L’objectif est de pouvoir comparer les services proposés par les Directions des Systèmes d’Information au travers d’une centaine de questions, sur les axes structurants suivants : Catalogue, Mesure, Engagement, Qualité de service, Organisation, Urbanisation, Communication, Sourcing, Cycle de vie et Réglementation.

Les entreprises peuvent  participer jusqu’au 30 juin 2010. Elles bénéficieront alors du rapport de synthèse de l’étude distribué au moment de la conférence-débat. Une dizaine de grandes entreprises ont déjà répondu au questionnaire (Banque Assurance, Transport, Industrie, Secteur Public)

L’étude prévoit de rassembler plus d’une centaine d’entreprises.
Les participants seront cordialement invités à la conférence-débat au cours de laquelle seront commentés les résultats complets de cette étude. Elle aura lieu le mardi 21 septembre 2010 à l’auditorium de la SACEM, à Neuilly/seine.

1. jugement MAIF contre IBM : condamnation à verser 11 millions d’euros (TGI NIORT 14/12/2009)

Une décision qui a fait grand bruit ces dernières semaines : la condamnation d’IBM à près de 11 millions d’euros, dont plus de 9 millions à titre de dommages intérêts. Outre le montant intrinsèque de la condamnation, la raison de l’émoi créé par cette décision tient à son fondement juridique : le dol.

Le dol est une notion juridique qui recouvre un ensemble d’agissements trompeurs déployés en vue de capter le consentement d’une partie à un contrat, consentement qu’elle n’aurait pas donné, si ces manœuvres n’avaient pas été mises en œuvre. De manière schématique, le dol s’entend de la volonté de tromper son cocontractant. Le dol est donc sanctionné par la nullité du contrat qui a été souscrit sur la base des manouvres dolosives qui ont entouré sa conclusion.

Les faits étaient les suivants :

La MAIF, souhaitant refondre son système de CRM, a retenu le progiciel SIEBEL et lancé un appel d’offres en vue de sélectionner un intégrateur. IBM est retenue.

IBM effectue en mai 2004 une étude (243 jours pour un montant de 212 000 € HT), en vue de poursuivre l’analyse des besoins et de l’environnement de la Maif. A la suite de cette analyse un contrat d’intégration est conclu (décembre 2004) par lequel IBM se voit confier, en qualité de maître d’œuvre, la conception et la réalisation de la solution, le pilotage, la coordination de l’ensemble des prestations visées au contrat, l’intégration, la reprise des données et de l’assistance à la recette. A ce titre et ainsi que l’a relevé le tribunal, « IBM s’engageait à fournir, sur la base d’une obligation de résultat (article 29.1 et 3), une solution intégrée conforme au périmètre fonctionnel et technique convenu entre les parties le (article 29), en respectant un calendrier impératif prévu (article 6) et pour le prix forfaitaire ferme et définitif de 7 302 822 € HT (article 22 et annexe 4). »

Par la suite des délais s’accumulent et des avenants de majoration de prix sont régularisés sans que le projet n’avance véritablement ; IBM finissant par conclure en novembre 2005 à la non faisabilité technique du projet dans les conditions initiales.

Fin mars 2006 IBM annonce  un délai des délais  supplémentaires et un budget supplémentaire de 5 000 000 €, portant ainsi le forfait total à 15 000 000 €.

Cette offre est refusée par la Maif en juin 2006, et met fin aux relations contractuelles.

La Maif demande la nullité du contrat pour dol, et, subsidiairement, sur l’inexécution lourdement fautive du contrat par IBM, tenant en échec la clause limitative des responsabilités.

Le tribunal fait droit à cette demande par deux attendus qui font la part belle aux stipulations contractuelles et à la qualité de professionnel d’IBM :

 « En dépit des assurances contenues dans la réponse à l‘appel d’offres concernant son expérience et sa compétence, au delà d’un contrat d’étude qu’elle avait mené, au moyen de 243 jours/homme et pour le prix de 212 000 € HT, à fin de parfaire l’analyse des besoins de la Maif et de la définition de la solution cible, et à la suite d’un préambule rappelant le caractère déterminant de ces assurances pour le maître de l’ouvrage (préambule, article 6 : l’intégrateur a expressément affirmé « disposer de l’expérience, de l’organisation, des moyens matériel et humains, des compétences nécessaires pour mener à bien la réalisation de l’intégration, avoir disposé de l’ensemble des informations utiles pour prendre la mesure de ses engagements »), IBM a présenté à la Maif un projet affecté d’une « lacune majeure » pour, en violation « aux normes et aux règles de l’art », contenir un planning et un prix forfaitaire arrêtés avant même le stade de la prise en compte de la conception détaillée, prenant ce de fait « un risque fort pour répondre à la demande de la Maif”, c’est à dire obtenir le marché.

En gardant le silence sur le risque « fort », « élevé », encouru quant à la satisfaction de conditions définies au contrat comme déterminantes (forfait, planning), et généré de son fait par la violation des normes et des règles de l’art, – risque qu’en sa qualité de professionnel hautement qualifié il ne pouvait ignorer, et dont, au demeurant il n’a jamais prétendu l’avoir méconnu, …. – le professionnel hautement qualité qu’est IBM, et dont au surcroît la qualification était expressément intégrée dans le champ contractuel, a obtenu de la Maif une adhésion viciée quant aux dits éléments contractuellement définis comme déterminants du consentement de celle-ci, et a ainsi caractérisé une réticence dolosive, qui affecte la validité du contrat »[1].

Le tribunal retient donc le dol, et en conséquence écarte la clause de limitation de responsabilité contractuelle et condamne en conséquence IBM :

-         à la restitution des sommes perçues de la MAIF : soit 2 635 957,76 € TTNRC[2] moins 938 155,73 € correspondant aux livrables (chantier architecture) conservés par la MAIF

-         6 911 500,99 € TTRNC, au titre du préjudice résultant notamment de la rémunération de prestataires externes ainsi qu’à celle de prestataires internes, sur le projet

-         4 467 670 € TTRNC au titre des préjudices résultant de l’abandon du projet en raison « des répercussions directes sur l’évolution de l’ensemble des systèmes d’information de la Maif, générant des surcoûts liés aux adhérences entre les projets et des surcoûts engagés pour mettre en place des solutions palliatives »

-         Les sommes ci-dessus portent intérêt à compter du 27 avril 2009

-         Une somme de 50 000€ au titre de l’article 700

Cette décision a en outre été assortie de l’exécution provisoire, c’est à dire qu’IBM doit verser les sommes susvisées quoiqu’elle fasse appel.

En résumé, lorsqu’un projet va mal et connait de lourdes dérives, mieux vaut pour le prestataire traiter le problème dès qu’il prend conscience des difficultés que d’avancer en espérant que le client ne se lassera pas de ces dérives et  augmentations de prix !

IBM a naturellement fait appel de cette décision.

L’arrêt d’appel ne manquera pas d’intéresser les acteurs de l’informatique.

1. 2.       programme de contrôle de la CNIL 2010 (cnil 17/03/2010)

Comme chaque année, la Cnil a adopté et publié son programme de contrôle sur place pour l’année 2010. Quatre thèmes ont été retenus pour cette année :

-         « Les dispositifs de vidéosurveillance

-         Le droit au logement et les différentes pratiques du secteur de l’immobilier

-         Les données des mineurs : des données sous surveillance

-         Prendre l’avion : quelles conséquences pour la vie privée ? »

La Cnil a également annoncé, au sein de son communiqué de presse, qu’elle s’était fixée comme objectif d’effectuer plus de 300 contrôles durant l’année, soit 30 de plus que l’année dernier.

La Cnil a encore précisée que  ces contrôles se répartiraient de la façon suivante :

-          « 50% consacrés à la réalisation du programme annuel ;

-          25 % effectués dans le cadre de l’instruction de plaintes ;

-          15 % effectués dans le cadre de suites de décisions adoptées par la formation contentieuse (vérification du respect des mises en demeure ou des décisions de sanction) ;

-          10% des contrôles réservés à des initiatives en lien avec l’actualité ».

1. la désignation de l’afnic en tant qu’office d’enregistrement de l’extension .fr (2/03/2010)

L’article L.45 du Code des postes et des communications électroniques ainsi que l’article R20-44-35,  issu du décret du 6 février 2007, prévoyaient que le ministre chargé des communications électroniques devait désigner, après consultation publique, les organismes chargés d’attribuer et de gérer les noms de domaine, au sein des domaines de premier niveau du système d’adressage par domaines de l’internet, correspondant au territoire national.

Jusqu’alors, l’Afnic occupait cette fonction, mais sans désignation officielle. C’est chose faite depuis l’arrêté du 19 février 2010 :

-         « Art. 1er. − L’Association française pour le nommage internet en coopération (AFNIC) est désignée pour exercer la fonction d’office d’enregistrement du domaine de premier niveau du système d’adressage par domaines de l’internet correspondant au « .fr » pour une durée de sept ans. »

Cette désignation doit s’accompagner de la signature d’une convention entre l’Etat et l’AFNIC portant sur l’attribution et la gestion du nom de domaine de premier niveau correspondant au « .fr », et d’une nouvelle charte de nommage qui définit les règles d’enregistrement pour les noms de domaine en .fr, entrée en vigueur le 16 mars 2010.

1. Saisie globale de plusieurs messageries électroniques par l’Autorité de la concurrence (CA Versailles 19/02/2010)

Dans le cadre d’une visite d’une société, fondée sur des suspicions d’abus de position dominante et d’entente anticoncurrentielle, l’Autorité de la concurrence[3] a saisi de très nombreux documents papiers et électroniques, dont l’intégralité de certaines messageries électroniques de salariés, comprenant notamment des documents relatifs à la vie privée de salariés et de tiers et protégés par le secret des correspondances, des données à caractère personnel, et des documents protégés par le secret professionnel car issus d’échanges avec des avocats.

La société objet du contrôle a donc formé un recours contre les modalités d’exécution des visites et saisies ainsi réalisées. Certain de ses salariés, dont la messagerie électronique avaient été saisie, sont également intervenus volontairement à l’instance.

Ils reprochaient notamment à l’Autorité de la concurrence d’avoir procédé à la saisie globale de plusieurs messageries électroniques sans sélectionner les seuls messages relatifs à l’objet de son enquête alors qu’il était aisé de déplacer les données utiles dans un dossier électronique avant de saisir celui-ci et d’exclure ainsi de la saisie tous les documents sans rapport avec l’objet de l’enquête ou protégés par la loi.

La Cour d’appel de Versailles, chargée d’examiner cette affaire répond à ce grief par un argument se rapportant à la technique : « les documents de messagerie litigieux, issus du logiciel Microsoft Outlook 2003 sont stockés dans un fichier unique pour l’ensemble des services fournis à l’utilisateur (messagerie, calendrier, contacts …) ; que la sélection par message prônée par la société Y aurait pour effet d’altérer les références électroniques des fichiers déplacés et affecterait tant la fiabilité que l’inviolabilité des fichiers concernés ; que, par ailleurs, il n’est pas contesté qu’il n’est pas possible techniquement d’exporter les éléments Calendrier et Contact ; que c’est en ce sens que la messagerie électronique est dite « insécable” par sa nature », et ajoute : « que le seul fait qu’une messagerie électronique contienne pour partie seulement des éléments entrant dans le champ de l’autorisation judiciaire, suffit à valider la saisie globale opérée ».

Ainsi, la Cour valide cette saisie, et l’accompagnant de la possibilité de restitution a postériori des documents considérés comme protégés par le secret de la correspondance ou le secret professionnel ou étrangers à l’objet de la saisie, à condition que la société ou ses salariés en fassent la demande auprès de l’administration en identifiant précisément ces documents.

La Cour balaie aussi le grief fondé sur le non respect de la loi Informatique et liberté, jugeant que : « les saisies de documents informatiques réalisées le 5 mai 2009 et autorisées judiciairement sur le fondement de l’article L 450-4 du code de commerce, ne constituent pas un traitement de données à caractère personnel au sens de la loi du 6 janvier 1978 ».

Cette décision faisant l’objet d’un pourvoi, il appartiendra à la Cour de cassation de se prononcer sur ces motifs, et notamment sur le grief relatif au respect de la loi Informatique et liberté, dans la mesure où cette analyse de la Cour d’appel de Versailles est surprenante au regard de la définition de « traitement » contenue dans la loi^[4].

1. 5.       décision de la CJCE relative à Google Adwords (CJCE 23/03/2010)

Par trois arrêts du 20 mai 2008, la Cour de cassation avait sursis à statuer et saisi la Cour de justice des Communautés européennes (CJCE) de plusieurs questions préjudicielles relatives au régime juridique applicable au service AdWords proposé par Google, afin que « cette question, qui se pose en termes similaires dans tous les Etats membres, [ne reçoive pas] des réponses divergentes ».

Ce service permet à tout site internet, qui souhaite apparaitre dans les liens commerciaux situés à droite des résultats d’une recherche sur Google, de réserver des mots clés ou des expressions, lesquels vont par la suite générer l’affichage de la publicité dans les liens commerciaux dès lors qu’ils sont entrés dans le moteur de recherche de Google. En outre, Google offre un service annexe de générateur automatique de mots clés à partir d’un premier mot saisi par l’annonceur. Or, comme Google l’indique sur son site, ce générateur est susceptible de proposer des mots qui « portent atteinte aux droits de tiers, notamment au regard du droit des marques et de la concurrence déloyale ».

La question de la responsabilité de l’annonceur qui choisit les mots clés qu’il achète, et de Google qui suggère des mots clés protégés par le droit des marques était donc pendante devant la CJCE, qui vient de rendre sa décision par un arrêt du 23 mars 2010.

Une des questions posées était notamment celle de l’interprétation, dans le contexte de l’affaire, à donner à l’article 5. 1. a) de la directive 89/104 du 21 décembre 1988 rapprochant les législations des États membres sur les marques, qui confère au titulaire d’une marque le droit d’interdire à tout tiers, en l’absence de son consentement, de faire usage, dans la vie des affaires d’un signe identique à la marque pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée.

La Cour a répondu à ce point que en décidant que « le titulaire d’une marque est habilité à interdire à un annonceur de faire, à partir d’un mot clé identique à ladite marque que cet annonceur a sans le consentement dudit titulaire sélectionné dans le cadre d’un service de référencement sur internet, de la publicité pour des produits ou des services identiques à ceux pour lesquels ladite marque est enregistrée, lorsque ladite publicité ne permet pas ou permet seulement difficilement à l’internaute moyen de savoir si les produits ou les services visés par l’annonce proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, d’un tiers ».

En revanche, la Cour conclut que le prestataire d’un service de référencement sur internet (i.e. Google) qui stocke en tant que mot clé un signe identique à une marque et organise l’affichage d’annonces à partir de celui-ci, ne fait pas un usage de ce signe au sens de l’article 5, paragraphes 1 et 2, de la directive 89/104.

Ainsi, si une marque a été utilisée en tant que mot clé, le titulaire de celle-ci peut donc invoquer son droit exclusif contre les annonceurs qui ont achetés des mots clés identiques à celle-ci, mais non rechercher la responsabilité de Google pour contrefaçon de marque.

Enfin, le point de savoir si un prestataire de service de référencement payant peut-il être considéré comme un hébergeur, de sorte que sa responsabilité ne pourrait être recherchée avant qu’il ait été informé par le titulaire de marque de l’usage illicite du signe par l’annonceur, la CJCE considère qu’il appartient à la juridiction nationale d’examiner si le rôle exercé par ledit prestataire est neutre, en ce que son comportement est purement technique, automatique et passif, impliquant l’absence de connaissance ou de contrôle des données qu’il stocke.

En effet, le principe rappelé par la Cour, est que seul les prestataires qui ne jouent pas un rôle actif de nature à leur confier une connaissance ou un contrôle des données stockées peuvent bénéficier du régime de responsabilité dérogatoire des prestataires techniques : leur responsabilité ne peut être engagée pour les données qu’ils stockent à la demande d’un annonceur à moins que, ayant pris connaissance du caractère illicite de ces données ou d’activités de cet annonceur, ils n’aient pas promptement retiré ou rendu inaccessibles lesdites données.

Reste donc à attendre l’arrêt de la Cour de cassation.

*****

[2] TTNRC : toutes taxes non récupérables comprises

[3] Autorité administrative indépendante créée par la loi de modernisation de l’économie n° 2008-776 du 4 août 2008, et qui succède au Conseil de la concurrence.

[4] Article 2 : « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »

La stratégie alternative est celle du paon. En matière de commerce, elle consiste à aller vers le chaland pour le séduire. Elle repose sur un minimum d’optimisme et de confiance en soi. C’est ce que démontre l’économie de nos voisins allemands. Traverser les kilomètres de halls du Cebit, à Hanovre représente une épreuve sportive, mais démontre aussi la vivacité de cette industrie. Quel contraste avec notre marché!  Les Allemands organisent des foires, nous d’intimes “salons” (qui méritent bien leur nom) généralement parisiens. Alors que le salon de la sécurité, Infosecurity, à Paris, a été annulé cette année, par manque d’exposants, mais que son édition londonienne s’annonce énorme, on a la surprise de voir ces mêmes marques d’antivirus notamment, investir dans des stands gigantesques, à un étage, dans un hall de Hanovre.Il est vrai que, lors de la conférence de presse inaugurale du Cebit,August-Wilhelm Scheer, président de la fédération professionnelle BitKom, qui réunit l’informatique et les télécommunications, anonçait une reprise de la croissance du secteur, avec une estimation de croissance de +1,4 % en 2009 et en 2010 pour la France et pour l’Allemagne. Et une fin de crise l’an prochain, avec une prévision de l’ordre de +4 % en 2011. Tout en considérant que le marché du Cloud Computing connaît une croissance annuelle de 20 % ! *

Le sceptique ne verra là que la méthode Coué : le futur n’est jamais certain,les bonnes nouvelles sont pour les naïfs…Mais le porte-parole allemand annonçait une autre nouvelle intéressante. L’Europe a dépassé dans l’IT le chiffre d’affaires des Etats-Unis, pour monter sur la première marche du podium mondial : 28 % pour la CEE, 27 % pour les USA ! Quant à la Chine, elle va vite, mais pour le moment ne représente que le quart du CA européen, avec 7 % du CA mondial. L’Allemagne, séparément, se classe d’ailleurs avec 6 % du marché mondial, juste derrière la Chine.En cette ère de morosité, ces chiffres donnent une bouffée d’air frais, ce qui est l’antidote à la frilosité. Bien sûr, il faut y croire, et voir grand. Sinon, rien ne se passera, car un marché repose sur l’envie et sur la communication : si on veut que notre entreprise avance, il faut donner envie, et démontrer le besoin,aux clients (externes ou internes). La guerre de la croissance ne se gagne pas du fond du bunker. Il faut choisir : la tête dans le sable ou les plumes chatoyantes du marketing et de la communication. *Conférence de presse (en allemand) :

http://www.bitkom.org/files/documents/Vortrag_Prof_Scheer_Jahres-PK_01_03_2010_final.pdf

 Jean Kaminsky – directeur de la publication solutions&logiciels

NEWSLETTER JURIDIQUE

Février 2010

1. 1.       Projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure (AN 16/02/2010)

 Le projet de loi d’Orientation et de Programmation pour la Sécurité Intérieure (dit LOPPSI 2) présenté en conseil des ministres le 27 mai 2009[1], a été adopté après quelques amendements par l’Assemblée nationale le 16 février 2010.

 Ce projet de loi fixe les grandes orientations stratégiques de la politique de sécurité intérieure pour les années 2009-2013 et traite, notamment, de la cybercriminalité.

 Ce texte prévoit notamment d’introduire deux nouvelles incriminations relatives à l’usurpation d’identité sur internet.

 En effet, en l’état actuel du droit, l’usurpation d’identité ne peut être appréhendée qu’à travers l’article 434-23 du Code pénal qui dispose que « Le fait de prendre le nom d’un tiers, dans des circonstances qui ont déterminé ou auraient pu déterminer contre celui-ci des poursuites pénales, est puni de cinq ans d’emprisonnement et de 75000 euros d’amende ».

 Ainsi, l’utilisation du nom d’un tiers n’est pénalement répréhensible qu’à condition que cette utilisation fasse peser un risque pénal sur la personne dont l’identité à été usurpée.

 La nouvelle loi permettrait de sanctionner plus largement l’usurpation d’identité en ligne, en incriminant le fait de faire usage, sur un réseau de communications électroniques, de l’identité d’un tiers ou de données de toute nature permettant de l’identifier :

-         en vue de troubler la tranquillité de cette personne ou d’autrui ;

-         ou en vue de porter atteinte à son honneur ou à sa considération. 

Ces délits seraient punis d’un an d’emprisonnement et de 15 000 € d’amende.

Le projet de loi prévoit également de mettre une nouvelle obligation à la charge des fournisseurs d’accès internet dans le cadre de la lutte contre la pédopornographie. Ceux-ci devront empêcher l’accès aux sites dont l’adresse leur aura été notifiée par l’autorité administrative, après accord de l’autorité judiciaire. Les modalités d’application de cette disposition devront être précisées par décret.

Enfin, parmi les nombreux articles du projet, il peut encore être noté des dispositions relatives à la modification du régime de la vidéosurveillance (rebaptisée « vidéoprotection »), et notamment l’extension des possibilités d’installation de la vidéosurveillance sur la voie publique ou des personnes autorisées à visionner les images, ou encore la possibilité pour les enquêteurs de recourir à la captation à distance de données informatiques dans les affaires de criminalité organisée.

1. 2.       la cnil est vigilente et elle tient à le fait savoir ! (CNIL 22/02/2010)

Le 22 février 2010, la Cnil a publié en première page de son site internet un communiqué de presse relatif à des sanctions pécuniaires prononcée à l’encontre de deux études d’huissiers de Montpellier, il y a plus de sept mois, en juillet 2009.

Objectif du communiqué : rappeler que la Cnil veille au respect de la loi Informatique et Libertés et qu’un contrôle n’est pas une garantie contre un nouveau contrôle, au contraire, à lire la conclusion de ce communiqué de presse :

« Au-delà des faits constatés, cette affaire illustre ainsi la vigilance de la CNIL dans le cadre de ses pouvoirs de contrôle a posteriori. Elle rappelle aussi sa faculté de réaliser de nouveaux contrôles et, le cas échéant, de sanctionner les manquements persistants. Si un organisme mis en demeure peut échapper à une sanction, c’est à la condition que les modifications qu’il s’est engagé à effectuer soient réelles et concrètes ».

Autrement dit, un contrôle peut en appeler un autre !

1. 3.       connexions internet et présomption de caractère professionnel (soc. 9/02/2010)

La Cour de cassation nous a déjà dit que les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel (Soc. 21/10/2009, Soc. 8/12/2009, Soc. 15/12/2009), de même que les courriers électroniques non identifiés comme personnels par le salarié (Soc. 30/05/2007, soc. 17/06/2009).

Elle a également pu préciser que la mention des initiales ne suffit pas à identifier un fichier comme personnel, pas plus que le prénom du salarié (Soc. 21/10/2009, Soc. 8/12/2009).

La Cour de cassation nous avait également déjà indiqué que les connexions établies par un salarié sur des sites Internet pendant son temps de travail grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumées avoir un caractère professionnel de sorte que l’employeur peut les rechercher aux fins de les identifier, hors de sa présence (Soc. 9/07/2008).

La Haute juridiction vient de confirmer sa position relative aux connexions internet, dans un attendu de principe du 9 février dernier, en tout point identique à celui de juillet 2009. La Cour précise encore à cette occasion que « l’inscription d’un site sur la liste des « favoris » de l’ordinateur ne lui confère aucun caractère personnel ».

En l’espèce, un salarié avait été licencié pour faute grave pour avoir notamment utilisé son poste informatique pour accéder à des sites pornographiques répertoriés dans ses favoris.

 Ainsi se trouve ici encore consacré le pouvoir de contrôle de l’employeur sur les outils informatiques mis à disposition du salarié.

Les dossiers, fichiers, courriers électroniques, historiques de navigation, non expressément identifiés comme « personnel », peuvent être consultés par l’employeur, hors la présence du salarié, dès lors que ces éléments ont été créés durant le temps de travail du salarié, avec des outils professionnels.

Ces dossiers, fichiers, courriers électroniques, historiques de navigation, même expressément identifiés comme « personnel », peuvent également être consultés par l’employeur en présence du salarié, ou celui-ci dûment appelé, ou en présence d’un risque ou événement particulier, ces deux dernières notions devant encore être précisées.

1. 4.       Obligation de dénoncer les acheteurs d’articles contrefaits (TGI Grasse 26/01/2010)

Dans un jugement du 26 janvier 2010, le Tribunal de grande instance de Grace a condamné Madame L., vendeuse sur le site ebay deux sacs contrefaits de la marque Hermès, au versement de la somme de 5000 euros, prenant en compte les conséquences économiques négatives, dont le manque à gagner, subies par la partie lésée, les bénéfices réalisés par le contrefacteur et le préjudice moral causé au titulaire des droits.

Allant plus loin, le Tribunal a fait droit à la demande de la société Hermès « tendant à la remise par Madame L. de l’identité du vendeur et de tout document permettant de l’identifier, ainsi que de tout document relatif à l’achat des articles contrefaisant les marques de la société Hermès International ».

Cette injonction est fondée sur l’article L 716-7-1 Code de la propriété intellectuelle, qui a été créé par la loi n°2007-1544 du 29 octobre 2007 de lutte contre la contrefaçon, qui dispose que « si la demande lui en est faite, la juridiction saisie d’une procédure civile prévue au présent titre peut ordonner, au besoin sous astreinte, afin de déterminer l’origine et les réseaux de distribution des produits contrefaisants qui portent atteinte aux droits du demandeur, la production de tous documents ou informations détenus par le défendeur ou par toute personne qui a été trouvée en possession de produits contrefaisants ou qui fournit des services utilisés dans des activités de contrefaçon ou encore qui a été signalée comme intervenant dans la production, la fabrication ou la distribution de ces produits ou la fourniture de ces services.

La production de documents ou d’informations peut être ordonnée s’il n’existe pas d’empêchement légitime.

Les documents ou informations recherchés portent sur :

1. Les nom et adresse des producteurs, fabricants, distributeurs, fournisseurs et autres détenteurs antérieurs des produits ou services, ainsi que des grossistes destinataires et des détaillants ;
2. Les quantités produites, commercialisées, livrées, reçues ou commandées, ainsi que sur le prix obtenu pour les produits ou services en cause »

 Que contiennent les récentes évolutions de COBIT ?

Quels sont les éléments structurants de la mise en œuvre d’une gouvernance d’un SI ?

Comment utiliser au mieux les nombreux standards qui émergent dans le monde des SI ?

Quel déploiement de l’IT Gouvernance en général et de COBIT en particulier dans le monde ?

Les intervenants :Jean-Pierre Delvaux (ingénieur conseil certifié CGEIT*,) Thomas Germain (DSI Omya) et Philippe Martinet (DSI Eutelsat) sont des membres de l’ANDSI et ont bien voulu partager leurs experiences, connaissances autour de ce theme .

Poiur ceux qui n’ont pas pu participer , voici la presentation  JP-DELVAUX-Presentation-ANDSI-12012010

Si vous avez des questions, Jean-Pierre Delvaux se fera un plaisir de vous repondre .

Décembre 2009 – Janvier 2010

1. Projet de loi visant à renforcer la protection des consommateurs en matière de vente à distance (assemblée nationale 20/01/2010)

 L’assemblée nationale vient d’adopter un projet de loi visant à renforcer la protection des consommateurs en matière de vente à distance. Ce projet modifie le code de la consommation.

 Aux termes de l’article 1^er du projet, l’article L141-1 du code de la consommation serait modifié afin permettre aux agents de l’autorité compétente en matière de concurrence et de consommation de recueillir les informations nécessaires pour apprécier la bonne exécution par un professionnel des obligations résultant du contrat conclu à distance, visée au quatrième alinéa de l’article L. 121-20-3 (responsabilité de plein droit du cybercommerçant).

 L’article 1er ajoute que « S’il apparaît, à l’issue des investigations menées, qu’un professionnel proposant la vente de biens ou la fourniture de services à distance est dans l’incapacité manifeste de respecter les obligations visées au précédent alinéa, générant ou susceptible de générer un préjudice financier pour le consommateur, l’autorité administrative chargée de la concurrence et de la consommation peut, après une procédure contradictoire, interdire à ce professionnel, sur tout ou partie des biens et services proposés, de réaliser toute prise de paiement avant la livraison intégrale du bien ou l’exécution effective du service, pendant une période ne pouvant excéder deux mois. Cette mesure peut être reconduite selon la même procédure pour des périodes supplémentaires dont chacune ne dépasse pas un mois. En cas d’inexécution par le professionnel de la mesure d’injonction, l’autorité administrative compétente ordonne le paiement d’une amende administrative au plus égale à 30 000 € et demande au juge d’ordonner, sous astreinte, toute mesure permettant d’en assurer l’exécution ».

 L’article 2 bis prévoit de faire passer de trente à quinze jours le délai de remboursement en cas de défaut d’exécution du contrat par un fournisseur résultant de l’indisponibilité du bien ou du service commandé. L’article 2 ter modifierait le taux d’intérêt dû en cas de dépassement de ce délai de remboursement : il serait désormais égal au double du taux légal en vigueur. Ce même taux serait également appliqué en cas de dépassement du délai de remboursement consécutif à l’exercice du droit de rétractation du consommateur.

 L’article 4 rendrait obligataire la présence des conditions contractuelles, applicables à la vente à distance sur la page d’accueil du site internet.

 D’autres dispositions du projet de loi renforcent les obligations d’information du cybercommerçant à l’égard du consommateur, modifient certaines dispositions du code de la consommation relatives au démarchage et aux contrats de services de communications électroniques.

 2. Le conseil d’Etat annule deux sanctions de la CNIL (CE 6/11/2009)

 Par deux arrêts en date du 6 novembre 2009, le Conseil d’Etat a annulé deux délibérations de la CNIL qui infligeait chacune une sanction de 30.000 euros à deux sociétés qui avaient l’objet de contrôles.

 En effet, depuis la réforme de la loi Informatique et Liberté de 2004, la CNIL a le pouvoir d’effectuer des contrôles relatifs au respect des dispositions de cette loi auprès des responsables de traitement. Ces contrôles peuvent être réalisés sur pièces ou sur place. Dans ce derniers cas, les membres de la CNIL ainsi que les agents de ses services habilités ont ainsi accès, de 6 heures à 21 heures aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel.

 Suite à ces contrôles, la CNIL peut prononcer les sanctions prévues à l’article 45 de la loi, et notamment : avertissement, mise en demeure de faire cesser le manquement constaté à la loi Informatique et Libertés, sanctions pécuniaires jusqu’à 150.000 euros ou 300.000 € en cas de manquement réitéré dans les 5 ans, injonction de cesser le traitement, publication de ses décisions, etc.

 En l’espèce, les sociétés concernées avaient fait l’objet de contrôles sur place suite à des plaintes émanant de particuliers faisant état de l’absence de prise en compte, par ces sociétés, de leurs demandes de ne plus faire l’objet de démarchage téléphonique.

 Après s’être rendu au siège de ces sociétés, la CNIL a mis en demeure ces sociétés de cesser d’utiliser une base de données non mise à jour et de prendre toutes mesures de nature à garantir qu’il soit systématiquement et immédiatement tenu compte du droit d’opposition exercé par toute personne concernée à recevoir de la prospection commerciale.

 Constatant que le système de gestion des demandes d’opposition à l’utilisation du numéro de téléphone à des fins commerciales mis en place par ces sociétés ne garantissait pas la prise en compte effective et rapide de l’ensemble des demandes d’opposition, la CNIL leur a infligé à chacune une sanction de 30 000 euros et leur a enjoint de cesser d’utiliser le traitement de prospection commerciale tant qu’une nouvelle procédure efficace des demandes de radiation n’aurait pas été mise en place.

 Ces décisions ont été contestées par ces sociétés et annulées par le Conseil d’état au motif que les responsables des locaux ayant fait l’objet des contrôles sur place qui ont permis aux membres de la CNIL de constater les manquements sanctionnés n’ont pas été informés de leur droit de s’opposer à ces visites.

 En effet, l’article 44 de la loi reconnait un droit d’opposition au bénéfice de l’entreprise contrôlée, sans pour autant le préciser : « II. – En cas d’opposition du responsable des lieux, la visite ne peut se dérouler qu’avec l’autorisation du président du tribunal de grande instance dans le ressort duquel sont situés les locaux à visiter ou du juge délégué par lui. »

 Le Conseil d’Etat rappelle donc ici à la CNIL qu’il s’agit d’une garantie essentielle en contrepartie des pouvoirs qui lui sont accordés et que « une telle garantie ne présente néanmoins un caractère effectif que si le responsable des locaux ou le représentant qu’il a désigné à cette fin a été préalablement informé de son droit de s’opposer à la visite et mis à même de l’exercer », ce qui n’avait pas été le cas en l’espèce.

 Par un communiqué de presse, la CNIL a indiqué prendre acte de ces décisions et procédé dorénavant « à l’information des personnes faisant l’objet d’un contrôle sur place de l’ensemble des éléments prévus à l’article 44 de la loi et notamment : de leur droit à s’opposer à ce contrôle et dans cette hypothèse, de la possibilité pour le président de la CNIL de saisir le président du tribunal de grande instance compétent afin que celui-ci autorise, par ordonnance, la mission de contrôle, y compris en faisant appel à la force publique ».

 3.  Photos à caractère pornographique et licenciement abusif (soc. 8/12/2009)

 Un salarié est licencié par son employeur après que ce dernier ait découvert, lors d’un contrôle des postes informatiques, en la présence du salarié et d’un huissier de justice, que celui-ci conservait sur le disque dur de son poste informatique des images à caractère pornographique et zoophile. 

 Le salarié saisi la juridiction prud’homale d’une demande de paiement de dommages-intérêts pour rupture abusive de son contrat de travail. Obtenant qu’en partie satisfaction, le litige est porté devant la cour d’appel de Rennes

 La cour d’appel retient qu’il y avait bien eu une faute du salarié dans le mesure où la présence de photographies à caractère pornographiques, qui portent atteinte à la dignité humaine, dans le disque dur de l’ordinateur du salarié accessible par tout utilisateur, établissent le détournement par le salarié du matériel mis à sa disposition en violation des notes de service, ce qui constitue un risque de favoriser un commerce illicite en portant atteinte à l’image de marque de l’employeur.

 Non répond la cour de cassation par son arrêt du 8 décembre 2009 :

 -         les photos à caractère pornographique n’ont pas de caractère délictueux ;

 -          la preuve n’est pas rapportée que l’utilisation personnelle de l’ordinateur professionnel avait nuit à la bonne qualité de la prestation de travail du salarié ;

 -          la preuve n’est pas rapportée que le salarié avait effectivement eu connaissance des nombreuses notes de service réglementant l’usage de l’outil informatique ;

 -          la faute résulte d’une violation des obligations découlant du contrat de travail ou des relations de travail ; or ne constitue pas une faute l’utilisation passive de l’outil informatique à des fins personnelles de façon limitée, sans aucune répercussion sur la bonne exécution de la prestation de travail.

 La cour de cassation juge donc que le licenciement intervenu était sans cause réelle et sérieuse.

 Cependant, il est à noter que cet arrêt n’est pas publié et qu’il s’agit d’un cas d’espèce et non d’un arrêt de principe.

 4.  fournisseur d’accès internet et obligation de résultat (civ. 19/11/2009)

Un fournisseur d’accès internet peut-il être dégagé de son obligation de fournir tous les services inclus dans son offre « triple play » (télé, internet, téléphone) en raison de défaillances techniques émanant d’un tiers ?

Non répond la Cour de cassation dans son arrête du 19 novembre 2009, le fournisseur d’accès est tenu d’une obligation de résultat quant aux services offerts.

Il ne peut s’exonérer de sa responsabilité à l’égard de son client en raison d’une défaillance technique, hormis le cas de force majeure, c’est-à-dire d’un événement présentant un caractère imprévisible lors de la conclusion du contrat et irrésistible au moment de son exécution.

La Cour considère que tel n’est pas le cas si la ligne téléphonique et les équipements présents dans le nœud de raccordement de l’abonné (NRA) ne permettent pas techniquement de recevoir la télévision, peu important que la société Free n’ait aucun pouvoir sur les équipements du NRA et que les raccordements nécessaires à l’accès aux services de la réception de la télévision appartiennent à la société France Telecom, ces éléments n’étant ni imprévisibles lors de la conclusion du contrat, ni irrésistibles au moment de son exécution. Au contraire, puisque Free avait elle-même informé son abonné que télévision et le débit étaient fonction des caractéristiques de sa ligne téléphonique et des équipements présents dans le nœud de raccordement de l’abonné (NRA).

5. le service Google Suggest devant la Cour d’appel de Paris (CA Paris 9/12/2009)

 Google Suggest est un outil internet associé à la barre de recherche du moteur de recherche de Google.

 Cet outil, une fois activée par l’internaute, lui suggère automatiquement des termes de recherches en fonction des premières lettres saisies dans la barre de recherche.

 En février 2009, la société Direct Energie constatait que lors de la saisie du nom « direct energie » Google Suggest suggérait en premier lieu « direct energie arnaque ». Direct Energie assigna alors la société Google, en référé, et demandait la suppression de ces termes de l’outil Google Suggest.

 Par ordonnance du 7 mai 2009, le Président du Tribunal de commerce de Paris faisait droit à la demande de Direct Energie et ordonnait à Google de supprimer le terme « direct energie arnaque » des suggestions proposées par le logiciel Google Suggest sur le site accessible à l’adresse www.google.fr.

 Google interjetait appel de cette décision. La Cour d’appel de Paris, amenée à statuer à nouveau sur le litige, a infirmé la décision du Tribunal de commerce. Si la Cour reconnait, tout comme le Tribunal, que ladite suggestion, sans avertissement préalable informant l’internaute du mode d’établissement de cette liste, est fautive et engendre un préjudice pour Directe Energie, elle diverge quant aux mesures de réparation à prescrire.

  En se fondant sur la liberté d’expression, la Cour estime que des mesures autres que la suppression pure et simple des termes proposés par le logiciel Google Suggest existent : la mention sur la page d’accueil du moteur de recherche d’une information destinée à l’internaute et permettant à celui-ci de comprendre comment est établie la liste des suggestions (i.e. liste des 10 requêtes les plus populaires déjà tapées par les internautes qui commencent par les mêmes lettres ou mots) suffit .

 6. contrôle des fichiers informatiques des salariés (soc. 8/12/2009 + soc 15/12/2009)

 Dans la droite lignée de son arrêt du 21 octobre 2009[1], la chambre sociale de la Cour de cassation vient de reprendre, dans un arrêt du 8 décembre 2009, le même attendu de principe « attendu que les fichiers créés par le salarié à l’aide de l’outil informatique mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, sauf si le salarié les identifie comme étant personnels, de sorte que l’employeur est en droit de les ouvrir hors la présence de l’intéressé », pour décider que le fichier nommé « Alain », ne permettaient pas, par son intitulé, d’identifier qu’il s’agissait d’un fichier personnel et qu’il était donc permis à l’employeur de l’ouvrir en l’absence du salarié. 

 La Cour fait ici encore une interprétation stricte de ce qu’il faut entendre par « identifié comme personnel » : la mention des initiales ne suffit pas à identifier un fichier comme personnel, pas plus que le prénom du salarié. Ainsi, seule la mention « personnel » en toutes lettres, voire le terme « perso », doit être retenu par l’employeur comme fixant la limite de son droit d’accès aux fichiers informatiques de ses salariés.

 Il en va naturellement de même concernant des fichiers intitulés « essais divers, essais divers B, essais divers restaurés ». Ces fichiers pouvaient être ouverts par l’employeur hors de la présence de l’intéressé. (Cour de cassation, chambre sociale, 15 décembre 2009).

 7.  gagner mais perdre… (TGI Strasbour 15/12/2009) 

C’est de la sorte qu’un couple pourrait résumer son action judiciaire contre eBay et le vendeur d’un robot-ménager sur ce site de courtage en ligne. N’ayant jamais reçu le robot-ménager payé 845,06 € le couple acheteur décidait de poursuivre le vendeur et eBay devant le Tribunal de grande instance de Strasbourg, et demandait à celui-ci de condamner solidairement le vendeur et eBay à leur payer 845,06 € représentant le prix payé, 10 000 € à titre de dommages-intérêts et 800 € en application de l’article 700 du Code de Procédure Civile (remboursement des frais d’avocat).

 Le vendeur, non comparaissant, ne justifiait donc pas avoir exécuté son obligation de livraison, fût condamné à restituer le prix perçu. Le couple obtient donc gain de cause sur sa demande principale. Il est en revanche débouté quant à sa demande de versement de dommages et intérêts, faute de preuve d’un quelconque préjudice.

 Quant à la responsabilité d’eBay dans ce litige, le Tribunal l’examine à la lumière du régime de responsabilité des hébergeurs posé par la loi du 21 juin 2004 pour la confiance en l’économie numérique.

 Comme le tribunal le relève, « en vertu des articles 6-1.2 et 6-1.7 de la dite loi, les hébergeurs “ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible” et que les personnes morales en question (6-1.7) “ne sont pas soumises à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites”.

 Cette loi retient donc le principe de l’immunité civile et pénale des hébergeurs mais la subordonne à deux conditions : que ceux-ci n’aient pas eu connaissance de contenus illicites et qu’ils aient agi promptement dès l’instant où ils en ont été informés.

 Or, d’une part, la société eBay n’a à aucun moment hébergé des informations ou des activités illicites, notamment pas en ce qui concerne les caractéristiques du produit objet du litige.

 D’autre part, antérieurement aux faits litigieux, elle ne disposait d’aucun élément d’information qui lui aurait permis de suspendre le compte de M. W. puisqu’il bénéficiait auprès des internautes d’une opinion de fiabilité de 97,40 %.

 En revanche, dès qu’elle a eu connaissance des faits litigieux, elle a procédé, le 2 juin 2006, à la suspension provisoire dudit compte avant de procéder à sa radiation définitive le 23 août 2006.

 Eu égard à la date à laquelle est intervenu le paiement, soit le 16 mai 2006, il ne peut en conséquence être reproché à la société eBay de ne pas avoir réagi assez rapidement et d’avoir ainsi failli à son obligation de réagir face à des comportements illégaux.

 Le Tribunal dégage donc eBay de toute responsabilité par le Tribunal, et décide dès lors de ne mettre aucun frais à sa charge :

 -         Les frais de procédure sont intégralement répartis entre le couple demandeur et le vendeur,

-         Les frais d’avocat de ces derniers restent à leur charge,

-         Et les frais d’avocat d’eBay sont remboursés, à hauteur de 1000 euros par le couple.

 Bilan pour les demandeurs : remboursement du mixeur 845,06 euros et versement de 1000 euros à eBay !

L’évolution des systèmes informatiques est le résultat de l’évolution de la compétitivité, l’évolution règlementaire, la demande des usagers, l’évolution technologique et technique, l’évolution budgétaire …Avec la gageure de devenir agile.

L’évolution outillée des systèmes informatiques permet de réduire les coûts, simplifier l’architecture, simplifier la maintenance, d’étendre les fonctionnalités en préservant la connaissance métier.

Et cela uniquement en diminuant le nombre de technologies à entretenir.

La suppression de technologies dépassées est trop souvent écartée par un arbitrage au profit de l’évolution fonctionnelle alors qu’elle peut se dérouler en parallèle et sera source de gains.

On considère à tort que les applications informatiques qui ont besoin d’évoluer sont anciennes, les applications récentes font déjà partie du patrimoine de l’entreprise et sont très vite bloquées dans leur évolution technologique, la technologie évolue plus vite que les entreprises.

L’évolution automatisée, outillée des systèmes informatiques doit être vue comme une évolution constante, un processus proactif, une maintenance constante en redéfinissant les changements fonctionnels, les évolutions technologiques et une migration perpétuelle.

L’outillage pour réaliser ces évolutions est maintenant mature, il n’est pas encore générique on ne passe pas encore d’une technologie à la suivante en appuyant sur un bouton. Chaque évolution doit être étudiée en détail et planifiée.

Il n’est plus nécessaire de faire table rase pour quitter une technologie.

L’évolution outillée présente des avantages collatéraux :

· Les règles métiers, les connaissances d’expert incluses dans les applicatifs sont intactes.

· Le processus de changement est qualifié, tracé, audit able, et peut donc faire l’objet de normes.

· Le changement ne présuppose en rien l’architecture cible. Les architectes et l’entreprise restent libres dans leurs choix d’architecture et d’urbanisation.

· La décision d’évolution et d’abandon d’une technologie n’est plus entachée de la contrainte de réécriture totale.

Ces outils existent et feront partie de l’outillage de toute direction informatique dans quelques années. Quand verra-t-on un service spécialisé en évolution technologique dans chaque Direction Informatique, est-ce déjà le cas ?

Les outilleurs :

France

http://www.mia-software.com/

UK

http://www.softwaremining.com

US

http://www.bphx.com

Au-delà du recours aux solutions usuelles que constituent le Recrutement et l’appel à une SSII, on voit poindre aujourd’hui des solutions alternatives novatrices. Le cabinet RéférenceDSI en propose deux. La première est de type “contrat d’assurance”,la seconde, de type “intervention commando”.

Faire un état des lieux préalable

Thibault Cornudet, Directeur Général de RéférenceDSI, explique : “Dans le cadre de la Solution ‘Assurance DSI’, nous effectuons une prestation initiale, menée en étroite collaboration avec le Directeur Informatique en place, pour recenser et consigner l’ensemble des informations nécessaires à la gestion du système d’information. Ces informations sont techniques : ce sont les données relatives à l’exploitation de l’informatique et à l’ensemble des projets d’amélioration en cours.

Elles sont également fonctionnelles : informations relatives à la maîtrise des applications,des flux de données et des projets d’amélioration en cours. Elles sont contractuelles et financières : ce sont les informations relatives à l’ensemble des contrats en cours, des dates d’échéance. … Et enfin humaines et organisationnelles : données ayant trait aux différents intervenants sur l’informatique de l’entreprise.” Le dossier ainsi constitué est régulièrement mis à jour au travers de réunions régulièrement organisées entre le DSI ‘assurance’ et le Directeur Informatique de l’entreprise.Ces réunions ont un double objectif : le DSI assurance acquiert et maintient à jour la connaissance de l’environnement du client en même temps qu’il effectue une mission de coaching du Directeur Informatique de l’Entreprise. Ce dernier bénéficie d’un échange enrichissant avec un de ses pairs.Directeur Informatique de haut niveau, ce dernier lui apporte une prise de recul, un accès à l’état de l’art, un benchmarking et une réassurance sur les décisions clés pour l’entreprise. En cas de problème d’indisponibilité du Directeur Informatique, le DSI Assurance est immédiatement opérationnel pour assurer la continuité de fonctionnement de l’informatique, comme la continuité et la bonne finalisation de l’ensemble des projets en cours. L’Entreprise gagne sur les 2 tableaux : Performance de son informatique, car celle-ci est mieux pilotée, sécurité de son organisation : une des personnes clés est ‘back-upée’ avec efficacité”.

1 Sécuriser, mettre sous contrôle le SI

Frank Lecarpentier, DSI Manager Responsable de l’offre “Solution Ressource” complète : “On ne pouvait pas s’arrêter à une seule solution basée sur une offre de type Assurance, car cette offre est nouvelle et peu de sociétés sont de ce fait couvertes. Nous avons donc formalisé l’offre “Solution Ressource. On intervient dans ce cadre en ‘mode commando’ quand une Entreprise est confrontée à la perte subite de son Directeur Informatique, dans le cadre d’une démarche structurée, visant tout d’abord à veiller à une sécurisation et une mise sous contrôle la plus rapide possible.” C’est la première phase de l’intervention. Elle est assurée par le DSI de Transition. De très haut niveau et immédiatement opérationnel, Il sécurise le S.I. sur les plans techniques et organisationnels ; il s’appuie pour cela sur tous les experts de RéférenceDSI afin de remettre sous contrôle l’ensemble des informations clés garantissant le bon fonctionnement. “Nous sommes intervenus à deux reprises après une tentative de remise sous contrôle via une mise en Tierce Maintenance Applicative, dont les coûts se sont naturellement envolés du fait d’un défaut de maîtrise naturel tant de la part du prestataire que du client”, raconte Thibault Cornudet. “Dans ce cas, il faut tout recadrer : définition précise du périmètre à mettre sous contrôle, compilation des documentations existantes et rédaction éventuelle des parties manquantes, établissement des indicateurs clés (volume de code source, existence ou manque de code source, nombre de dysfonctionnements mensuels) … Ce n’est qu’une fois ce travail fait que l’on peut lancer un appel d’offres pour une TMA et avoir des réponses bien ciblées techniquement et financièrement.” Enfin, la phase de remise sous contrôle effectuée, le DSI de Transition recense l’ensemble du portefeuille projets et fait un point projet avec les Directions métiers impliquées. Il rédige le Rapport de Synthèse et est en relation étroite avec la Direction, il construit le plan d’actions. Ceci fait, nous passons à la phase 2 de l’opération commando qui consiste à donner de la visibilité et à préparer la suite dans le cas où l’absence du DSI est de longue durée voire définitive.

2 Décrire le poste

Dans cette phase 2, le DSI de Transition définit la description de poste du futur Directeur Informatique, et évalue le mode d’intervention le plus adapté : temps plein, temps partagé. Il effectue les tâches préparatoires au lancement du plan d’actions et lance les actions prioritaires.

3 Recruter

Tout est prêt pour lancer la Phase 3 qui consiste à mettre en place la nouvelle organisation et à recruter si nécessaire le futur Directeur Informatique. “Nous avons la chance dans ce cadre de pouvoir nous appuyer sur ‘Recrutement DSI’ qui est notre organisme dédié au Recrutement”,indique Jean Marc Montels, président de RéférenceDSI. “Ils sont hyper réactifs et très pointus, on perd rarement du temps car ils nous proposent rapidement 2 à 3 candidats bien ciblés.Une fois le recrutement effectué, le DSI temps partagé choisi,ou le Directeur Informatique de retour, il ne reste plus qu’à effectuer un transfert de compétence efficace et à conseiller une offre Solution Assurance !” ■

Jean Marc Montels : “Cette expérience nous permet d’intervenir avec efficacité dans des contextes variés : on rencontre, à l’aube du papyboom, de plus en plus de succession de DSI suite à des départs en retraite à assurer. L’embauche du successeur et le fonctionnement en biseau ne sont pas toujours la meilleure des solutions. L’oeil externe d’un professionnel aguerri, bien sûr, surdimensionné pour succéder au Directeur Informatique, mais pleinement dans son rôle et dans sa valeur ajoutée dans la gestion de la transition, va permettre de garantir l’exhaustivité de la prise d’information, la prise de recul nécessaire à la critique constructive du passé pour définir les bases du futur et ainsi permettre la sélection optimale du successeur”.“Le Président d’une PME de la Région Rhône Alpes nous a rapporté dernièrement: “je suis très confiant quant au bon déroulement de la mission de transition :quoi de plus beau pour mon Directeur Informatique que d’effectuer sa dernière année en transmettant son savoir-faire et en préparant l’avènement du nouveau système informatique de la société dans laquelle il s’est investi au quotidien pendant les 15 dernières années !” ■

Joel Pascal

( Article issu du magazine Solutions et logiciels N°12 )

Merci encore au conseil d’administration d’avoir organisé cette sortie !!

Voici quelques photos qui marquent l’instant ….

Merci encore au conseil d’administration d’avoir organisé cette sortie !!

Voici quelques photos qui marquent l’instant ….