Si l’année écoulée a été marquée par l’engouement (voire l’affolement) suscité par l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD »), le cadre posé par ce nouveau règlement ne couvre qu’une partie de la politique européenne pour encadrer le développement d’une confiance en ligne mise à jour. En effet, et comme son nom l’indique, le RGPD a une vocation générale, susceptible d’être complété par des dispositions spécifiques, notamment à certains secteurs. Peut-être trop optimiste, le RGPD prévoyait l’adoption concomitante d’une révision du cadre sectoriel de la protection des données applicable aux communication électroniques le 25 mai 2018. Un an après, et six présidences du Conseil de l’Union européenne après la soumission d’une première proposition de ce règlement « ePrivacy »[1], les débats entre les États membres de l’Union Européenne, et le lobbying des acteurs, privés comme publics, continuent de faire rage. 2019 sera-t-elle seulement la bonne année ?


(suite…)

Depuis plus d’un an, nous assistons à une génération spontanée de demandes d’acceptation à la mise en œuvre de traitement de données à caractère personnel (« Données Personnelles »). Trop nombreux sont ceux qui pensent encore qu’elles ne peuvent être traitées que sous réserve du consentement des personnes concernées.

(suite…)

Le 25 mai 2018 – il y a un an déjà, mais pourtant, il n’y a qu’un an seulement. Les deux années de préparation à l’entrée en vigueur du Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (« RGPD ») ont donné lieu à une abondance de communications sur les sanctions substantielles d’un manque de conformité, et pourtant…Force est de constater que cette préparation fut plutôt timorée. Sans doute les réminiscences d’un bug de l’an 2000 et de son « pschitt » retentissant, mais surtout l’absence de cadre réglementaire complet, ont-elles suscité une approche attentiste au regard des investissements, humains, opérationnels et financiers, conséquents d’une mise en conformité potentiellement temporaire.

Le temps de l’attente a très rapidement fait place à celui de l’action.

Action interprétative, tout d’abord, avec les publications successives de lignes directrices didactiques par le régulateur européen, les consultations ouvertes aux acteurs de la donnée à caractère personnel, et surtout, les autorités de supervisions nationales. Les premières sanctions nationales continuent de tomber dans chaque État-Membre et soulignent les disparités persistantes malgré l’ambition harmonisatrice du RGPD.

Action opérationnelle, également, avec la prise de conscience globale des responsables de traitements et, surtout des sous-traitants, à travers le monde. Si ces derniers semblent avoir opportunément saisi l’excuse du RGPD pour renégocier à leur avantage les termes de leurs contrats de services, invoquant la nécessaire mise en conformité réglementaire, face à des clients parfois peu au fait des tenants et aboutissant de ce texte, le marché dans son ensemble a rapidement gagné en maturité.

Action préventive, aussi, et parfois à l’extrême, avec la fermeture par des acteurs non-Européens des accès à des services fournis aux utilisateurs européens.

Action internationale, enfin, avec les prémices d’un effet collatéral attendu d’une réglementation européenne au périmètre extraterritorial. Le Japon a pu obtenir la première décision d’adéquation d’une législation étrangère au RGPD. La République de Corée, le Brésil, le Maroc, le Qatar, le Panama et d’autres s’activent à mettre à jour leur droit interne en raison du RGPD et de ce sésame européen qui libéraliserait les transferts de données dans une économie intrinsèquement numérique et irrémédiablement globale.

Dans le même temps, les questions continuent de s’accumuler : la portée extraterritoriale du RGPD a-t-elle une quelconque matérialité sans point d’attache pour exécuter une éventuelle sanction ? Quel partage de responsabilité entre les différents acteurs d’une même chaîne de valeur ? Les principes généraux du RGPD peuvent-ils réellement trouver à s’appliquer à des cas de marges ?

La « saga » du RGPD ne fait que commencer. Nous avons conçu ce dossier à la manière d’un feuilleton. À défaut d’être en mesure de proposer toutes les vérités absolues, nous nous sommes penchés sur les questions immuables qu’il convient de se poser.

Les Shadoks préféraient pomper d’arrache-pied, même s’il ne se passe rien, que de risquer qu’il ne se passe quelque chose de pire en ne pompant pas. Cette philosophie n’est pas sans rappeler parfois les données à caractère personnel. Pompier… bon œil ?

Première publication : Revue Lamy Droit de l’Immatériel n°160 – Juin 2019

Cité par :

Le Cabinet K&L Gates est classé « Excellent » avec E. Drouard & Claude-Etienne Armingaud.

Source : Magazine Décideurs

Si la confiance n’exclut pas le contrôle, le contrôle ne saurait non plus outrepasser certains principes essentiels aux droits des salariés et caractériser la défiance de l’employeur à l’égard de ces derniers. 

Les systèmes de géolocalisation peuvent apparaître, a priori, comme une mesure utile et nécessaire de contrôle du temps de travail, par l’employeur, de ses salariés pour vérifier le respect des dispositions légales et conventionnelles et identifier les dépassements. 

Pourtant, derrière l’intérêt certain de tels dispositifs, un régime juridique protéiforme encadre leur utilisation, comme autant de garde-fous pour la vie privée des salariés. Un arrêt de la Cour de cassation du 19 décembre 2018 (pourvoi n°17-14.631, « l’Arrêt ») , à l’encontre de la société Médiapost, filiale du Groupe La Poste, est venu préciser ces limites.

(suite…)

K&L Gates LLP traite des dossiers de droit des sociétés, de droit de la propriété intellectuelle et des nouvelles technologies, ainsi que des questions réglementaires. La pratique est placée sous la direction de Jean-Patrice Labautière, qui a conseillé la start-up américaine Axonics sur une levée de fonds de 35 millions d’euros auprès de Gilde Healthcare, et a représenté un candidat à la reprise d’une division d’un grand groupe de santé. De concert avec Claude-Etienne Armingaud, il a aussi conseillé un acteur majeur du secteur sur la mise en place d’un nouveau programme concernant des startups. Nicola Di Giovanni traite également des opérations de fusions-acquisitions et de private equity.

K&L Gates LLP dispose d’une équipe consacrée au droit des nouvelles technologies, de la propriété intellectuelle et des données personnelles. Le cabinet est également en capacité d’offrir, aux sociétés technologiques, des compétences complémentaires dans le domaine du droit commercial et du droit des sociétés. La pratique est codirigée par Claude-Etienne Armingaud et E. Drouard, dont ‘la parfait maitrise du droit, la remarquable capacité à saisir les problèmes les plus complexes et son courage’ font forte impression. Trois grandes sociétés de transports ont récemment fait appel au cabinet pour les aider dans la négociation de contrats de fourniture de réseaux WiFi installés dans des trains, des gares et des aéroports. Etienne Drouard conseille également BNP Paribas sur les aspects réglementaires et contractuels liés au développement d’une application mobile. Claude-Etienne Armingaud a lui été sollicité par un groupe de BTP pour l’assister dans le cadre du développement d’un projet de smart city. Enfin, l’équipe intervient dans les secteurs de la publicité et du marketing sur internet, et traite des dossiers portant sur des objets connectés et de distribution sur internet.


While Capitol Hill is inundated with proposed privacy legislations from the Data Breach Prevention and Compensation Act (DBPCA), the CLOUD Act and the ENCRYPT Act, organizations the world over are trying to understand how to get their own regulations deemed adequate enough to ensure the flow of business in the EU, now that GDPR is a reality.
(suite…)

A la suite de l’amende record contre Google, Claude-Etienne Armingaud revient sur la question et les enjeux majeurs de la protection des données personnelles.

(suite…)

La prégnance croissante des technologies de l’information et de la communication (« TIC ») dans l’activité des entreprises, ainsi que le rôle central de tels systèmes dans la conduite quotidienne de leurs activités, force à considérer les problématiques liées à l’exploitation des TIC de façon éclairée dans le contexte d’opérations de M&A, en particulier au cours des périodes d’audit notamment afin de préserver l’activité de la cible de manière pérenne et continue post-transaction.
En effet, l’exploitation des infrastructures IT (terminaux fixes et mobiles, logiciels & ERP, bases de données, sites Internet et applications, architecture réseau…) repose sur des piliers tant juridiques que techniques, qu’il convient d’abord d’identifier, avant de sécuriser, dans une démarche stratégique.

TIC & propriété intellectuelle

De nombreux droits de propriété intellectuelle peuvent grever tout ou partie d’un système d’information, composé à la fois d’actifs corporels et incorporels. Ainsi, le code d’un logiciel ou système d’exploitation, de même que les contenus issus de salariés ou prestataires, peuvent bénéficier le cas échéant, de protection au titre du droit d’auteur [REF]Article L112-2 du Code de la propriété intellectuelle (« CPI »)[/REF], du droit sui generis de producteur de base de données [REF]Article L112-3 CPI[/REF], ou de certains brevets [REF]Pratique rare en Europe pour le cas des logiciels, mais plus établie aux États-Unis[/REF]. En outre, la porosité entre le droit des marques et le dépôt de noms de domaine est à prendre en considération.
L’exemple du droit d’auteur grevant les créations de salariés ou prestataires est d’autant plus marquant qu’il est souvent rencontré, qu’il s’agisse de contenus visuels ou textuels ou, pour les prestataires, de code logiciels. Si ces droits n’ont pas fait l’objet d’une cession ou licence à son profit, une exploitation par la société utilisatrice de ces composantes de l’infrastructure IT constituerait une contrefaçon de droit d’auteur, générant le risque de blocages ou d’actions judiciaires de la part des titulaires des droits concernés et exposant l’acquéreur à des sanctions civiles voire même pénales.
Le cas échéant, la conclusion, préalablement à l’opération, de contrats, idéalement de cession, ou même a minima de licence, sur ces droits de propriété intellectuelle identifiés au cours de l’audit, permettra de sécuriser la continuité de l’exploitation.
Enfin, la présence en ligne des entreprises est aujourd’hui incontournable –pour l’exploitation effective de leur activité (e-commerce et services en ligne) comme pour leur communication institutionnelle (sites Internet, réseaux sociaux). L’enregistrement ou l’absence d’enregistrement de certains noms de domaine ainsi que les déclinaisons de tels noms sur les diverses extensions mondiales (GTLD) ou a minima celles couvrant les zones d’activité effective (CCTLD) peuvent s’avérer problématiques pour la sécurisation des activités en ligne, voire désastreuses dans certains cas (phishing, defacing…). La titularité effective par la cible de ces noms de domaines, s’ils n’ont pas été acquis pour son compte, par une société de services devra également être sécurisée.
Le cas échéant, il conviendra de procéder à un audit approfondi du portefeuille de noms de domaines et de sites Internet utilisés par la cible afin de confirmer la titularité et sécuriser la continuité de leur utilisation post-transaction, nonobstant les garanties spécifiques qui devront être adoptées au sein du SPA.

TIC & protection des données à caractère personnel

La numérisation des activités économiques, des transports aux services à la personne, en passant par le e-commerce et la publicité personnalisée, l’exploitation des systèmes d’information et des services qui en découlent, repose massivement sur le traitement de données à caractère personnel.
La récente entrée en application du Règlement Général sur la Protection des Données n°2016/679 du 27 avril 2016 (« RGPD ») crée un risque significativement plus élevé en cas de non respect de la règlementation applicable, avec des amendes administratives pouvant s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé de l’organisation à l’origine d’un manquement, ainsi que l’introduction des actions de groupe dans ce domaine (et dont Google, Apple, Facebook, Amazon et LinkedIn font d’ores et déjà les frais en France).
Un audit approfondi des pratiques relatives aux traitements de ces données mis en œuvre par la cible et de sa conformité globale au RGPD (information des personnes concernées, mise en œuvre des droits de ces dernières, obligation de sécurité et de confidentialité des données…) devra être réalisé afin d’éviter tout risque de sanctions de la cible, voire de l’acquéreur. Cet audit passera une étude non solum contractuelle (transferts hors UE/EEE), sed etiam opérationnelle (moyens de collecte et de traitement, mesures de sécurité appliquées aux moyens).
Naturellement, il conviendra d’apporter des réponses rapides et adaptées afin de mettre au plus vite les systèmes d’information au moyen desquels ces données sont traitées en conformité avec le RGPD (ainsi que toute règlementation qui pourrait s’appliquer aux activités de la cible).
Si le calendrier des opérations s’accorde souvent mal avec la complexité d’un tel « audit dans l’audit », il devra en tout état de cause être mené exhaustivement à bref délais afin d’assurer la mise en conformité.

TIC & contrats IT

Les pratiques de plus en plus répandues d’externalisation de fourniture et de maintenance de systèmes d’information –as a service ou on premises– conduisent à devoir considérer avec une attention particulière les éventuelles restrictions liées aux contrats conclus avec les prestataires concernés. Bien que cette problématique ne soit pas nouvelle, le contenu de tels contrats peut s’avérer bloquant pour la continuité de l’utilisation de tout ou partie de systèmes d’information à l’occasion d’opérations et jouera un rôle déterminant dans la structuration de l’opération concernée.
De tels contrats de service peuvent, classiquement, inclure des clauses de changement de contrôle prohibant ou limitation la circulation des obligations ou du contrat lui-même. De telles clauses peuvent donc impacter de façon significative la continuité de l’exploitation de tout ou partie du système d’information considéré, alors même que sa criticité (ERP, système de téléphonie, architecture réseau…) peut nécessiter des niveaux de service impératifs.
En outre, la renégociation de contrats IT qui arriveraient à leur terme au cours ou peu après la fin de la période d’audit, devra être considérée avec attention, au regard des délais de négociation et des montants, souvent conséquents, qui leur sont liés.
Il conviendra de s’assurer, notamment au travers des reps&warranties, de la continuité de ces contrats, voire de l’information/consentement des prestataires concernés.

Valorisation du système d’information

En termes comptables, les systèmes d’information, constitués à la fois d’actifs corporels et incorporels, sont valorisés suivant des normes comptables internationales différentes (US GAAP, IFRS) qui nécessitent une attention particulière.
Tandis que les technologies évoluent rapidement, rendant obsolètes certains éléments-clés, il convient de se pencher sur la juste valorisation de ces actifs, en particulier au regard de leur rôle stratégique (ou non) dans la conduite effective des activités de la cible. Cette approche d’évaluations tant individuelle que globale de l’ensemble des actifs composant le système d’information sera déterminante au regard du principe d’allocation du prix d’acquisition, en particulier pour déterminer la durée de vie résiduelle et l’incidence de tels actifs sur les résultats futurs de la cible, afin de rationaliser autant que possible le prix d’acquisition.
En conclusion, il convient de mener une étude exhaustive des systèmes d’information exploités par une cible, aux fins de valoriser au mieux leur importance et de prévenir tout éventuel blocage dans la continuité de leur exploitation. A cet égard, et au regard tant de la complexité et de l’hétérogénéité des problématiques, que des calendriers de plus en plus contraints pour mener ces opérations, une implication directe et simultanée des équipes corporate et IT (tant juridiques qu’opérationnelles) est aujourd’hui une nécessité. 

Première publication: Fusions & Acquisitions Magazine, avec Alexandre Balducci