformité avec la législation en matière d’accès aux documents administratifs (articles 42-44 du décret du 30 décembre 2005 et point 1 de la circulaire du Premier ministre du 29 mai 2006), figurent notamment la tenue d’un répertoire des documents dans lesquels se trouvent des informations publiques ainsi que la désignation de la personne responsable de cet accès et des questions relatives à la réutilisation des informations publiques au sein de chaque collectivité.

La désignation de la PRADA sera effectuée par :

• Les ministres et les préfets pour les services placés sous leur autorité
  

• Les communes (plus de 10000 habitants), les départements et les régions
  

• Les établissements publics (plus de 200 agents) et établissements publics intercommunaux (plus de 10 000 habitants) ;

• Les personnes de droit public et de droit privé chargés de la gestion d’un service (plus de 200 agents).

Le rôle de la PRADA sera de :

• Recevoir les demandes et les réclamations relatives à l’accès aux documents administratifs et à la réutilisation des informations publiques ;

• Assurer la liaison entre l’administration et la Commission d’accès aux documents administratifs, comme le correspondant informatique et libertés le fait déjà entre l’organisme qui l’a désigné et la CNIL.

Oumeira TEGALLY - Juriste TIC/AEC

Peut-on prendre soi-même des photos de mascarons dans les rues de Bordeaux et les publier ?

Les œuvres architecturales (bâtiment et plans) ainsi que les sculptures font partie des créations originales protégées par le droit d’auteur (article L112-2 Code de la propriété intellectuelle). L’œuvre, dès lors qu’elle répond au critère d’originalité, est protégée par la loi, quelque soit sa destination. Les mascarons sont donc des œuvres protégées par le droit d’auteur, peu importe l’aspect esthétique ou fonctionnel de l’immeuble sur lequel ils figurent.

Les personnes susceptibles d’en contester la publication sont le propriétaire du bâtiment sur lequel figure le mascaron et l’auteur de celui-ci.

- Le propriétaire du bâtiment ne détient pas de droit sur l’image de son bien dès lors que la photo vise la façade du bâtiment visible de la rue, et que l’utilisation de cette photo ne lui cause pas de trouble anormal (Arrêt de la cour de cassation réunie en assemblée plénière le 7 mai 2004). Les photos ayant été prises sur les façades de bâtiments publics ou privés visibles de la voie publique, l’autorisation du propriétaire des lieux n’est pas nécessaire.

- L’auteur des mascarons (sculpteur, architecte ou artiste) a des droits d’auteur sur l’œuvre qu’il a créée. Le droit d’auteur comprend le droit patrimonial et le droit moral.

• L’œuvre est protégée par le droit patrimonial dès le jour de sa création et jusqu’à 70 ans après la mort de l’auteur. Pendant cette période, l’auteur doit être rémunéré pour toute utilisation de son œuvre. Après cette période, on dit que l’œuvre tombe dans le domaine public et donc il n’est plus nécessaire d’avoir l’autorisation de l’auteur ou de ses ayants droits.
  

• Le droit moral ne s’éteint jamais, même quand l’œuvre appartient au domaine public et ce droit impose le respect de la paternité de l’œuvre (mention du nom de l’auteur), de l’intégrité de l’œuvre (ne pas la modifier sans autorisation), du droit de divulgation (ne pas révéler au public une œuvre dont l’auteur n’autorise pas la divulgation) et du droit de retrait et de repentir ( la possibilité pour l’auteur ou ses ayants-droits de revenir sur une autorisation de diffusion à condition d’indemniser les préjudices causés par cette décision).

Oumeira TEGALLY - Juriste TIC/AEC

L’agent public détient-il des droits sur l’œuvre qu’il a créée dans le cadre de l’exercice de ses fonctions ou de l’exécution des instructions reçues?

Oui, puisque la loi DADVSI est venue consacrer le droit d’auteur de l’agent public. Avant cette loi, on faisait référence à l’avis « Ofrateme » rendu par le Conseil d’Etat en 1972, qui précise que les nécessités du service public justifient que l’administration détiennent automatiquement les droits sur les œuvres créées par ses agents.

Depuis la loi du 1^er août 2006, un fonctionnaire qui créé une œuvre en détient les droits. Il faut cependant distinguer selon la nature de l’exploitation prévue de l’œuvre (nouvel article L131-3-1 al.1 du Code de la propriété intellectuelle):

• Une exploitation non commerciale

Les droits ne seront cédés de plein droit à l’administration qu’à la condition que ce soit dans une mesure « strictement nécessaire à l’accomplissement d’une mission de service public ». Cette cession de plein droit peut donner lieu à intéressement de l’agent en contrepartie de l’avantage tiré de cette exploitation par l’administration. Un décret en Conseil d’Etat viendra préciser les modalités de cet intéressement.

• Une exploitation commerciale

L’administration ne dispose envers l’agent public que d’un droit de préférence, il ne pourra être reproché à l’agent de céder ses droits au plus offrant.

L’article L 111-1 du Code de la propriété intellectuelle s’applique désormais à l’agent public. Celui-ci bénéficie de la protection de son œuvre au même titre que n’importe quel autre salarié, et à la même condition que la création en question présente le caractère d’originalité, c'est-à-dire comportant l’empreinte de la personnalité de son auteur.

Si la loi du 1^er août 2006 a étendu les droits des agents publics, elle a inversement réduit le champ des droits moraux des agents :

• Droit de divulgation : l’agent est soumis aux restrictions liées à son statut de fonctionnaire, il a une forte obligation de discrétion et une obligation de respecter les règles propres à l’institution à laquelle il appartient.

• Droit de repentir : le droit de repentir et de retrait (article L.121-4 du Code de la propriété intellectuelle) est exclu, sauf accord de l’autorité hiérarchique.

Oumeira TEGALLY - Juriste TIC/AEC

Comment la responsabilité des sites hébergeurs de contenus comme MySpace.com peut-elle être engagée?

La tendance allant vers une plus grande responsabilisation des sites proposant des services dits d’hébergement de contenus se confirme avec la condamnation du site MySpace en tant qu’éditeur des contenus des pages personnelles qu’il héberge (TGI Paris, 22 juin 2007).

Pour déterminer cette qualité, le Tribunal a retenu deux critères :

- D’une part, la société MySpace permet la création d’espaces personnels aux utilisateurs « en imposant une structure de présentation par cadres » qu’elle met à leur disposition.

- D’autre part, la société MySpace tire un profit de chaque consultation de page personnelle par le biais des publicités qu’elle y diffuse.

Le juge a donc reconnu MySpace responsable en tant qu’hébergeur ainsi qu’éditeur. Ce double régime de responsabilité va pourtant contre l’esprit de la loi du 21 juin 2004 pour la confiance dans l’économie numérique mais conforte la tendance jurisprudentielle (Cour d’appel de Paris, 7 juin 2006) ayant retenu contre la société Tiscali la responsabilité d’hébergeur et d’éditeur de contenus, basée sur les mêmes critères d’appréciation.

Du côté des sites hébergeurs de contenus vidéo en streaming, le TGI de Paris n’a pas retenu la qualification d’éditeur contre la société Dailymotion pour la diffusion de films (TGI Paris 13 juillet 2007), mais les juges ont tout de même renforcé sa responsabilité d’hébergeur en lui imposant une obligation de filtrage permanent des contenus sur sa plate-forme.

Conséquences des décisions de justice, la société Dailymotion a annoncé son intention de faire ce que tout hébergeur a jusqu’ici refusé de faire : procéder à un filtrage des contenus mis en ligne.

Oumeira TEGALLY - Juriste TIC/AEC

Comment déterminer la compétence de juridictions nationales en matière de contrefaçon d’une marque française sur l’internet ?

La dimension internationale de l’internet ne permet pas la prise en compte du seul critère de l’accessibilité, à partir du territoire français, d’un site étranger sur lequel la contrefaçon d’une marque française a été constatée.

La compétence des juridictions françaises peut être justifiée par plusieurs critères :

- le site litigieux doit viser le public français, les internautes pouvant reconnaître la référence au pays concerné par l’indicateur pays à la fin de l’URL ex. .fr pour la France, .de pour l’Allemagne, .ca pour le Canada. Il est également indiqué sur certains sites les zones géographiques de livraison des produits, si cette liste exclut la France, cela signifie que le public français n’est pas visé.

- les langues utilisées sur le site permettent également de vérifier si le marché français est visé, ce critère est d’une plus grande utilité lorsque le site litigieux ne vend pas de produits mais propose des services exécutés en ligne.

- le dommage allégué doit avoir été subi sur le territoire national pour que la juridiction française puisse le réparer, il s’agit du rattachement du préjudice au lieu de compétence recherché. Ce critère est souvent difficile à démontrer lorsque la contrefaçon a eu lieu par le biais d’un site Internet, puisqu’un site est par hypothèse accessible de tous les pays.

Oumeira TEGALLY - Juriste TIC/AEC

Les données détenues par les collectivités territoriales font-elles partie du domaine public ?

La réponse dépend du type de donnée détenue :

• Les données brutes représentent les données collectées par les collectivités et sont dans leur état d’origine. Ces données brutes ne bénéficient pas de la protection par le droit d’auteur et font partie du domaine public.

• Les données officielles et les actes officiels ont vocation à être diffusés au plus grand nombre et sont exclus de la protection par le droit d’auteur, ces données tombent inévitablement dans le domaine public.

• Les données élaborées sont les données ayant une valeur ajoutée, qui peut être technique, commerciale, intellectuelle et/ou documentaire. Ces données sont protégées par le droit d’auteur et leur réutilisation devra faire l’objet d’une autorisation ou d’une licence, souvent moyennant une redevance.

Les données produites par la collectivité dans le cadre de l’exercice de sa mission de service public dont l’objet n’est pas de mettre à disposition des informations, peuvent faire l’objet d’une redevance pour couvrir les frais d’investissement. Les données produites parallèlement à l’exercice d’une mission dont l’objet est autre que la production d’information, seront disponibles gratuitement pour consultation sur place.

Pour répondre aux besoins de gestion des biens immatériels des collectivités, un arrêté du Ministère de l’économie datant du 23 avril 2007, a annoncé la création de l’Agence du patrimoine immatériel de l’Etat. Cette agence aura pour mission d’évaluer et de valoriser les actifs immatériels publics, de gérer l’accès et la réutilisation des informations publiques en rédigeant des licences-types à l’intention des administrations, les sensibiliser sur la nomination de leur responsable de réutilisation des données et sur la constitution des répertoires de données publiques.

Oumeira TEGALLY - Juriste TIC/AEC

Quelle est l’étendue de la protection juridique des collectivités territoriales sur leurs noms ?

Les collectivités territoriales détiennent bien un droit sur leur nom. Les dispositions qui permettent la protection de ce droit sont d’origines différentes selon que l’on veuille défendre ce nom en tant que marque (1) ou en tant que nom de domaine d’un site Internet (2). Le critère commun aux deux actions est la situation de confusion que peut induire la marque ou le nom de domaine utilisant la dénomination d’une collectivité.

(1) Propre au droit des marques, l’article L711-4-h du Code de la propriété intellectuelle protège les collectivités contre les utilisations abusives de leurs noms. Cette protection connaît cependant des limites dont les contours ont été précisés par la jurisprudence. Les points essentiels qui en ressortent sont :

• La protection du nom de la personne publique est limitée à ses missions de service public exercées pour le compte de ses administrés.

• La personne publique ne peut interdire à des entreprises ou associations d’exercer leurs activités sur son territoire en utilisant sa dénomination sauf si elle démontre que cet usage entraîne un risque de confusion avec ses propres attributions ou est de nature à lui porter préjudice ou porter préjudice à ses administrés. Le risque de confusion existe que pour des activités relevant des compétences de collectivités et exercées par elles.

• Le fait de reprendre le nom d’une collectivité dans le nom de domaine d’une entreprise ou d’une association exerçant dans un secteur et dans une marque désignant celui-ci n’est pas susceptible d’entraîner à lui seul une confusion dans l’esprit du public.

(2) Le décret n° 2007-162 du 6 février 2007 relatif à l'attribution et à la gestion des noms de domaine de l'Internet et modifiant le code des postes et des communications électroniques est venu fixer les conditions d’utilisation du nom de collectivités locales pour le nommage de sites Internet.

Visant les noms de domaine, l’article R. 20-44-43 du code des postes et des télécommunications électroniques précise que l’enregistrement du nom d’une collectivité territoriale, seul ou associé à des mots ou abréviations faisant référence à des institutions locales, lui est exclusivement réservé.

L’article R. 20-44-44 dudit code régit les autres possibilités d’utilisation des noms des collectivités pour les noms de domaine, avec un encadrement identique à celui du droit des marques, disposant qu’un nom de domaine ne peut porter préjudice au nom, à l’image et à la renommée de la République française et de ses institutions et ne peut causer une quelconque confusion dans l’esprit du public.

La collectivité ne peut s’opposer à l’utilisation de son nom quand celle-ci ne concerne pas ses compétences exclusives ou n’est pas susceptible d’induire une confusion dans l’esprit des administrés.

Oumeira TEGALLY - Juriste TIC/AEC

Une entreprise peut-elle être tenue de répondre aux appels d’offres de marchés publics d’une collectivité par voie électronique ?

Non, en principe, une entreprise n’est pas tenue de répondre à un marché par voie électronique. Cependant, un arrêté du 12 mars 2007 pris en application de l’article 56 du Code des marchés publics, offre la possibilité aux collectivités de rendre obligatoire la réponse électronique des entreprises aux avis de publicités pendant une période expérimentale de 12 mois renouvelable. Cette dérogation aux règles du Code des marchés publics s’applique à tout type de marché formalisé. La seule condition qui s’impose au pouvoir adjudicateur est de respecter les règles de mise en concurrence effective. Des nouveaux règlements de consultation en perspective…

Oumeira TEGALLY - Juriste TIC/AEC

Un employeur peut-il se prévaloir des échanges électroniques attestant du comportement déloyal de son employé alors qu’il n’en était pas destinataire?

Oui, selon une jurisprudence de la Chambre sociale de la Cour de cassation le 23 mai 2007. L’employeur peut, en vertu de l’article 145 du nouveau code de procédure civile (NCPC), se procurer une ordonnance qui lui permet de conserver ou établir la preuve des faits dont pourra dépendre la solution d’un litige, et ce avant le procès :

« S'il existe un motif légitime de conserver ou d'établir avant tout procès la preuve de faits dont pourrait dépendre la solution d'un litige, les mesures d'instruction légalement admissibles peuvent être ordonnées à la demande de tout intéressé, sur requête ou en référé. »

Un employeur qui a de bonnes raisons de soupçonner un comportement déloyal de la part de son employé par le biais de ses échanges de courriels avec des personnes extérieures à l’entreprise ne peut pas, suite à la jurisprudence Nikon du 2 octobre 2001, directement se procurer les courriels sur le poste de l’employé puisque celui-ci a droit au respect du secret des correspondances.

La solution pratique pour l’obtention de preuves admissibles par l’employeur est apportée par l’arrêt du 23 mai 2007 :

- premièrement l’employeur doit déposer une requête auprès du Président du tribunal de grande instance (TGI) pour une ordonnance permettant à un huissier de récupérer les preuves du comportement reproché sur le poste informatique de l’employé ;

- si l’ordonnance d’autorisation est obtenue, un huissier de justice aura pour mission de venir sur les lieux ; et il pourra prendre connaissance des messages et les enregistrer en présence de l’employé;

- ces enregistrements pourront valablement être reproduits à titre de preuve lors du contentieux.

Dans notre cas, la chambre sociale affirme la légitimité de l’ordonnance d’autorisation car la partie qui la sollicite en a besoin pour protéger ses droits : l’employeur devant se protéger des actes de concurrence déloyale peut demander un telle mesure et il ne porte donc pas atteinte au respect de la vie privée du salarié. En ce sens, il est très important que l’huissier accomplisse sa mission en présence de l’employé.

Oumeira TEGALLY - Juriste TIC/AEC

Après le Dossier Médical Personnel (DMP), le Dossier Pharmaceutique électronique ?

Préparé par le conseil de l’Ordre, le Dossier Pharmaceutique vise à permettre à tout pharmacien de consulter, à partir de son ordinateur, les médicaments délivrés au patient dans toutes les pharmacies du territoire national, au cours des quatre mois précédents, qu’il s’agisse de médicaments remboursés ou non remboursés, prescrits ou achetés librement. Les données ne seront pas conservées sur le poste du pharmacien, mais renvoyées chez un hébergeur privé après chaque mise à jour. Il sera tenu à des obligations strictes de sécurité et de confidentialité.

Contrairement au DMP qui est destiné au patient, le DP a pour vocation d’être un outil de travail pour le pharmacien, lui permettant d’accomplir sa mission « de contribution à la qualité des soins et à la dispensation des médicaments ».

Quelles conséquences pour le patient ?

- le patient peut demander la création de ce dossier lors d’un passage en pharmacie, et il pourra y renoncer à tout moment, en demandant la fermeture de son dossier.
- Il pourra refuser que certains médicaments achetés figurent sur le dossier, il suffira de ne pas présenter sa carte vitale.
- Le DP permettra d’éviter des mélanges risqués de médicaments, alors que sont de plus en plus fréquentes les ordonnances multiples pour chaque patient.

L’autorisation de la Commission Nationale Informatique et Libertés a été accordée récemment, pour la mise en route de l’expérimentation du DP dans six départements (Doubs, Meurthe-et-Moselle, Nièvre, Pas-de-Calais, Rhône et Seine Maritime) pendant une durée de six mois.
Le Conseil de l’Ordre devra préalablement suivre la demande de la CNIL d’informer plus clairement le patient sur la création du dossier.
La généralisation de ce dispositif à l’ensemble du pays est prévue dans un délai de 2-3 ans mais il faudra pour cela une deuxième autorisation de la CNIL suite à la période d’expérimentation. Cette généralisation ne pourra se faire que parallèlement à celle du DMP, sur lequel la CNIL a émis des réserves notamment l’incapacité d’évaluer son fonctionnement dans une période d’expérimentation de quelques mois jugée trop courte et l’insuffisance des mesures de sécurité.

Oumeira TEGALLY - Juriste TIC/AEC

Quels sont les points juridiques importants à prendre en compte lorsque l'on met en place un espace numérique d'entreprises?

Dans le cadre du projet PEARDROP et après étude des différents systèmes européens existants, nous pouvons dégager plusieurs actions juridiques indispensables à la création de ces espaces numériques:

• La création d'une structure de portage juridique souple (associative par exemple) s'avère la solution la plus simple dès que des relations formelles existent entre les membres de l'espace numérique;
• La mise en place d'un contrat type pour l'utilisation d'outils communs au sein des entreprises est indispensable pour cadre les nouvelles relations de travail entre membres;
• La mise à niveau par rapport au droit social est obligatoire (information des instances représentatives du personnel et dans certains modification des contrats de travail,...);
• La prise en compte des règles du droit de la concurrence dans les relations privilégiées au sein de l'espace numérique d'entreprises est un point à anticioer dès la constitution de l'espace numérique, surtout dans le cas où un des membres exerce une position dominante sur un marché pertinent;
• La sécurisation des relations entre les partenaires est une action à ne pas négliger. Elle peut se décliner de la manière suivante:

- Maîtriser une bonne gestion des identités électroniques et des rôles de chacun des membres au sein de l'espace (authentification, gestion des identités numériques, certification, signature électronique);

- Déterminer en amont la titularité des créations communes de droit de la propriété intellectuelle en tentant de permettre à la fois sur des créations non sensibles la mise en place de licence à contenu ouvert ("creative commons") et sur des créations dites sensibles le développement en commun de protection des créations (intelligence économique défensive);

-Assurer le respect des règles de gestion de la vie privée au travail (données personnelles) en identifiant les déclarations communes à effectuer à la CNIL, en désignant si besoin un correspondant informatique et libertés.

Qu'est ce qu'un écosystème numérique d'entreprises?

L'écosystème ou espace numérique d'entreprises est une sorte d'intranet partagé entre plusieurs entreprises. Son but est de faciliter les intéractions et le travail collaboratif entre différentes sociétés afin d'améliorer l'innovation et la compétitivité. Au sein d'une filière, la mise en commun des systèmes d'information d'entreprises peut par exemple, servir à mutualiser leur accès Web, leurs contacts, leurs données de veille ou de suivi de stocks. Les pôles de compétitivité pourraient dans ce cadre se doter de système d'information à la fois sécurisé et ouvert selon le type de données partagées.

Aquitaine Europe Communication soucieuse d'accompagner les acteurs locaux d'Aquitaine sur les questions notamment de développement économique est engagé dans un projet européen appelé PEARDROP. Il vise à encourager le regroupement d'entreprises au sein d'écosystèmes numériques afin de favoriser leur compétitivité. En charge du mode d'emploi juridique de ces espaces numériques, AEC mettra prochainement à votre disposition des documents opérationnels. PEARDROP et ses résultats visent à apporter une contribution à la gouvernance des Programmes Opérationnels Régionaux pour la période 2007-2013.

Quelles sont les nouvelles obligations prévues dans le décret CNIL du 25 mars 2007 ?

Le tout nouveau décret d’application n° 2007- 451 du 25 mars 2007 de la loi CNIL modifiée rappelle qu’il est interdit de recueillir de données personnelles sans l'accord des gens, que le but de la collecte doit être annoncé à l'avance et que les droit d'accès à ces données et à leur rectification doivent être garantis.

Un point intéressant, l’exercice du droit d’opposition est amélioré. Lors d'utilisation de données personnelles croisées, le responsable du traitement initial auprès duquel le droit d’opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu’il a rendu destinataire des données à caractère personnel qui font l’objet de l’opposition.

Quoi de neuf sur la protection des noms de domaine des collectivités territoriales ?

Le décret n°200-162 du 6 février 2007 relatif à l’attribution et à la gestion des noms de domaines de l’Internet protège notamment le nom des collectivités territoriales et des établissements publics de coopération intercommunale à fiscalité propre. Le texte énonce que « le nom de la république française, de ses institutions nationales et des services publics nationaux, seul ou associé à des mots faisant référence à ces institutions ou service, ne peut être enregistré comme nom de domaine (..) que par ces institutions ou services ».

Quels sont les points juridiques sensibles pour les collectivités lorsqu'elles décident de mettre en place un réseau en fibre optique dans une ZAE?

Les collectivités territoriales en charge du développement économique de leur
territoire de compétence s’impliquent dans l’aménagement numérique de leurs
zones d’activités économiques (ZAE). Pour ce faire, elles doivent respecter les cadres juridiques édictés par le droit public, des communications électroniques et de la concurrence.

1- Etablir ou utiliser l’existant

Une première phase d’établissement du réseau est un préalable incontournable. Deux cas se présentent : si aucune infrastructure n’est disponible, la collectivité devra établir son réseau par l’intermédiaire d’un marché de travaux par exemple. Dans le cas où un réseau existe, se pose la question de la propriété des lignes ou câbles existants et des infrastructures (chambres d’accès, gaines ou fourreaux). Le régime de la domanialité publique permet aux collectivités de revendiquer dans certains cas la propriété des infrastructures existantes comme en témoigne la jurisprudence de la Cour administrative d’appel de Bordeaux (arrêt « Commune de Toulouse ») du 9 mars 2006 et ce malgré le fait que ce soit l’opérateur historique qui ait réalisé ces infrastructures. La solution juridique n’est pas définitive puisque cet arrêt a fait l’objet d’un pourvoi en cassation. Le juge devrait normalement distinguer les infrastructures Installées avant et après la date du 31 décembre 1996, date de changement de statut de France Telecom.

2-Exploiter en propre ou déléguer

De cette première phase, incontournable car ce sont les coûts de génie civil qui grèvent le modèle économique de la réalisation, la deuxième phase d’exploitation du réseau de fibre passera par la mise à disposition du réseau public à un exploitant. Elle sera d’autant plus aisée qu’elle rentrera dans le cadre d’une procédure juridique permettant de transmettre l’exploitation tout en garantissant un accès à la ressource à très haut débit à tous les opérateurs de manière transparente et non discriminatoire.

Qu'est ce que le "dialogue compétitif" au sens du code des marchés publics?

La procédure du dialogue constitue un outil spécifique de passation des marchés publics pour des marchés complexes sur le plan technique. Elle peut donc être utilisée dans le cadre de projets TIC sous certaines conditions. Elle nécessite une procédure particulière d’organisation matérielle de mise en concurrence. En vue d’améliorer sa mise en place, une charte est disponible ici. Elle est issue de la réflexion de l’ Assemblée des Départements de France (ADF), de l’Association des Maires de France (AMF), de l’association des Régions de France (ARF), de l’institut de gestion délégué et de la mission d’appui à la réalisation des contrats de partenariat.

Qu'est-ce qu'un accord-cadre au sens du code des marchés publics 2006 ?

L’accord cadre n’est pas un marché. C’est un accord d’exclusivité ou de manière plus précise un contrat destiné à permettre la conclusion ultérieure de marchés publics. L’accord cadre a deux fonctions :
Une fonction procédurale où il peut être compris comme une procédure de sélection (on sépare la procédure du choix proprement dit). Il s’intercale entre l’Avis d'Appel Public à Candidatures (AAPC) et la lettre de consultation.
Une fonction contractuelle car il est également analysé comme un contrat conclu avec une ou plusieurs parties. L’accord est un dispositif qui permet de sélectionner un certain nombre de prestataires qui seront ultérieurement remis en concurrence lors de la survenance du besoin.

Que doit on comprendre des nouvelles analyses issues de l'ARCEP sur la cession et la mise à disposition de l'utilisation de fréquences WiMax?

• Les cessions Région/Département n’ont pas à être précédées d’une procédure de publicité ou de mise en concurrence.
• La cession à titre gratuit, même si l’analyse reconnaît une valeur économique ou plutôt « un avantage valorisable » à l’autorisation d’utilisation de la bande de fréquences, est autorisée si le bénéficiaire est assujetti à des sujétions d’intérêt général.
• Le principe de la scission des autorisations d’utilisation de fréquences est admis et le problème technique aux interstices est souligné par l’analyse. Par contre, rien n’est apporté sur des solutions concrètes applicables comme par exemple une convention de bonne utilisation de la bande de fréquences comme c'est le cas en Aquitaine.
• La mise à disposition de fréquences dans le cadre d’une délégation de service public en cours de passation ou d’exécution peut, dans certains cas tenant à l’économie du contrat public et à son degré de précision dans les modes de fourniture du haut débit, justifier de relancer la procédure ou de passer une nouvelle convention de délégation.
• La mise à disposition de l’utilisation de la bande fréquences par exemple d’un Département à une collectivité infra régionale n’est pas prévue par le CPCE, qui ne traitent que des cessions. Rien ne paraît donc s’opposer à ce que la mise à disposition d’une fréquence entre collectivités intervienne de gré à gré, au même titre que pour les cessions. Elle peut donner généralement lieu à un contrat pour formaliser l’accord du titulaire et du bénéficiaire de la mise à disposition. Une convention de gestion coordonnée de l'utilisation des fréquences peut ainsi être un modèle utilisable. L’acte de mise à disposition ne devra pas produire d’effets anticoncurrentiels.
• L’agrément préalable de l’ARCEP à toute mise à disposition est prévu par les dispositions des cahiers des charges annexés aux autorisations régionales d’utilisation de fréquences de la boucle locale radio délivrées en juillet 2006.

Au vu de ces éléments, on peut donc légitimement avancer qu'une structure de coopération informelle comme le Pôle Aquitain sur la Société de l'Information a joué un rôle essentiel dans le cadre d'une action concertée inédite en France.

Les collectivités offrant un service de communication publique en ligne sont-elles tenues de respecter les règles d’accessibilité ?

Oui, tout service de communication public en ligne doit être accessible à tous, y compris les personnes handicapées, selon l’article 47 de la loi du 11 février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées. « Les services de communication publique en ligne des services de l’Etat, des collectivités territoriales et des établissements publics qui en dépendent doivent être accessibles aux personnes handicapées. ». Il s’agit de rendre accessible tout ou du moins une large partie du contenu des sites publiques à tous les citoyens en mettant ces services en conformité avec le référentiel général d’accessibilité(RGAA) élaboré par la Direction Générale de la Modernisation de l’Etat (DGME).

Cependant derrière cette obligation de principe, se cache une difficulté pratique de réalisation pour les collectivités puisque le décret d’application « Accessibilité » qui comprend le mode d’emploi de l’accessibilité, le RGAA, n’est pas encore disponible. Celui-ci définira les mesures à mettre en œuvre pour assurer l’accessibilité des sites de communication publique en ligne conformément aux standards internationaux tel que les travaux du World Wide Web Consortium (W3C). Ce mode d’emploi est prévu pour Septembre 2007.

Le décret apportera des précisions sur :
- les critères d’évaluation des sites
- les modalités de suivi de la mise en conformité
- les sanctions en cas de non respect du RGAA
- les informations nécessaires à la formation des personnes impliquées par la mise en œuvre du RGAA
- les délais de mise en conformité (2 ans pour les administrations d’état et 3 ans pour les administrations territoriales)

De quel délai dispose un consommateur pour contester les sommes facturées auprès d'un fournisseur d'accès à Internet (FAI)?

Alors que les prescriptions de droit commun prévoient des durées longues pour contester (10 ans en matière commerciale et 30 ans en matière civile), une prescription spécifique existe dans notre cas d’espèce. L'article L 34-2 du CPCE indique un bref délai d'un an pour agir. Ce qui ne laisse que peu de marge de manoeuvre au consommateur. Il est cependant possible que ce délai soit aménagé dans le cadre des Conditions Générales de Vente (CGV) puisque la règle de prescription n'est pas d'ordre public. Le consommateur aura donc pour intérêt de se référer au CGV en regardant notamment si le délai est rallongé et quelles sont les possibilités d'interruption, par exemple par une lettre recommandée avec accusé de réception.

Quelles sont les Formalités nécessaires avant la mise en place de moyens de contrôle des agents d’une collectivité sur l’utilisation des TIC ?

Tout doit commencer par une discussion collective, qui se doit d’informer et de consulter les instances représentatives des agents. Cette phase précède celle qui devra informer au préalable l’agent sur le fait qu’aucun contrôle ne peut être effectué à son insu et que la collectivité est tenue d’indiquer les techniques utilisées pour contrôler l’activité, les éléments contrôlés et les conséquences individuelles qui pourront en résulter. Cette information peut se faire par voie d’affichage ou par note de service.
Il faudra par ailleurs procéder à une déclaration auprès de la CNIL en cas de collecte de données à caractère personnel, d’utilisation ou de constitution de fichiers. Fichier ou pas, il faudra également respecter le principe de proportionnalité. qui veut que la mesure de contrôle doit être proportionnée au but recherché et annoncé.

Est il possible pour deux sociétés commerciales de se partager entre elles des données personnelles ? Si oui, à quelles conditions ?

Oui, après autorisation de la CNIL, il est possible pour des sociétés de s’échanger des informations. Plusieurs conditions doivent être réunies :

1- la finalité du rapprochement des données doit être légitime. Elle doit avoir pour but d’améliorer le fonctionnement des entreprises au service des consommateurs ;
2- l'échange d'informations doit être ponctuel et limité. Le rapprochement ne doit en aucun être considéré comme un moyen d’enrichir un fichier client ;
3- l'autorisation explicite du client de partager des informations doit être recueilli par l’intermédiaire d’une signature à la suite de mentions précisant les finalités et les bénéficiaires de l'échange.

Sites Internet des collectivités

Faisons un point sur les formalités préalables à réaliser pour qu’une collectivité territoriale puisse ouvrir sereinement un site.
Une collectivité territoriale doit veiller, plus que tout autre entité, à encadrer sa présence en ligne de précautions juridiques minimales.
La première préoccupation est de régler les questions relatives aux droits d’auteur. Il faut obtenir auprès du titulaire des droits de l’oeuvre protégée (musique, photos, etc.) que vous souhaitez utiliser, le droit de reproduction numérique et de diffusion de celle-ci.
Si le site que vous mettez en place collecte ou diffuse des informations nominatives, vous
devez vérifier que votre site ne propose que des fonctionnalités que vous aurez déposées auprès de la Commission Nationale Informatique et Libertés. Il convient en effet de déclarer ce type de site auprès de la CNIL, car il s’agit d’un traitement automatisé d’informations nominatives permettant l’identification directe ou indirecte de personnes physiques : les internautes qui le visiteront pourront laisser leurs coordonnées pour recevoir des informations, prendre des rendez-vous avec les contacts indiqués, etc. Soulignons que toute collecte déloyale ou illicite de données est punie de cinq ans d’emprisonnement et de deux millions de francs d’amende.
L’ouverture d’un site web n’est plus soumise à déclaration préalable auprès du procureur de la République et du Conseil supérieur de l’audiovisuel.
L’article 43 1° de la loi du 30 septembre 1986 relative à la liberté de communication qui imposait cette obligation a été abrogé par l’article 2 de la loi du 1er août 2000 portant modification de cette loi de 1986.
En contrepartie, les éditeurs de services doivent pouvoir être identifiés en mettant à disposition du public leurs coordonnées (pour les collectivités territoriales : leur dénomination et leur siège social).
Un peu de pragmatisme enfin car l’expérience montre que la publication électronique requiert de l’adaptabilité face à un contexte juridique en mutation rapide.

Cession des droits d'exploitation d'une oeuvre: il faut prévoir précisément toute éventuelle ré exploitation

Un photographe indépendant cède ses droits de propriété intellectuelle sur un reportage photos. Une de ses photos est réutilisée sur une bouteille d'eau minérale. Le photographe conteste alors ses droits. On lui oppose une clause de cession dans le bon de commande concernant tous les droits d'exploitation sans limitation de temps, d'espace, de moyen et de forme.

Par un arrêt du 12 Juillet 2006, la cour de Cassation, en application directe de l'article L131-3 du Code de la propriété intellectuelle, considère que la généralité des termes de la clause la rend inopérante. Et de préciser que "la transmission des droits de l'auteur est subordonnée à la condition que chacun des droits cédés fasse l'objet d'une mention distincte dans l'acte de cession et que le domaine d'exploitation des droits cédés soit délimité quant à son étendue et à sa destination, quant au lieu et à sa durée".

Quand la propriété intellectuelle et le service public s'opposent...

Un architecte refuse en vertu de son droit moral de voir modifier son oeuvre (un stade de foot) qui devait être agrandie afin d'accueillir des matchs de la coupe du monde.

Le Conseil d'Etat le 11 Septembre 2006 permet l'agrandissement du stade à condition que celui ci soit rendu indispensable par des impératifs de service public (esthétisme, technique ou de sécurité publique).

Brimade et viralité TIC face au droit

A l’entrée ou à la sortie de l’école, collège ou lycée, les élèves mineurs peuvent se retrouver face à des situations de violence. La détresse de l’enfant mineur peut être accentuée par le fait que l’acte illicite a été filmé par le biais d’un téléphone portable et par la suite diffusé par les TIC.
La cour d’appel de Versailles dans un arrêt du 24 oct. 2006, vient sanctionner ce type de pratique en considérant que le fait de filmer la scène à l'aide de son téléphone portable a donné plus d'écho à la manifestation de la supériorité physique de l'auteur de la violence et l'a invité à faire étalage de sa force. La cour a considéré l’action de filmer avait aidé à la réalisation de l'acte et l'a donc qualifié d' aide morale volontaire.

Doit on déclarer son traitement de données personnelles mis en place par l'intermédiaire d'un site Web?

La CNIL n'oblige plus de déclarer spécifiquement ce type de traitement grâce à un formulaire spécial. Cependant, le responsable du traitement devra déterminer la câtégorie de déclaration en fonction des autres critères désormais classiques de la CNIL: finalité ou objet du traitement. Il n'y donc pas absence de déclaration. Le type de déclaration dépendra du contenu ou de la finalité du traitement.

Comment différencier une DSP d'un PPP?

Montage juridique/réseaux haut débit

Une question parlementaire du 27 Juin 2006 à Monsieur BRETON sur la distinction entre le Partenariat Public Privé (PPP) et la Délégation de Service Public (DSP) nous donne des éléments de réponse. Cette question traduit l'inquiétude des élus locaux quant aux montages juridiques utilisables pour confier un service public à un opérateur privé.

Plusieurs critères de distinction:

• la charge de gérer le service public dans une DSP est déléguée au concessionnaire alors que dans un PPP l'objet du contrat ne portant pas sur l'exercice d'une mission de service public en tant que telle, la collectivité garde cette prérogative;
• la logique économique et financière est bien différente: dans la DSP, le délégataire assume une partie significative du risque d'exploitation alors que dans le PPP la répartition du risque est analysée de manière globale sans part prédeterminée;

Ainsi, pour qualifier juridiquement le montage mis en place, nous nous focaliserons sur les modalités de rémunération... Nous sommes bien avancés...

La responsabilité de l'employeur peut elle être engagée lors de la mise en ligne d'un site personnel illicite d'un de ses salariés?

Gestion du système d'information/charte SI

Oui. Bien souvent, les entreprises qui fournissent des accès Internet à leur salariés ne réalisent pas à quoi ils s'engagent par cette action.

Un arrêt de la cour d'appel d'Aix en Provence du 13 Mars 2006 vient encore une fois condamner un employeur par le fait de son salarié qui avait créé un site Internet au contenu illicite sur sa seule initiative avec les moyens mis à sa disposition par son employeur. Ce site était illicite car il dénigrait une autre société. L'employeur avait pourtant anticipé une éventuelle utilisation innapropriée du SI par l'intermédiaire d'une note de service qui précisait que les utilisations privées du SI étaient autorisées à condition qu'elles soient raisonnables, effectuées en dehors des heures de travail et respectant les dispositions légales et règles internes de la société.

Dans ce type de cas, plusieurs personnes peuvent être mises en causes: l'éditeur du site (le salarié en l'espèce), l'hébergeur du site et l'employeur.

La responsabilité de l'hébergeur étant en général rapidement écartée, c'est la responsabilité du commettant (l'employeur) pour les faits effectués par son préposé (le salarié) en vertu de l'article 1384 alinéa 5 du code civil qui s'applique. Donc, l'employeur qui n'a rien fait en l'espèce et qui a même prévu un dispositif d'information sur l'utilisation du SI se retrouve responsable des actes de son employé. Toutefois, l'employeur peut classiquement s'exonérer de sa responsabilité s'il démontre que le préposé a commis une faute personnelle détachable de ses fonctions ou s'il justifie un abus de fonction. La jurisprudence désigne l'abus de fonction comme l'action hors des fonctions auxquelles le préposé était employé, sans autorisation et à des fins étrangères à ses attributions. Or, la jurisprudence a déjà considéré que le préposé qui agit par initiative personnelle sans rapport avec sa mission et cause un dommage à un tiers commet un abus de fonction.

Cependant, la jurisprudence reste stricte en général et comme c'est le cas en l'espèce admet que rarement l'abus de fonction. On ne peut que le regretter car le risque juridique qui pèse sur les entreprises mérite d'être encadré par des critères précis de mise en jeu de la responsabilité. La pédagogie et la prévention seront donc de rigueur. Une charte du SI permet de réunir autour de la table les instance représentatives des salariés avec les dirigeants afin d'édicter des règles comprises, admises de tous pour une utilisation rationnelle de la vie privée au travail. Le travail de sensibilisation sur les risques de ce type d'outil devrait pallier à ce type de phénomène.

La solution juridique n'étant pas satisfaisante, remettons nous à l'ontologie et à la prévention...

Sur quels fondements juridiques peut on condamner un "spammeur"?

Données personnelles

En théorie deux réponses:

1- Par le biais de l'interdiction générale de la pratique d'envoi de courriel non sollicité prévue à l' article L34-5 du Code des Postes et des Communications Electroniques qui dispose :"Est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen";

2- Par l'intermédiaire du délit de collecte illégale de données personnelles. C'est une nouveauté de la part de la chambre criminelle de la cour de cassation qui, dans un arrêt de 14 Mars 2006, a condamné un gérant de société pour collecte déloyale de données personnelles sur Internet. Le spammeur avait collecté les données personnelles des internautes par l'intermédiaire d'un aspirateur de courriels et s'était constitué une base de données .

En considérant l'adresse e-mail comme une donnée nominative permettant indirectement l'identification de son titulaire, la Cour de cassation apporte une vision moderne de la notion de collecte. Elle n'oblige plus que la donnée soit enregistrée pour être collectée. Elle regarde la finalité de la collecte, à savoir le traitement de la donnée personnelle, pour caractériser automatiquement la collecte. La collecte fut dès lors considérée comme déloyale car effectuée à l'insu des intéressés.

Le droit des données personnelles sera donc facilement invocable dans les cas de spams. La loi du 6 Août 2004 créant un nouvel article 226-18-1 du code pénal permettra de sanctionner le fait d'avoir procéder à des traitements à des fins de prospection commerciale malgré l'opposition de la personne. Par ailleurs, on aurait pu facilement imaginer un "spammé" invoquant la non déclaration de la base de données auprès de la CNIL car il est fort à parier que ce type de base de données ne respecte pas les règles de déclaration.

Du contentieux à venir...

Peut il y avoir outrage sur un forum de discussion sur Internet?

Blog

Non. Selon un arrêt de la cour d'appel de Douai du 5 Avril 2006, l'outrage sanctionné par le code Pénal (article 433-5, alinéa 1) ne peut pas se voir appliqué aux cas de propos virulents et dégradants tenus sur des forums de discussion car l'outrage suppose lorsqu'il est réalisé par des écrits (ici écrit électronique) que ceux ci ne soient pas rendus publics. Les juges ont considéré que le forum était ouvert à tous et que l'outrage n'était donc pas invocable.

Au passage, les juges n'ont pas précisé quelle est la nature de ce type de lieu d'expression: lieu public, lieu privé ouvert au public...

Sur quels points juridiques une collectivité doit elle faire attention lors de la mise en place d'un logiciel libre?

Administration électronique

De plus en plus de collectivités optent pour le choix du logiciel libre. Ce choix n'est pas sans conséquence juridique:

D'abord, la licence de logiciel libre en tant que contrat qui organise la "passage" (cession) des droits portant sur le logiciel "libre"de l'auteur à la collectivité peut comporter des éléments perturbateurs:
- C'est le cas par exemple des licences en langue étrangère prohibées pour les collectivités en tant que contrat passé en langue étrangère (article 5 de la loi du 4 Août 1994);
- La cession des droits de propriété intellectuelle des logiciels libres en tant que qu'oeuvre protégée par le droit d'auteur doit être précisée dans son objet et son étendue selon l'adage "tout ce qui n'est pas écrit n'est pas cédé";

Ensuite, la collectivité devra anticiper les éventuelles conséquences pouvant entraîner la mise en jeu de sa responsabilité du fait de l'utilisation inappropriée ou du dysfonctionnement dudit logiciel libre. Cet outil trouvant sa place dans le développement de l'administration électronique, ce sera tout le process des tâches effectuées (gestion des rôles) qui sera examiné en identifiant les risques à chaque étape et les responsabilités encourues en analysant notamment l'étendue de la responsabilité contractuelle du prestataire prévue dans la licence et les possibles recours en garantie. La réflexion en amont s'impose donc...

Par ailleurs, la mise à disposition du logiciel doit répondre aux règles de la commande publique. Le prix du marché sera le coût global d'acquisition incluant tous les coûts liés à la mise en place du logiciel: coût de prestataires extérieurs, des mises à jour, de la formation, de la gestion. De ce coût global, sera identifié la procédure adéquate en fonction des seuils prévus dans le code des marchés publics.

Enfin, last but not least, la non divulgation des codes sources ne pourra être garantie à la collectivité au vu de l'esprit de la communauté des utilisateurs du libre. Pourtant, cette protection est souvent nécessaire dans le cas de logiciel lié à la sécurité informatique. Il est possible d'aménager contractuellement (contrat avec le prestataire et modalités de la licence) ce problème en sachant que cette pratique va contre la cause de l'existence des logiciels et que la collectivité se privera de toute évolution du logiciel de la part de la communauté. Des intérêts divergents à concilier...

Quel est le droit des collectivités à la protection intellectuelle de leur nom?

Propriété intellectuelle

La loi (article L711-4 du code de la propriété intellectuelle notamment) interdit l'adoption d'une marque qui porterait atteinte au nom, à l'image ou à la renommée d'une collectivité.

La jurisprudence admet également que les collectivités agissent en justice pour protéger leur nom (Tribunal de Grande Instance de Caen du 25 Janvier 1989, commune d'Arromanches).

Cependant, les actions en responsabilités civiles ont des résultats variables et il est recommandé aux collectivités de déposer leurs propres marques. La meilleure défense reste donc l'attaque...

A qui appartient les infrastructures de télécommunications réalisées dans le cadre de ZAC par l'intermédiaire de conventions de concession ?

Aménagement numérique du territoire

A la commune concédante.

C'est ce qu'a décidé la cour administrative d'appel de Bordeaux le 9 Mars 2006 dans une affaire opposant la commune de Toulouse à France Télécom(FT) pour les motifs suivants :

- la convention de concession précisait explicitement que les réseaux constituaient des biens de retour quand bien même FT avait concouru techniquement à la réalisation et avait exploité et entretenu après l'achèvement des travaux;

- La collectivité peut être propriétaire d'ouvrages d'infrastructures (chambres d'accès, fourreaux,...) à la différence des réseaux installés dans ces ouvrages qui sont détenus par les opérateurs de communications électroniques.

Que faire en cas de litige avec un cybercommerçant?

Commerce électronique

Le développement du commerce électronique passe par la confiance des utilisateurs quant à la garantie de leur protection juridique en cas de problème.

De manière chronologique, vous disposez de plusieurs actions:

1- Contacter le service clientèle du cybercommerçant pour lui signaler le problème et tenter un arrangement amiable. Si le commerçant a mis en place un forum de discussion sur son site Internet, ne pas hésiter à signaler le dysfonctionnement;

2-Face à l'inertie du vendeur, il est préconisé de lui adresser une lettre recommandée avec accusé de réception lui rappelant notamment les faits à l'origine du litige, le problème survenu, l'objet de votre demande. Tout ceci sera accompagné idéalement par une estimation du préjudice subi en s'appuyant sur des fondements juridiques (articles de code, textes...) et des pièces justificatives en photocopies (facture, ticket de caisse, devis...). Il est important à ce stade d'indiquer au commerçant un délai pour agir (8 jours en général) avant de saisir toutes autorités compétentes ;

3- Contacter les organismes et associations de consommateurs comme par exemple la FEVAD, (Fédération des Entreprises de Vente A Distance) qui se chargent de régler les litiges survenus entre leurs adhérents et les acheteurs. La liste de ses adhérents figure sur son site Internet (www.fevad.com);

4- Solliciter le médiateur du net: www.mediateurdunet.fr
Mis en place par le forum des Droits sur l'Internet, ce service, gratuit, confidentiel et sécurisé, fait intervenir un tiers indépendant, impartial et qualifié (professeurs d'université, chercheurs, notaires). Le médiateur est notamment compétent pour régler les différends concernant les achats en ligne.

Deux conditions pour avoir recours au médiateur :

- être de bonne foi en ayant par exemple effectué, sans succès, une première tentative de règlement du litige auprès du vendeur(point 1 et/ou 2 ci dessus) ;

-Ne pas avoir introduit d' action en justice préalable.

La procédure est en principe courte (3 mois maximum) et débouche sur une proposition de solution amiable négociée que les parties sont libres d'accepter ou de refuser.
Cet accord de règlement amiable devra aboutir à un protocole d'accord transactionnel signé par les deux parties pour avoir force juridique.

5- Ultime solution, assigner le commerçant au tribunal. C'est la voie de droit commun.

Quel est le régime juridique des ondes émises par les puces RFID ?

Sur la définition des puces RFID, je vous invite à vous référer au dossier de veille n° 20.(www.aecom.org)
Le paysage électromagnétique répond à des règles qui varient suivant la nature, la puissance, le mode de gestion et la fréquence des ondes émises.
De manière générale, on distingue selon l’article L33-3 du Code des postes et des communications électroniques entre installations radioélectriques utilisant et n’utilisant pas de fréquences spécifiquement assignées à leur utilisateur. Les premières font l’objet d’une déclaration préalable auprès de l’ARCEP (Autorité de régulation des communications électroniques et des postes, ex ART), les secondes sont établies librement. Cependant, et puisque l’émission d’ondes touche les prérogatives de la puissance publique en ce qui concerne principalement l’ordre public et la gestion rationnelle du spectre (interférences), des règles précises sont édictées au niveau européen, transposées en France par l’intermédiaire de l’ARCEP et relayées techniquement par l’Agence Nationale des Fréquences (ANFR).
Les puces RFID émettent des ondes. Elles sont dès lors qualifiées juridiquement par l’ANFR de dispositifs d’identification rentrant dans la catégorie spécifique des appareils de faible puissance et de faible portée (AFP) ou Short Range Devices (SRD). Elles peuvent être utilisées sans licence d’utilisation mais ne bénéficient d’aucune garantie de protection. Un tableau national de répartition de fréquences (réalisé à partir de la recommandation ERC/REC/70-03 du Comité européen des radiocommunications sur les appareils à faible portée et des décisions de l’ARCEP n°02-1087 et n°02-1088) prévoit les conditions techniques d’utilisation à respecter.
Principalement, elles ne doivent pas causer de brouillage aux autres services fonctionnant à la même fréquence. Les ondes RFID ne sont utilisables que sur une bande de fréquences réservées (2446 à 2454 Mhz) et ne pourront donc être utilisées pour réaliser d’autres applications.
Le processus n’est cependant pas arrêté et l’évolution grandissante des technologies RFID ne va pas de pair avec l’étroitesse de la ressource allouée par les autorités. Une action palliative qui consisterait à utiliser la bande 865-868 MHz est ainsi en cours en vue d’aider au développement de cette technologie. Le gouvernement français a demandé au Bureau militaire national des fréquences (BMNF), et à la Direction générale des entreprises (DGE) d’engager des discussions avec l’ARCEP. L’objectif est d’évaluer les enjeux d’une nouvelle réglementation et d’assouplir la réglementation actuelle pour permettre une utilisation plus large de la ressource – l’autre enjeu étant d’autoriser des puissances d’émission relativement élevées, jusqu’à 2 Watts.

Quel va être le changement concrêt et immédiat pour les collectivités apporté par la mise en pratique de l'ordonnance du 8 Décembre 2005?

Administration électronique

Les décrets d'application prévus pour Juin 2006 qui vont "donner vie" à cette ordonnance vont engendrer des conséquences importantes pour les collectivités. L'article 5 de l'ordonnance prévoit notamment l'envoi d'un accusé de réception à tout usager qui aura demandé par courriel une information à la collectivité. Cet accusé de réception permet à l'administré d'être certain que sa demande a bien été enregistrée. La mise en place d'un accusé de réception est bien délicate pour les collectivités qui vont devoir adopter une solution technique appropriée ("un procédé conforme aux règles fixées par le référentiel général de sécurité") mais surtout une politique de conduite de changement humain (gestion organisationnelle).

Quel est le profil type du correspondant informatique et libertés?

Le correspondant peut être un responsable, un employé ou une personne externe
à l’entreprise – comme par exemple le responsable de la sécurité informatique, un informaticien, le directeur des services juridiques, un juriste, un agent du service du personnel, un consultant, un avocat. Le correspondant est une personne bénéficiant de qualifications spécifiques et variées pour exercer ses missions. Il devra maîtriser certaines compétences
techniques fondamentales, dont notamment la sécurité des systèmes d’information (SI), les bases de données (BDD), les réseaux de communications électroniques, l’usage des TIC sensibles ; il devra également avoir à son arc des cordes juridique, économique et psychologique nécessaires à cadrer juridiquement des avancées techniques appréhendées par des hommes et des femmes. Il fera donc preuve de diplomatie et de pédagogie en tant que trait d’union entre employeur et employé.
E n plus de ce tronc commun de compétences, les correspondants Informatique et libertés devront être sensibles aux spécificités sectorielles de certains traitements de données personnelles dans le secteur public, le domaine de la santé ou encore dans la filière marchande.
On peut d’ores et déjà, au vu des désignations déjà effectuées, dresser le profil type du correspondant : il est salarié, professionnel de l’informatique et de la sécurité et/ou juriste, ou plus minoritairement issu des métiers de l’audit et de la conformité.

Doit on désigner systématiquement un correspondant informatique au sein d'une collectivité territoriale?

L'obligation légale ne porte que sur l'obligation de déclarer toute base de données contenant des données personnelles à la CNIL. La désignation d’un correspondant est facultative. Le choix revient à la collectivité. Nommer un corespondant permet d’éviter d’avoir à faire les déclarations et de diffuser des informations indispensables à la bonne gestion des données personnelles.

Courriel : quelle valeur juridique ? Ce document peut-il être considéré comme une preuve ?

La réponse est simple en présence d’une lettre « papier » dans laquelle l’engagement serait assorti de la signature manuscrite de votre débiteur. La solution est plus délicate s’agissant du courrier électronique.
Deux questions se posent :
· Est-ce que la personne qui vous envoie le message est véritablement celle qui s’est engagée par le biais du document (authentification du document) ?
· Compte tenu du fait que le réseau Internet est « ouvert » à tout un chacun, est-ce que le message électronique n’a pas été intercepté et donc modifié en cours de route (intégrité du document) ?
De manière originale, l a jurisprudence nous éclaire sur ce point. Dans un arrêt rendu le 28 décembre 2001, le Conseil d’ Etat a accepté un e–mail comme preuve lors d’un litige : les juges ont considéré qu’il était possible d’identifier l’auteur de l’e-mail grâce aux autres documents papiers qu’il avait adressés à ses interlocuteurs.
Cette décision vient renforcer la jurisprudence sur les échanges électroniques : en juin 2001, le Tribunal de Grande Instance de Paris avait aussi reconnu la valeur juridique d’un e-mail. Il s’agissait cette fois- ci d’un courrier “recommandé”, envoyé sur un site qui propose ce service. Les deux décisions concernent les e-mails dits “classiques”, donc sans signature électronique.
Tous nos échanges auront-ils alors un poids juridique, comme s’il s’agissait des lettres écrites et signées ? La valeur juridique d’un e-mail dépend en fait de l’identité des interlocuteurs. Un courrier échangé entre deux commerçants, un consommateur et un professionnel ou un salarié et l’employeur n’a pas le même effet. Selon la législation, la preuve est libre devant les prud’hommes ou dans les litiges qui opposent les professionnels.
Ainsi, une entreprise a toute la liberté d’utiliser un e-mail ou un fax comme preuve lors d’un procès contre une autre société.
Lorsqu’il il s’agit de relations entre particuliers et commerçants, la législation part du principe que les réseaux télécoms ne sont pas fiables et que l’on peut facilement manipuler le contenu du message. L’e-mail n’a donc pas encore le poids d’une lettre écrite dans ces cas. Mais, quand bien même il ne constitue pas une “preuve irréfutable”, les juges peuvent le considérer comme un “commencement de preuve”. A condition de respecter les trois principes de “fiabilité” :
1 - identification claire de l’émetteur ;
2 - précision de la date ;
3 - assurance de l’intégralité du message.
Pour les messages importants ou susceptibles de faire l’objet d’un litige, il est donc conseillé d’utiliser une signature électronique.
En guise de conclusion, quelques précautions peuvent éviter les soucis.
1 - Il est conseillé de f aire apparaître explicitement le nom de l’interlocuteur dans l’adresse e -mail (ex : prénom.nom@societe.com, au lieu de contact@societe.com).
2 - Et faire attention à ce que l’on dit dans les conversations électroniques : car l’e-mail a toutes les forces de l’écrit sans en avoir l’air.

Les mentions légales des sites sont de plus en plus en longues ? Sont elles toutes obligatoires ?

Non, l’ouverture d’un site Web n’est plus soumise à déclaration préalable auprès du procureur de la république et du CSA depuis la loi du 1er Août 2000.
En contrepartie, les éditeurs de service doivent pouvoir être identifiés en mettant à disposition du public leurs coordonnées : dénomination précise (avec le nom du directeur de publication) et siège social. C’est donc la vraie seule obligation.
En plus de ces informations, il est conseillé :

• de rajouter les coordonnées de l’hébergeur ;
• de s’assurer que vous avez le droit de reproduction numérique et de diffusion des contenus du site ;
• de déclarer votre site à la CNIL (www.cnil.fr) lorsqu’il y aura un traitement de données personnelles.

Faut il déclarer à la CNIL son blog?

La CNIL dans sa délibération N°2005-285 du 22 Novembre 2005 soustrait les blogs à l'obligation de déclaration dès lors qu'ils sont mis en oeuvre par des particuliers dans le cadre d'une activité privée.
Les blogs publiés dans le cadre d'une activité professionnelle sont donc soumis à déclaration.

Quels sont réellement les droits de propriété intellectuelle du graphiste sur son travail réalisé par l'intermédiaire d'un contrat de commande?

Le graphiste détient en effet des droits de propriété intellectuelle sur ses œuvres car celles-ci sont quasi automatiquement originales (empreinte de sa personnalité) et mises en forme. Ces droits naissent sans formalité, ni dépôt du seul fait de la création et appartiennent à l’origine au créateur de l’œuvre. En principe, le graphiste est titulaire des droits même s’il a réalisé son œuvre dans le cadre d’un contrat de commande. Ces droits peuvent cependant être cédés (sauf les droits moraux qui sont les droits à paternité, divulgation et respect de l’intégrité de l’œuvre) et faire l’objet de contrats de licence.

• C’est donc le contrat de commande qui d oit préciser de manière explicite la cession des droits de propriété intellectuelle.
• Cette cession doit être écrite et préciser clairement l’étendue du droit cédé (nature, supports) ainsi que sa durée.

Donc si rien n’est écrit, rien n’est cédé.

Une collectivité peut elle faire ouvrir et enregistrer le courrier destiné à un élu ?

Non, le Conseil d’Etat reconnaît le caractère de liberté fondamentale du secret des correspondances et la liberté d’exercice du mandat des élus. L’ouverture systématique des courriers pourrait être constitutive du délit d’atteinte au secret des correspondances.

Le principe de la liberté d’accès et le droit à communication s’appliquent-ils au courrier électronique ?

Oui, les correspondances entre les administrations et les citoyens étant des documents administratifs sont donc communicables quelque soit le support utilisé pour la saisie, le stockage ou la transmission des informations qui en composent le contenu. Quelques restrictions à cette communication sont à noter : le document doit avoir été conservé, le courriel demandé ne doit pas revêtir un caractère préparatoire à une décision à venir auquel il se rattache et enfin le courriel ne doit pas porter atteinte au secret de la vie privée ou comporter des appréciations sur une personne physique nommément désignée ou facilement identifiable.