Tarification, licences, partenariats, implémentation et intégration, concurrence, fusions/acquisitions, clauses de non concurrence, droits d'auteurs, réglementation, assurances... la liste des sujets pouvant potentiellement mener à une action en justice dans le monde de l'IT est longue. À celle-ci il convient d'ajouter désormais les vols de données, ransomwares et autres attaques malveillantes et la protection des données privées.
Si ce dernier sujet était déjà sensible, il le deviendra encore plus lorsque le RGPD (Règlement Général sur la Protection des Données ou GDPR en anglais, pour General Data Protection Regulation) sera entré en vigueur, à la fin du printemps prochain. Il ne s'agit pas là d'un règlement européen, duquel on s'accommodera plus ou moins, mais d'une vraie loi contraignante et pouvant être lourde de conséquences pour les entreprises, avec à la clé des amendes d'un maximum de 4 % du chiffre d'affaires mondial annuel.
La première des questions clés à se poser pour l'entreprise concerne son niveau de maturité par rapport à la protection des données personnelles et leur gouvernance. CXP Group a publié en mai 2017 un rapport intitulé "La maturité des entreprises françaises face à la cyberconformité", issu d'une enquête menée en février dernier auprès de 265 responsables d'organisations de plus de 500 personnes ou traitant un réseau de plus de 10 000 clients (DSI, DAF, directions générales, et directions digitales).
Concernant toutes les mises en conformité (loi de programmation militaire, directive révisée concernant les services de paiement (DSP2), loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique, dite loi Sapin 2 etc.) et pas uniquement celle par rapport au RGPD, ce rapport montre que les directions générales ont pris conscience des risques et des enjeux stratégiques de la mise en conformité, mais un effort reste à faire du côté des directions fonctionnelles. Plus de 70 % des organisations ont inscrit des actions au budget 2017, essentiellement pour les phases d'étude et d'état des lieux en amont des projets qui seront plutôt inscrits au budget 2018. 34 % des répondants déclarent avoir commencé à étudier le sujet ou à évaluer les risques et 23 % déclarent avoir démarré une démarche de mise en conformité. Ils sont 14 % à avoir établi une charte de protection des données personnelles. Seul 11 % déclarent n'avoir rien entrepris et que ce n'est pas prévu. Le rapport souligne que le risque de non-conformité semble globalement sous-évalué (sauf dans les secteurs traditionnellement réglementés, comme les services financiers).
Après cette évaluation, l'entreprise devra lister les données concernées (les données personnelles représentent généralement de l'ordre de 7 à 10 % de toutes les données, sauf métier particulier) et cartographier les différents traitements qu'elle effectue à des fins commerciales, marketing ou industrielles au travers d'un audit pour évaluer le chemin restant à parcourir. La nomination d'un DPO (Data Protection Officer ou DPD – Délégué à la protection des données), qui travaille en étroite collaboration avec le RSSI (Responsable de la Sécurité du SI) et qui sera le garant de la conformité au RGPD est un passage quasi-obligé, si l'on en croit les analystes et observateurs du marché, qui s'accordent tous là-dessus.
Puis vient le temps de la définition des procédures et mesures à prendre et de leur mise en place. C'est à ce stade qu'interviennent les services juridiques, en support de la DSI pour la mise en place des procédures. Les cabinets de conseil, cabinets d'avocats spécialisé et autres spécialistes ne s'y sont pas trompés : tous proposent des journées d'information et de formation sur le sujet. Il faudra également sensibiliser les directions métiers au sujet et ses implications. Enfin, un nouvel audit sera nécessaire pour s'assurer de la validité des mesures prises, avant le passage éventuel de l'autorité de contrôle.
D'une façon plus générale, les aspects légaux et judiciaires de l'IT se développent et il faudra bien que le DSI les prenne en compte. Comme l'indiquait Max Schrems, étudiant en droit autrichien devenu célèbre pour avoir gagné un procès contre Facebook pour violation du droit de l'UE dans le domaine de la protection des données privées et le transfert de données personnelles à la NSA dans le cadre du programme PRISM, lors de son intervention à la Cloud Week Paris, "il faut s'attendre à voir émerger de plus en plus de problèmes légaux et de moins en moins de problèmes techniques".
Tribunal ? Pas forcément
Il existe des solutions alternatives aux tribunaux pour la résolution des litiges dans le secteur des nouvelles technologies. En début d'année, nous évoquions l'arbitrage dans nos colonnes et la solution proposée par la société eJust (voir Une clause pour un règlement accéléré des litiges). Le cabinet d'avocats international Pinsent Masons a récemment organisé une table ronde sur le sujet réunissant acteurs (SFR, Paypal, Fujitsu, Thales, Airbus...), conseils spécialisés (membre du cabinet d'avocats Pinsent Masons, dont Annabelle Richard, Mélina Wolman et David McIlwaine) et médiateurs (Sophie Henry, déléguée générale du CMAP (Centre de Médiation et d'Arbitrage de Paris) et Jérôme Richardot, médiateur au CMAP). Une étude internationale du cabinet, menée en partenariat avec l'université Queen Mary de Londres auprès de 343 professionnels du droit, servait de support à cette table ronde.
Il en ressort que les litiges IT les plus fréquents sont ceux concernant la propriété intellectuelle, la collaboration, les licences et les développements. Il semble aussi que l'arbitrage international soit aujourd'hui le mécanisme de règlement des conflits le plus utilisé (81 % des répondants à l'étude estiment même que le nombre de recours à l'arbitrage va croître). Malgré cela, le nombre de litiges soumis aux juges est en constante augmentation, ce qui corrobore l'affirmation de Max Schrems, même si la médiation suscite de plus en plus d'intérêt : l'intervention d'un médiateur extérieur, impartial et indépendant, est de nature à rassurer les parties.
Il apparaît que la plupart des entreprises encouragent largement le recours à la médiation, processus peu coûteux et plus rapide qu'un contentieux judiciaire, permettant d'anticiper les risques financiers. En outre, la médiation permet à chacun de sortir du litige "la tête haute" et évite une décision de justice qui pourrait être rendue publique : c'est une solution gagnant/gagnant. Il existe aujourd'hui des médiateurs de plus en plus spécialisés, ce qui n'était pas le cas il y a encore quelques années, aux débuts de l'existence de ce système.
Mais les contentieux judiciaires ont encore de beaux jours devant eux : selon l'étude, 43 % des personnes interrogées ont une préférence pour l'arbitrage et 40 % pour la médiation. Mais elles sont 44 % à toujours recourir au contentieux judiciaire, pour diverses raisons allant de l'absence de clause de médiation ou d'arbitrage à des freins purement psychologiques ou à de la résistance au changement. Et pourtant, dans le contexte actuel propice au développement de conflits dans le secteur IT, il y a un réel besoin d'anticiper les risque de manière plus prédictive.
Benoît Herr