+33 (0)4 42 70 07 03

Retour à la liste

PINT Avocats Newsletter Octobre 2021: contrats, propriété intellectuelle et cybersécurité

Newsletter PINT Avocats 

Octobre 2021

Cybersécurité et piratage informatique (ici), contrefaçon de logiciel (ici), réforme de la garantie légale de conformité pour les contenus numériques (ici), accords de confidentialité (ici) ….

Que d’actualités ce mois-ci dans la PINT sphère !

 

              Cybersécurité : à l’occasion du mois de la cybersécurité, la participation de notre partenaire Cyberwings dans notre newsletter

 

 

Connaissez-vous la startup française Spliiit ? Créée en 2019, cette pépite tricolore organise le partage de compte entre inconnus à de nombreux services comme Netflix, Amazon Prime ou encore des VPN.

Connaissant un franc succès jusqu'à présent, elle a cependant fait l'objet d'une cyberattaque opportuniste aux conséquences notoires, en juillet 2021 !

Voici un bref retour sur les évènements...

Exploitant les failles -connues- de l'outil de construction de l'appli web de Spliiit, un cyber-attaquant (surnommé Slvsher) aux motivations financières et aux moyens techniques très limités a pu récupérer une base de 200.000 comptes utilisateurs, ainsi que leurs coordonnées personnelles et numériques. A la suite de cette première percée, le hacker a réalisé une campagne de phishing imitant l'identité visuelle de Spliiit, demandant tout simplement aux utilisateurs de mettre à jour leurs coordonnées bancaires dans une fenêtre pop-up, afin de débloquer le service de la plateforme.

Au-delà des répercussions sur les utilisateurs (récupération de plusieurs milliers de numéros de cartes de crédit, et de couples login/mots de passes susceptibles d'être réexploités par la suite), cette attaque a causé des dommages considérables à l'entreprise Spliiit elle-même, qui peine aujourd'hui à se relever. En effet, si le coût des actions post-attaque (sécurisation de l'appli web, actions de communication, procédures de gestion de crise, accompagnement juridique et déclarations auprès de la CNIL, analyse forensique, sensibilisation, etc.) est conséquent et difficile à supporter pour une petite structure aux ressources limitées, le coût de cette attaque en termes de dégradation de l'image et de déficit de confiance généré chez ses utilisateurs, est quant à lui inestimable...

Cette attaque d'opportunité, non ciblée, et exploitant les vulnérabilités et faiblesses d'une entreprise non sensibilisée et non acculturée aux enjeux de cybersécurité n'est qu'un exemple parmi d'autres, mais illustre de façon pertinente la nécessité, pour les petites structures, de combler un déficit de sécurité de l'information, dans ses aspects techniques et organisationnels.

 

 

 

Le Cybermois, organisé tous les ans en octobre par l’ANSSI, est l’occasion de vous rappeler les bonnes pratiques de cybersécurité, ainsi que l’importance de protéger les données que vous manipulez.

Parmi ces bonnes pratiques, la réalisation de Cyber-tests et Cyber-diagnostics à intervalles réguliers est une excellente manière d’évaluer le niveau de sécurité de votre système d’informations de façon très pragmatique, ainsi que d’identifier les axes d’amélioration à suivre.

Dans un contexte géopolitique et socio-économique particulièrement favorable aux cyber-criminels, les TPE, PME et startups françaises, à l'image de Spliiit, sont des cibles de choix. Au cœur de l’innovation, et manquant souvent de ressources pour prévenir les cyber-attaques et réagir avec efficacité, il est nécessaire pour elles de se saisir des enjeux de cybersécurité, dans une démarche d’anticipation et d’amélioration continue. Idéalement, celle-ci doit se décliner sur les plans technique, juridique, organisationnel et humain.

En outre, la réglementation en vigueur, à l’instar de l’article 32 du RGPD, impose aux entreprises manipulant des données à caractère personnel, d’élever leur niveau de maturité cyber.

A retenir :  Afin de vous aider à répondre à ces défis et contraintes, des subventions de la CCI de votre département sont disponibles, à hauteur de 9.000€, pour financer des prestations externes de Diagnostics et Test Cyber. Notre partenaire le cabinet CYBER WINGS peut vous accompagner dans cette démarche, depuis l’analyse d’éligibilité jusqu’à l’élaboration du dossier de candidature.

On en parle ?

 

      Contrefaçon de logiciel : une condamnation à près de 3 millions d’euros prononcée par le Tribunal judiciaire de Marseille

 

Cette affaire jugée le 23 septembre 2021 opposait la société GENERIX (anciennement INFOLOG), qui a développé un progiciel de gestion d’entrepôts (WMS INFOLOG) à son ancien responsable du support.

Lorsqu’il a quitté la société, cet ancien salarié a créé la société, ACSEP, qui est devenue prestataire et apporteur d’affaires pour GENERIX.

Au fil des années, GENERIX s’est aperçue que plusieurs clients étaient partis au bénéfice d’ACSEP et que celle-ci détenait les codes sources – confidentiels - de son logiciel. GENERIX en a fait réaliser un constat par un huissier assisté d’un expert informatique.

  • Des dépôts à l’APP et un rapport d’analyse technique

Pour obtenir la condamnation d’ACSEP et son dirigeant, GENERIX a d’abord démontré l’étendue de ses droits sur le logiciel en produisant les codes sources tels que déposés à l’APP et certificats associés.

Elle a également démontré l’originalité du logiciel en détaillant ses caractéristiques originales spécifiques (structure, mode d’utilisation, choix pour les réservations de stocks, choix d’une forte interopérabilité etc.)

Selon le Tribunal, elle a démontré la contrefaçon par la production d’échanges d’emails entre d’anciens salariés démontrant, avec l’appui d’un rapport d’analyse technique, que la société ACSEP était en possession des codes sources des programmes en cause alors qu’elle n’avait aucun droit de les reproduire ni de les utiliser, donc n’avait pas le droit d’accéder aux codes sources.

  • La démonstration du préjudice

Pour démontrer son préjudice, la société a produit des lettres de résiliation de ses clients, survenues en même temps que les faits de contrefaçon, et des factures pour les périodes antérieures.

Le montant des dommages et intérêts a été calculé sur la base du chiffre d’affaires antérieur et application d’un taux de marge (100 % pour les ventes de licences, 75 % pour les activités de téléassistance et 30 % pour les activités de service), ce qui aboutit à une perte estimée à 2.054.806, 06 €.

Le Tribunal a également pris en compte la valeur comptable de la recherche et développement du progiciel WMS, valorisée à 814.000 € à la date d’acquisition de la société INFOLOG par GENERIX, ce qui équivaut pour le Tribunal au montant des économies réalisées par le contrefacteur.

Enfin, le Tribunal a ajouté à ces montants :

  • le prix d’une licence (30.000 €) correspondant à l’installation du logiciel par l’ancien salarié dans un entrepôt indépendamment d’ACSEP
  • une somme de 50.000 € au titre du préjudice moral (dévalorisation du savoir-faire de la société GENERIX et la banalisation de son œuvre)
  • 30.000 € au titre de la concurrence déloyale pour la réutilisation des supports de formation et le débauchage massif d’au moins neuf salariés (sur la base des profils LinkedIn des salariés en question)
  • l’obligation de cesser toute reproduction / utilisation des codes sources et d’en justifier auprès de GENERIX,  sous astreinte de 1.000 €
  • 20.000 € de frais de procédure

Toutefois, le Tribunal n’a pas prononcé l’exécution provisoire, ce qui signifie qu’en cas d’appel le paiement des condamnations ne sera pas dû dans l’attente de la décision de la Cour d’appel.

A retenir :  Cette décision rappelle la nécessité de disposer de preuves solides en cas de litige, pour démontrer la titularité des droits sur le logiciel (via notamment des dépôts à l’APP), son originalité, la reprise des codes sources (via notamment des constats d’huissier et une analyse technique) et le montant du préjudice avec des éléments chiffrés.

Mots-clés : Propriété intellectuelle – Logiciel – APP - Contrefaçon

Source : https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-marseille-jugement-du-23-septembre-2021/

 

     Ordonnance du 29 septembre 2021 : la garantie légale de conformité pour les biens, les contenus numériques et les services numériques.

L’ordonnance relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques du 29 septembre modifie plusieurs dispositions du Code de la consommation afin de transposer les directives de l’Union européenne.

Le Code de la consommation est augmenté de nouvelles définitions portant sur des notions désormais courantes : le producteur, les biens comportant des éléments numériques, le contenu numérique, le service numérique, le support durable, la fonctionnalité, la compatibilité, l’interopérabilité, la durabilité et les données à caractère personnel.

La garantie légale de conformité, qui peut être définie comme étant une garantie contre tous les défauts de fabrication lors de l'achat ou de la livraison d'un produit, couvre donc désormais également les produits numériques tels que les abonnements à une chaîne numérique ou l’achat d’un jeu vidéo en ligne et les relations contractuelles des consommateurs avec les opérateurs de réseaux sociaux.

Cette garantie est par ailleurs distinguée dans deux sections : la garantie légale de conformité pour la vente de biens et pour la fourniture des contenus et services numériques. L’ensemble de ces dispositions est d’ordre public de sorte qu’il n’est pas possible de les écarter contractuellement. L’ordonnance prévoit à ce titre des sanctions civiles et des sanctions administratives en cas de non-respect outre des mesures de publicité qui peuvent être prononcées par les juridictions.

Par ailleurs, l’ordonnance précise que la garantie légale de conformité est applicable à tous contrats à titre onéreux, y compris ceux pour lesquels le professionnel reçoit un avantage, au lieu / ou en complément d’un prix (par exemple lorsqu’il procède à la valorisation des données à caractère personnel collectées auprès d’un consommateur usager d’un réseau social).

S’agissant de la mise en œuvre de la garantie, l’article L 217-4 précise la notion de conformité du produit en faisant référence à la conformité au contrat et en donnant des critères de conformité objectifs légitimement attendus du consommateur pour ce type de bien ou de contenu ou service numérique : l’usage habituellement attendu du bien de même type, conformité à un échantillon ou à un modèle, la durabilité du bien.

En cas de défaut de conformité, les recours du consommateur sont les mêmes que pour les produits « classiques » : la réparation ou le remplacement du bien sans frais est la solution de principe dans un délai maximum de 30 jours, la réduction du prix, la résolution du contrat.

La durée de la garantie est précisée s’agissant des éléments numériques afin de tenir compte de leur spécificité :

  • Le délai est de 2 ans à partir de la fourniture : quand le service est fourni de manière continue, le professionnel est tenu des défauts apparaissant au cours de la période de fourniture (abonnement à un cloud, à un service de radio en streaming) et a présomption d’antériorité est d’une année à compter de la fourniture du service ;
  • Le délai est de 2 ans pour les contenus et services numériques acquis par une opération de fourniture unique (téléchargement d’un fichier, achat d’un DVD) et la présomption d’antériorité du défaut est d’un an.

Autre apport, la garantie légale de conformité est applicable aux contrats conclus entre professionnels et consommateurs mais aussi entre professionnels et non professionnels.

Les biens vendus par autorité de justice et enchères publiques et les contrats de vente d’animaux demeurent exclus de la garantie légale de conformité tout comme, s’agissant des éléments numériques, les services tels que les jeux d’argent et de hasard, les services financiers ou les documents administratifs.

Enfin, pour les éléments numériques, l’article L224-25-24 définit ce qu’on entend par mise à jour : les mises à jour ou les modifications visant à maintenir, adapter ou faire évoluer les fonctionnalités du contenu numérique ou du service numérique, y compris les mises à jour de sécurité, que ces mises à jour soient nécessaires ou non au maintien de la conformité du contenu ou service numérique. Le consommateur disposant d’un droit à être informé par le professionnel des mises à jour nécessaires au maintien de la conformité du contenu numérique, de l’encadrement des éventuelles modifications du contenu ou service numérique intervenant après la conclusion du contrat, ou encore du droit pour le consommateur de récupérer les contenus utilisés en cas de résolution du contrat.

A retenir :  Les nouvelles règles concernant la garantie légale de conformité s’appliqueront aux contrats conclus à partir du 1er janvier 2022 ainsi qu’aux contenus et services numériques fournis à compter de cette date et doivent être anticipées dans vos contrats et conditions générales de vente.

Source : Rapport au Président de la République relatif à l'ordonnance n° 2021-1247 du 29 septembre 2021 relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques - Légifrance (legifrance.gouv.fr)

 

      Accord de confidentialité : Identifier les informations confidentielles protégées

Avant d’entamer des discussions avec des tiers, qu’il s’agisse de potentiels partenaires commerciaux, associés, investisseurs ou recrues et de livrer des informations et données sensibles ou stratégiques relatives à l’entreprise ou l’activité, de nature commerciale, industrielle, comptable, juridique ou autre, il est recommandé de signer un accord de confidentialité (ou « NDA » pour non-disclosure agreement).

L’accord de confidentialité est un document essentiel qui permet à l’entreprise de se protéger contre les risques de concurrence déloyale. L’accord interdit aux parties de divulguer et d’utiliser les informations transmises pour leur propre compte ou pour le compte d’un tiers. Il s’agit donc d’un moyen d’interdire aux partenaires potentiels de tirer un avantage concurrentiel de ces informations. Par ailleurs, l’accord offre une protection supplémentaire à l’entreprise pour les informations qui ne bénéficient pas d’un titre publié, telles que les droits d’auteur, secret de fabrication ; etc. Ainsi, des informations générales, présentant un intérêt pour l’entreprise bénéficieront d’une protection.

L’accord de confidentialité est un contrat. Ce contrat fait « la loi des parties ».  Aux termes de ce contrat, les parties s’engagent à conserver la confidentialité d’un certain nombre d’informations dont la teneur est définie par le contrat.

Ce contrat est parfois négligé par les parties. Soit parce qu’il représenterait une forme de défiance à l’endroit d’un partenaire potentiel, soit parce que ce document, usuel et banal, ne suscite plus l’attention qu’il mérite.

Or précisément, le propriétaire d’une information confidentielle est le meilleur artisan de la valeur qu’il lui donne. Ne pas signer d’accord de confidentialité, c’est accréditer l’idée chez le partenaire que la technologie, l’activité, le projet etc…. n’a pas de valeur.

Par ailleurs, une vigilance particulière doit être accordée à sa rédaction, précisément parce que ce contrat sera le seul document de référence en cas d’échec des discussions entre les parties.

Non seulement, il faut veiller à une rédaction protectrice des intérêts de la partie qui divulgue les informations les plus sensibles, mais encore faut-il adopter, tout au long de l’exécution du contrat, les bonnes pratiques.

C’est ce que rappelle le Tribunal judiciaire de Marseille dans un jugement du 30 septembre 2021 opposant un de nos clients à un ancien partenaire que nous avons assigné en contrefaçon et violation de l’engagement de confidentialité.

Si le Tribunal a suivi sur le terrain de la contrefaçon et a condamné le défendeur à ce titre, en revanche il n’a pas retenu le grief de violation de l’accord de confidentialité en estimant que n’était pas rapportée la preuve de l’utilisation précise de telle ou telle information spécifiquement identifiée comme « confidentielle » en dehors des discussions.

De ce jugement, on peut tirer les enseignements selon lesquels il est important :

  • d’une part, d’expliciter l’objet des discussions dans le corps du contrat et de ne pas user de formules génériques du type « tout ce qui est échangé entre parties est confidentiel », qui n’ont pas de valeur car le juge ne peut se substituer aux parties pour statuer sur ce qui est confidentiel et ce qui ne l’est pas.
  • d’autre part, de viser les documents confidentiels soit lors de la signature (annexes), soit tout au long de son exécution en marquant de manière adéquate les documents confidentiels et en rappelant, lors des échanges entre les parties ou dans des comptes-rendus, le caractère confidentiel des informations communiquées.

A retenir :  Pour engager la responsabilité contractuelle de son cocontractant pour violation d’un accord de confidentialité, il est nécessaire de i) prouver le caractère confidentiel de l’information confidentielle dont on estime qu’elle a été intempestivement divulguée et ii) de démontrer l’usage de cette information confidentielle en dehors des cas déterminés dans le contrat.

Mots-clés : Accord de confidentialité – Information confidentielle – Violation – Preuve 

Source : Jugement TJ Marseille 30 septembre 2021.