Quand compétence et réactivité riment avec polyvalence et créativité !

Problématique récente du Cloud Computing

L’offre technique de « Cloud Computing » (traduite de manière pas très heureuse par « informatique en nuage », expression qui finira par s’imposer avec le temps) est celle par laquelle une entreprise de services informatiques offre à un client les moyens techniques d’utiliser, de créer et de stocker sur un site virtuel et externalisé mais néanmoins accessible depuis n’importe quel point de la planète par cryptage personnalisé, des données personnelles informatisées tout en utilisant des moyens logiciels mis à sa disposition par l’entreprise de services et dont l’obligation d’entretien incombe à cette dernière. La technique de « Cloud Computing » implique donc nécessairement une externalisation du service ainsi qu’une incertitude en ce qui concerne l’emplacement et le fonctionnement exacts de ce service.

Cette offre technique qui est généralement rendue disponible sous forme d’un contrat ou d’un engagement dit SAAS (« software as a service »), par référence à son origine anglo-saxonne qui en a imposé aussi bien le sigle que l’appellation, est relativement récente et n’a donc pas encore donné lieu en France à un contentieux fourni.

Les trois problèmes les plus fréquemment rencontrés dans ce type de contrats peuvent être résumés comme suit :

la récupération des données en cas de non-renouvellement du contrat, l’interruption de services et la problématique de gestion des risques au niveau des assurances : il est indéniable qu’en acceptant une délocalisation virtuelle de ses données l’entreprise cliente accepte une perte de contrôle plus ou moins étendue ou assumée sur le processus complet de création, de saisie, de transmission, de gestion, d’exploitation, de récupération et de destruction définitive des données.
la compétence juridictionnelle : à cet égard, la différence des systèmes juridiques auxquelles sont soumises les parties à une relation contractuelle transnationale faisait souvent obstacle à un accord négocié de gré à gré sur une tierce compétence considérée comme neutre du point de vue de chacune des parties. La virtualité de la plateforme devrait permettre aux parties d’aboutir plus facilement à de tels accords portant par exemple sur une soumission des litiges à un tribunal arbitral.
la sécurité des données et la conformité à la réglementation en vigueur : cet aspect des relations contractuelles pose la question de la licéité du transfert des données personnelles à la lueur de la loi du 6 août 2004, qui a profondément remodelé la loi dite « Informatique et Libertés » et plus particulièrement son article 68. Nous aborderons plus loin cette question de manière plus détaillée.

Une ordonnance récemment promulguée en date du 24 août 2011 et visant à transposer la Directive européenne du 25 novembre 2009 renforce les obligations de notification mises à la charge des opérateurs lorsque des violations portant atteinte à la protection de la vie privée des utilisateurs ont été commises. Cette ordonnance s’applique à toute infraction de « piratage » et s’applique donc aux données professionnelles de clients PME ou « grands comptes » liés par un contrat de prestations de services « cloud computing » avec une entreprise de services informatiques.

Cependant, ces obligations se rapportent exclusivement à la notification de la violation qui doit être faite à la CNIL et, même si ces violations peuvent être sanctionnées pénalement dont une amende qui peut atteindre une somme de 300.000 euros, une gamme entière de mesures moindres peut être égrenée avant d’arriver à des sanctions aussi extrêmes, pour des manquements ayant trait à une interruption de services ou à une incapacité à récupérer les données, et non seulement en raison de violations de la vie privée et de données à caractère personnel, qui restent l’apanage de l’ordonnance du 24 août 2011.

En ce qui concerne la licéité d’un transfert des données personnelles, l’article 68 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° du 6 août 2004 prévoit que celui-ci ne peut être effectué vers « un Etat n'appartenant pas à la Communauté européenne que si cet Etat assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet ». L’adéquation de ce niveau de protection est mesurée à la lueur « des dispositions en vigueur dans cet Etat, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées ».

La CNIL, saisie par le biais d’une déclaration telle que prévue à l’article 23 de la loi, peut alors enjoindre le transfert des données après information de la Commission des communautés européennes. Une éventuelle violation de ces dispositions serait sanctionnée pénalement.

Un aspect intéressant de ce contrat transfert des données hors de France concerne la sous-traitance par le prestataire étranger des données qui lui ont été remises par l’ « exportateur » français de ces données. Dans ce cas, la protection des données et la conformité à la réglementation en vigueur peuvent être assurées par un recours à des clauses-types agréées par la Commission européenne. Une autre solution, pour les multinationales confrontées au besoin de transférer de telles données à des filiales situées dans des Etats étrangers dont le niveau de protection n’est pas adéquat, consiste à recourir à des règles de conduite internes et contraignantes (« binding corporate rules ») répondant aux exigences européennes et dont elles pourraient démontrer la mise en vigueur effective en cas de nécessité.

Refus d'immatriculation d'une SAS

Refus d'immatriculation d'une SAS

Une SAS en voie de constitution dépose un dossier complet d’immatriculation auprès du Greffe du Registre du Commerce et des Sociétés pour s’acquitter de la formalité de sa propre inscription.

Le dossier comprend toutes les pièces requises en conformité avec la loi, y compris l’original des statuts de la SAS en double exemplaire. Ces statuts précisent expressément et sans aucune ambiguïté, concernant l’administration de la société, qu’un directeur général est nommément « désigné en tant qu’organe de gestion aux côtés du Président pour assister ce dernier dans la gestion de la société et exercer les attributions en conformité avec l’article L227-6 du Code de Commerce ».

Les statuts – ainsi que le formulaire MO joint au dossier d’immatriculation de la SAS – fixent le siège social de la société au domicile du directeur général de la SAS ainsi désigné nommément dans les statuts.

Le Greffe du Tribunal refuse la demande d’immatriculation au motif que « le siège social ne peut être domicilié dans un local d’habitation autre que celui du Président ».

Ce refus – signifié en l’occurrence par le Greffe du tribunal de commerce de PARIS – est fort contestable car il n’est fondé sur aucun texte actuel et reste le fruit de vieux automatismes, pour ne pas dire d’une paresse intellectuelle, découlant d’une position fondée sur l’ancienne jurisprudence de la Cour de cassation du 2 juillet 2002 et de l’ancien texte de l’article L227-6 du Code de Commerce, antérieur à la loi du 2 août 2003.  

Or, depuis la loi du 2 août 2003 et depuis la toute récente jurisprudence de la Cour de cassation du 19 novembre 2010, il est définitivement établi que le directeur général désigné est un représentant légal de la SAS, soumis et désigné conformément aux dispositions de l’article L227-6 du Code de Commerce.

En effet, l’arrêt rendu le 19 novembre 2010 par la Chambre mixte de la Cour de cassation indique très clairement dans ses attendus ce qui suit :

« Si, selon le premier de ces textes [l’article L.227-6 du Code de commerce], la société par actions simplifiée est représentée à l’égard des tiers par son président et, si ces statuts le prévoient, par un directeur général ou un directeur général délégué dont la nomination est soumise à publicité, cette règle n’exclut pas la possibilité, pour ces représentants légaux, de déléguer le pouvoir… ».

Or, dans le cas d’espèce, il était absolument incontestable que le siège social de la SAS tel que fixé dans les statuts était bien celui du domicile du directeur général de la société, nommément désigné à l’article 16 des statuts.

Par ailleurs, l’article L123-11-1 du Code de Commerce (issu de la loi du 2 août 2005) dispose uniquement que toute personne morale est autorisée à installer son siège social au domicile de son « représentant légal ».

De même, il n’existe pas d’autre texte légal qui exige formellement et impérativement que le siège social soit exclusivement situé, en cas de domiciliation dans le local d’habitation, au domicile du « Président » de la SAS. D’ailleurs, le site des Greffes des tribunaux de commerce (« INFOGREFFE ») indique très clairement dans la description des démarches nécessaires à l’immatriculation de la SAS que « à sa création, la société peut être domiciliée dans le local d’habitation de son représentant légal ».

Il est vrai que la société en voie de formation qui demande au Greffe son immatriculation peut contester le refus du Greffe par le biais d’une requête motivée qui doit être déposée, dans un délai de quinze (15) jours à compter de la date de la signification du refus, auprès du juge commis à la surveillance du registre du commerce et des sociétés dans le ressort du tribunal compétent.

Mais il faut admettre qu’une telle requête a très peu de chances d’aboutir dès lors que le tribunal est à la fois juge et partie et que le tribunal ne risque pas de se dissocier de la position adoptée par le greffe sur un point de droit à propos duquel on n’aura pas encore pris le temps d’enfoncer le clou de manière répétée et officielle.

D’autant plus que la SAS ayant essuyé du greffe un refus d’immatriculation sera bien plus inspirée de redéposer son dossier, pour une poignée d’euros de plus qui s’ajouteront à ses frais d’immatriculation, en modifiant son siège social et y substituer l’adresse du domicile du Président de la SAS à celui du directeur général qui figurait dans le dossier refusé.

Une telle opération aura le mérite d’aboutir même si elle reste beaucoup moins exaltante sur un plan strictement intellectuel et pédagogique.

Il est peut-être encore trop tôt depuis la réforme du 2 août 2003 – et surtout depuis la toute récente jurisprudence du 19 novembre 2010 – pour espérer bousculer la routine bureaucratique bien installée par les greffes sur ce point très particulier et très pratique de l’immatriculation des sociétés par actions.




10 novembre 2011
Maître Rachid SAFA
Avocat à la Cour

Protection des données personnelles et tyrannie des réseaux sociaux

Lorsqu’un internaute crée son profil sur un réseau social tel que Facebook, LinkedIn ou Viadeo, il accorde à celui-ci, en acceptant ses conditions générales, une licence irrévocable d’utilisation portant sur n’importe quel contenu déposé sur le site du réseau social dont il devient membre.

Certains de ces réseaux sociaux ont même tenté au cours de leur développement d’imposer aux internautes une licence d’utilisation perpétuelle nonobstant la désinscription de l’internaute sur le site du réseau social, voire même une cession définitive par ce dernier de ses droits de propriété intellectuelle portant sur ces contenus.

Pour le moment, ce genre de mesures unilatérales et clairement abusives ne semble pas pouvoir prospérer eu égard au poids non négligeable que la communauté informelle d’internautes aura réussi à acquérir dans sa résistance face aux pratiques abusives des mastodontes de l’internet. En revanche, il est important de noter que même la désinscription de l’internaute sur le site du réseau social concerné n’entraîne pas automatiquement la suppression définitive de données et de fichiers personnels, dès lors qu’ils ont été partagés avec d’autres internautes qui restent membres de ce même réseau social. Les conditions générales d’utilisation de la plupart des réseaux sociaux contiennent d’ailleurs une clause faisant expressément état de cette réserve.

Le partage des droits qui se rattachent aux données personnelles reflète une dichotomie, voire même une inégalité croissante entre, d’une part, un espace privé condamné à être réduit à une peau de chagrin et, d’autre part, une sphère publique du web dont la mission de phagocytage est inscrite dans son ADN propre.

Cette problématique ne date pas d’hier et se trouve même à la conjonction de notions juridiques antinomiques qui viennent se télescoper dans une zone d’ébullition qui a eu le mérite de pousser à une réflexion et une concertation active dans ce domaine afin d’aboutir à des solutions concrètes et efficaces.

Ces notions concernent par exemple l’étendue du droit à l’oubli face au devoir de mémoire, ou encore l’obligation de confidentialité face à la dynamique de l’innovation.

C’est pour résoudre une telle problématique que la proposition de Règlement relatif à la protection des personnes physiques à l’égard du traitement des données personnelles vient d’être élaborée par le Parlement européen et rendue disponible le 25 janvier 2012. Celle-ci tente de colmater définitivement plusieurs « brèches » juridiques élargies au fil du temps par l’expansion du web et la multiplication des internautes, en prévoyant par exemple et pour ne citer que ceux-ci, un droit à l’oubli numérique et l’effacement (article 17), un droit à la portabilité des données (article 18) et un droit d’opposition de l’internaute (article 19).

L’approche globale de lu Règlement ne peut qu’être applaudie, de même que l’initiative prise par la communauté européenne à l’égard de cette problématique dans son ensemble. De sérieuses réserves doivent être néanmoins formulées au sujet de l’ambiguïté inutilement maintenue dans le texte de la proposition, concernant d’abord la définition exacte « d’une mission effectuée dans l’intérêt général », telle que formulée aux articles 6 et 9 de la proposition de Règlement et concernant ensuite la notion exacte de « sauvegarde des intérêts vitaux », ou encore « légitimes de la personne concernée » de ces mêmes articles 6 ou 9. L’ambiguïté de ces notions qui ont été omises de la liste des définitions de l’article 4 et qui, par conséquent, restent assez floues, risque de porter atteinte à l’efficacité de la mise en œuvre de la proposition de Règlement et il est fort à parier qu’une intervention des juridictions locales sera alors indispensable pour venir préciser les contours de ces deux notions.

© 2012-2019 Safa avocats Contact