Contracter Service Agreement

Document Sample
Contracter Service Agreement Powered By Docstoc
					droit + sécurité = pas si sûr !
                                vincent gautrais
                    professeur agrégé – avocat
                          faculté de droit – UDM
         titulaire de la chaire UDM en droit de
       la sécurité et des affaires électroniques
                              www.gautrais.com
droit versus sécurité
le droit c’est…



    réaction
la sécurité c’est…



      action
le droit c’est…



    stabilité
la sécurité c’est…



     mouvant
le droit c’est…



     vieux
la sécurité c’est…



nouveau (informatique)
le droit de la sécurité



      fusion des 2
le droit de la sécurité



  source de changements
les 3 « p »




 physique
les 3 « p »




 permanent
les 3 « p »




 processuel
substance versus procédure
pas de vide juridique
mais …
flou juridique
    le droit de la sécurité



1 – insécurité sur la substance du droit
le droit de la sécurité


  2 – insécurité sur l’une
  des fonctions du droit
             =
        prévisibilité
4 illustrations



   1 – contrat
4 illustrations



 2 – vie privée
4 illustrations



   3 – preuve
4 illustrations



   4 – SOX
     -1-




econtrat
dessine-moi un contrat?
         normalement …



offre + acceptation
    normalement …




A       B
1386 CCQ. L'échange de consentement
se réalise par la manifestation, expresse
ou tacite, de la volonté d'une personne
d'accepter l'offre de contracter que lui
fait une autre personne.
                c’est aussi...



information + sanction
                mais aussi…



communication + sécurité
           communication                            exemples
                          ORAL                PAPIER           ELECTRONQUE


                    • téléphone           • nappe              • courriel
            BAS                           • fax
securité




                    • vente entre 2       •contrat signé       • courriel avec
                    professionnels                             accusé de
           MEDIUM
                                                               réception

                    • code Hammurabi      • contrat notarial   • contrat avec
                    •contrat de mariage                        PKI
                    • vente immobilière                        • contrat avec
           HAUT                                                une tierce partie
                    Saxon ( 100 A J.C.)
                 consentement =


1) communication   1


2) acceptation     2
           1399 CCQ
                                       1



« Le consentement doit être libre et
             éclairé. »
      lisibilité
                        1



contrat = information
          mais..
                               1



 Pour le moins 10 pratiques
contractuelles pathologiques
1 - lisibilité
                 1
      2 - dynamique
                                             1
7. Privacy; Monitoring the Services
We are under no obligation to monitor the
services, but we may do so from time to
time and we may disclose information
regarding User’s use of the Services for
any reason and at our sole discretion in
order to satisfy applicable laws,
regulations, governmental requests, or in
order to operate and deliver the Services
in an effective manner, or to otherwise
protect us and our Users. We agree to
comply with the terms of our Privacy
Policy as set forth on our FAQ website, as
it may be amended from time to time.
3 - longueur
               1
                        1



information = oxygène
 Feldman v. Google (avril 2007)
« AdWords Agreement gave reasonable notice of its terms. In order to
activate an AdWords account, the user had to visit a webpage which
displayed the Agreement in a scrollable text box. (…) the text of the
AdWords Agreement was immediately visible to the user, as was a
prominent admonition in boldface to read the terms and conditions
carefully, and with instruction to indicate assent if the user agreed to the
terms. That the user would have to scroll through the text box of the
Agreement to read it in its 14 entirety does not defeat notice because there
was sufficient notice of the Agreement itself and clicking “Yes” constituted
assent to all of the terms. The preamble, which was immediately visible,
also made clear that assent to the terms was binding. The Agreement was
presented in readable 12-point font. It was only seven paragraphs long –
not so long so as to render scrolling down to view all of the terms
inconvenient or impossible. A printer-friendly, full-screen version was
made readily available. The user had ample time to review the
document. »
       4 - hyperliens
                                   1



linéarité versus hypertextualité
5 – où est le e-contrat ?
                            1
6 – documents légaux multiples
                                                  1

                   Copyright
                   Privacy
                   Cookies
                   Terms and Conditions of Sale
                   Terms of Use
                   Limited Warranty
                   Service Contracts
                   Hardware Technical Support
                   Policy
                   Etc.
   7 - terminologies juridiques
                                                                                                         1
THE SERVICES PROVIDED BY US ARE PROVIDED "AS IS." WE MAKE NO WARRANTY OF ANY KIND, EXPRESSED OR IMPLIED, INCLUDING,
BUT NOT LIMITED TO ANY WARRANTY OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR NON-INFRINGEMENT, OR ANY
WARRANTY REGARDING THE RELIABILITY OR SUITABILITY FOR A PARTICULAR PURPOSE OF ITS SERVICES. USER UNDERSTANDS AND
ACKNOWLEDGES THAT WE EXERCISE NO CONTROL OVER THE NATURE, CONTENT OR RELIABILITY OF THE INFORMATION AND/OR
DATA PASSING THROUGH OUR NETWORK. NO ORAL OR WRITTEN INFORMATION OR ADVICE GIVEN BY US, ITS DEALERS, AGENTS OR
EMPLOYEES SHALL CREATE A WARRANTY AND USER MAY NOT RELY ON ANY SUCH INFORMATION OR ADVICE. WE MAKES NO
WARRANTY OF ANY KIND, EITHER EXPRESSED OR IMPLIED, REGARDING THE QUALITY, ACCURACY OR VALIDITY OF THE INFORMATION
AND/OR DATA RESIDING ON OR PASSING THROUGH ANY NETWORK. USE OF ANY INFORMATION AND/OR DATA OBTAINED FROM OR
THROUGH SERVICES PROVIDED BY US WILL BE AT USER’S OWN RISK. USER ACKNOWLEDGES THAT WE ARE NOT LIABLE FOR ANY
ERRORS OR INTERRUPTION IN THE INSTALLATION PROCESS OR IN PROVIDING THE SERVICES, WHETHER WITHIN OR OUTSIDE THE
CONTROL OF US. UNDER NO CIRCUMSTANCES SHALL THE USER HOLD US OR ANY OF OUR AGENTS, CONTRACTORS OR
REPRESENTATIVES RESPONSIBLE FOR ANY FORM OF DAMAGES OR LOSSES (INCLUDING WITHOUT LIMITATION ANY DIRECT, INDIRECT,
CONSEQUENTIAL OR INCIDENTAL DAMAGES OR LOSSES) SUFFERED FROM, BUT NOT LIMITED TO ERRORS, DELAYS, LOSS OF
INFORMATION, DELAYS IN THE INSTALLATION OR PROVISIONING PROCESS, OR INTERRUPTIONS IN THE SERVICES CAUSED BY THE
USER, US OR A THIRD PARTY’S NEGLIGENCE, FAULT, MISCONDUCT OR FAILURE TO PERFORM. USER UNDERSTANDS THAT
TELECOMMUNICATION AND/OR NETWORK ACCESS SERVICES MAY BE TEMPORARILY UNAVAILABLE FOR SCHEDULED OR
UNSCHEDULED MAINTENANCE AND FOR OTHER REASONS WITHIN AND OUTSIDE OF THE DIRECT CONTROL OF US. UNDER NO
CIRCUMSTANCES DO ANY SUCH ERRORS, DELAYS, INTERRUPTIONS IN SERVICES OR LOSS OF INFORMATION NULLIFY OR MODIFY
THESE TERMS AND CONDITIONS. WE RESERVE THE RIGHT TO REFUSE OR TERMINATE SERVICES TO A USER AT ANY TIME WITHOUT
CAUSE. THE INTERNET CONTAINS UNEDITED MATERIALS, WHICH MAY BE SEXUALLY EXPLICIT, OR MAY BE OFFENSIVE TO YOU OR
OTHERS ACCESSING THE SERVICES. WE HAVE NO CONTROL OVER SUCH MATERIALS AND ACCEPT NO RESPONSIBILITY FOR SUCH
MATERIALS.
7 – terminologies   1
8 – titres non juridiques
                                              1
consumer contract      Privacy « contract »
• terms of Services    • privacy
• conditions of Use    • confidentiality
• conditions of Sale   • FAQ
• notice               • security
• legal                • legal
• waiver               • waiver
• licence              • licence
• etc.                 • notice
                       • etc.
9 –clauses abusives
                      1
10 –clauses stupides
 DELL (INCLUDING DELL’S PARENTS, AFFILIATES, OFFICERS,
 DIRECTORS, EMPLOYEES OR AGENTS) DOES NOT ACCEPT
 LIABILITY BEYOND THE REMEDIES SET FORTH HEREIN,
 INCLUDING ANY LIABILITY FOR PRODUCTS NOT BEING
 AVAILABLE FOR USE, LOST OR CORRUPTED DATA OR
 SOFTWARE, PRODUCTS SOLD THROUGH DELL’S SOFTWARE
 AND PERIPHERALS DIVISION, OR THE PROVISION OF
 SERVICES OR SUPPORT. DELL WILL NOT HAVE ANY LIABILITY
 FOR ANY DAMAGES ARISING FROM THE USE OF THE
 PRODUCTS IN ANY HIGH RISK ACTIVITY, INCLUDING, BUT NOT
 LIMITED TO, THE OPERATION OF NUCLEAR FACILITIES,
 AIRCRAFT NAVIGATION OR COMMUNICATION SYSTEMS, AIR
 TRAFFIC CONTROL, MEDICAL SYSTEMS, LIFE SUPPORT OR
 WEAPONS SYSTEMS. DELL WILL NOT BE LIABLE FOR LOST
 PROFITS, LOSS OF BUSINESS, OR OTHER INCIDENTAL,
 INDIRECT, CONSEQUENTIAL, SPECIAL OR PUNITIVE DAMAGES,
 EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGES,
 OR FOR ANY CLAIM BY ANY THIRD PARTY EXCEPT AS
 EXPRESSLY PROVIDED HEREIN.
10 –clauses stupides

 « Do not use the ING DIRECT Web Site to communicate
 to others, to post on the ING DIRECT Web Site, or
 otherwise transmit to the ING DIRECT Web Site, any
 materials, information, or communication that either
 causes any harm to any person or that is illegal or
 otherwise unlawful, including without limitation any
 hateful, harassing, pornographic, obscene, profane,
 defamatory, libellous, threatening materials which
 constitutes or may encourage conduct that would be
 considered, a criminal offence, give rise to civil liability,
 promote the excessive, irresponsible or underage
 consumption of alcohol, or otherwise violate any law or
 regulation. »
10 –clauses stupides


 « The limited warranty set forth below is given by
 Canon U.S.A., Inc. (Canon U.S.A.) in the United
 States or Canon Canada Inc., (Canon Canada) in
 Canada with respect to the Canon-brand PowerShot
 Digital Camera purchased with this limited warranty,
 when purchased and used in the United States or
 Canada. »
solutions simples
                           1

  •   court
  •   langage accessible
  •   humanité
  •   lent
  •   visuel
exemple intéressant :
                              1




    www.creativecommons.ca/
           1399 CCQ
                                       2



« Le consentement doit être libre et
            éclairé. »
                 2

A. Shrink wrap

B. Click wrap

C. Browse wrap
1 - shrink wrap
                              2.A




        ProCD (US - 1996)
       King (Canada - 1989)
2 - Click wrap – Dell
                                       2.B
• Dell Computer c. Union des
  consommateurs - Cours suprême du
  Canada (13 juillet 2007)

• 2 questions principales
  – Clause arbitrale et consommation
  – Validité du eContract

  – Lire aussi « Dell a gagné »
Click 1
Click 2
Click 3
Click 4
3 - Browse wrap   2.C
        -2-




evie privée
                        sources juridiques
• Loi sur la protection des renseignements personnels
dans le secteur privé (1994 - Québec)
• Loi sur la protection des renseignements personnels et
les documents électroniques (2000 - Canada) (PEPIDA)
• Annexe 1 de la précédente Loi (Principes énoncés dans
la norme nationale du Canada intitulée code type sur la
protection des renseignements personnels, CAN/CSA-
Q830-96)
• Loi concernant le cadre juridique des technologies de
l’information (2001 - Québec)
• CCQ, articles 2085 et suiv.
• Et d’autres …
                                         introduction

• Vie privée existe depuis longtemps mais…

• La problématique change avec l’électronique
– Tellement facile de copier
– Tellement facile de vendre, céder, échanger ces informations
– Tellement facile de ne pas se rendre compte que des informations
personnelles nous concernant circulent
– Tellement facile de les communiquer à autrui.
                                          définition

• Définition dans PEPIDA: « article 2: «renseignement
  personnel » Tout renseignement concernant un
  individu identifiable, à l'exclusion du nom et du titre
  d'un employé d'une organisation et des adresse et
  numéro de téléphone de son lieu de travail. »

• Définition dans la loi québécoise: Article 2: « Est un
  renseignement personnel, tout renseignement qui
  concerne une personne physique et permet de
  l'identifier. » (aucune restriction)
               en pratique, un RP c’est…

• Un numéro de carte de crédit
• Des indications personnelles sur sa race, sa santé, son
  crédit, etc…
• Mais aussi…
   – Nom, prénom, courriel, âge, téléphone, adresse, etc…
   – Habitudes d’achat
   – Il faut aussi parfois qu’il y ait un lien entre les informations
   – Cela ne concerna pas non plus les éléments qui sont du
     domaine public
   – Etc.
                                   principes

• Il y a les principes généraux (10 principes)

• Et il y a les principes spécifiques (10
  principes)

• Même si recoupements possibles
                          principes généraux
                            annexe 1 PEPIDA
1. Responsabilités
2. Finalités
3. Consentement
4. Limitations de la collecte
5. Limitation de l’utilisation, communication et de la
conservation
6. Exactitude
7. Sécurité
8. Transparence
9. Accès
10. Recours
                            principes généraux
1. Responsabilité
« Une organisation est responsable des renseignements personnels
dont elle a la gestion et doit désigner une ou des personnes qui devront
s’assurer du respect des principes énoncés ci-dessous. »

« Les organisations doivent assurer la mise en oeuvre des politiques
et des pratiques destinées à donner suite aux principes, y compris :
a) la mise en oeuvre des procédures pour protéger les
renseignements personnels ;
b) la mise en place des procédures pour recevoir les plaintes et les
demandes de renseignements et y donner suite ;
c) la formation du personnel et la transmission au personnel de
l’information relative aux politiques et pratiques de l’organisation ; et
d) la rédaction des documents explicatifs concernant leurs politiques et
procédures.
                     principes généraux
2. Finalités

« Les fins auxquelles des renseignements personnels sont
recueillis doivent être déterminées par l’organisation avant
la collecte ou au moment de celle-ci. »
                     principes généraux
3. Consentement

« Toute personne doit être informée de toute collecte,
utilisation ou communication de renseignements
personnels qui la concernent et y consentir, à moins qu’il
ne soit pas approprié de le faire. »

EX: Selon une décision du Commissariat à la vie privée
(Conclusion #40, 2002 IIJCan 42369 (C.V.P.C.)), du 12
mars 2002, une banque ne peut exiger d’une personne
souhaitant ouvrir un compte sans avoir un quelconque
crédit (simplement pour déposer des chèques), une étude
crédit classique avec présentation d’un NAS.
                     principes généraux
4. Limitation de la collecte

« L’organisation ne peut recueillir que les renseignements
personnels nécessaires aux fins déterminées et doit
procéder de façon honnête et licite. »
                         principes généraux
5. Limitation du traitement
« Les renseignements personnels ne doivent pas être utilisés ou
communiqués à des fins autres que celles auxquelles ils ont été
recueillis à moins que la personne concernée n’y consente ou que la loi
ne l’exige. On ne doit conserver les renseignements personnels
qu’aussi longtemps que nécessaire pour la réalisation des fins
déterminées. »

EX: Selon une décision du Commissariat à la vie privée (Conclusion
#121, 2003 IIJCan 33645 (C.V.P.C.)), du 23 janvier 2003, une banque
est responsable d’un employé qui utilise des renseignements sur un
client pour commettre une fraude. En l’occurrence, le
dédommagement offert par la banque est jugé suffisant.
                      principes généraux
6. Exactitude

« Les renseignements personnels doivent être aussi
exacts, complets et à jour que l’exigent les fins auxquelles
ils sont destinés. »
                    principes généraux
7. Mesures de sécurité
« Les renseignements personnels doivent être protégés au
moyen de mesures de sécurité correspondant à leur degré
de sensibilité. »
EX: Selon une décision du Commissariat à la vie privée
(Conclusion #177, 2003 IIJCan 38271 (C.V.P.C.)), du 05
juin 2003, une banque ne peut laisser un ordinateur
connecté à des renseignements personnels dans une aire
publique sans mot de passe.
EX: Selon une décision du Commissariat à la vie privée
(Conclusion #289, 2005 IIJCan 15488 (C.V.P.C.)), du 03
février 2005, une banque est resposable du vol d’un
ordinateur portatif de l’une de ses employée.
                          principes généraux
8. Transparence
« Une organisation doit faire en sorte que des renseignements précis
sur ses politiques et ses pratiques concernant la gestion des
renseignements personnels soient facilement accessibles à toute
personne. »
EX: Selon une décision du Commissariat à la vie privée (Conclusion
#183, 2003 IIJCan 38064 (C.V.P.C.)), du 10 juillet 2003, une banque
n’est pas tenue de publier ses politiques et ses pratiques
concernant la gestion des renseignements personnels. Il est
notamment précisé que « le commissaire était d’avis qu’une institution
bancaire doit savoir de façon plus générale quelles seront les
conséquences de la diffusion de détails sur ses politiques et pratiques.
Il a trouvé logique qu’une banque ne veuille pas rendre public les
étapes précises suivies pour empêcher la fraude, puisque les criminels
pourraient utiliser cette information pour déjouer les mesures de
protection de l’institution ».
                       principes généraux
9. Accès

« Une organisation doit informer toute personne qui en fait
la demande de l’existence de renseignements personnels
qui la concernent, de l’usage qui en est fait et du fait qu’ils
ont été communiqués à des tiers, et lui permettre de les
consulter. Il sera aussi possible de contester l’exactitude et
l’intégralité des renseignements et d’y faire apporter les
corrections appropriées. »
                     principes généraux
10. Plaintes



« Toute personne doit être en mesure de se plaindre du
non-respect des principes énoncés ci-dessus en
communiquant avec le ou les personnes responsables de
les faire respecter au sein de l’organisation concernée. »
                principes spécifiques
1.    Existence d’une politique
     – Reprendre les éléments de base
     – Les respecter
     – Écrire une politique lisible
     – Disposer cette politique dans un endroit
        stratégique (voir par exemple les exigences de
        TrustE)

2.    Inscrire dans la politique la finalité de la collection,
      l’utilisation ou la communication des RP
               principes spécifiques
3.   Aménager le consentement
       •   OPT-IN: droit d’opposition quant à l’utilisation
           ultérieure
                 » Soit actif
                 » Soit passif
       •   OPT-OUT: droit de retrait
                 » N’importe quand
                 » Ne plus utiliser les RP pour les finalités déjà
                    consenties
       •   Attention au formulaire de renonciation (idem contrat)
                principes spécifiques
4.   Utilisation des cookies. Sont-ils comestibles?
        •   Qu’est-ce c’est?
        •   A quoi ça sert?
                 » Retracer
                 » Sécurité
                 » Faciliter l’utilisation (ex: panier d’achat)
        •   Expliquer ce que c’est et dire comment s’en prémuni
                principes spécifiques
5.     Le droit d’accès
6.     Le respect d’une certaine sécurité
7.     Mettre la liste des RP saisis sur le site et
       éventuellement préciser ceux qui ne le sont pas
8.     Éventuellement envisager des situations spéciales
selon les spécificités du site
           • Enfants
           • Informations sur la santé
9.     Éventuellement faire une mention de la loi
       applicable
10.    Éventuellement permettre un lien par courriel à un
       responsable des RP sur le site
    -3-




epreuve
 loi concernant le cadre juridique des
technologies de l’information (LCCJTI)
            (L.R.Q. c-1.1)
             Afin d’y voir clair
Guide relatif à la gestion des documents
       technologiques (11/2005)




                    Afin d’y voir clair
              Guide relatif à la gestion des documents technologiques
1
          nouveaux



risques
                     nouveau




document « technologique »
            nouveaux



avantages
                nouveaux



inconvénients
                  nouveaux objectifs
• enlever barrières
– EX: écrit
– EX: signature
– EX: original
• élever sécurité
– EX: un courriel
– EX: c’est quoi être sécuritaire?
• protéger les personnes
– EX: 29 LCCJTI
       nouveaux vocabulaire

   identifiant                        document
                                    technologique
                     transfert

etc…            documentation
                                    document

certification
                     cycle de vie
2
         neutralité technologique
• Loi ne favorise pas une technologie
– EX: Utah, Singapour, Italie, Portugal,
Allemagne, etc.
– EX: certification
• Mais loi être néanmoins assez prescriptive
– Neutre ne veut pas dire silence
– Lois silencieuses
          • EX: Qu’est qu’être intègre?
          • EX: 34 LCCJTI
       équivalence fonctionnelle
• Rechercher les fonctions du papier et les
transposer
–   Document             trouver un critère
–   Écrit                transposable
–   Signature            à chaque
–   Original             concept tant pour le
–   Copie                papier que pour
                         l’électronique
                                    écrit
loi concernant le cadre juridique des
technologies de l’information (L.R.Q. c. C-
1.1) art. 5

            écrit = intégrité
                                signature



2827 Cc.Q.: « La signature consiste dans
l'apposition qu'une personne fait sur un acte de
son nom ou d'une marque qui lui est personnelle
et qu'elle utilise de façon courante, pour
manifester son consentement.
                       signature




Droit réfère parfois aux TI
                                       signature
 United Nations Convention on the Use of Electronic
  Communications in International Contracts (2005)

9. 3. and
(…)
(b) The method used is (…) :
(i) As reliable as appropriate for the purpose for which
the electronic communication was generated or
communicated, in the light of all the circumstances,
including any relevant agreement;
                                    signature

      Ontario and Electronic Commerce Act

  (…)
• (a) the electronic signature is reliable for the
  purpose of identifying the person; and
• (b) the association of the electronic signature
  with the relevant electronic document is reliable.
                                         signature

Uniform Electronic Transaction Act (USA)

  “the use of security procedures is simply one method for
  proving the source or content of an electronic record or
  signature. A security procedure may be technologically
  very sophisticated, such as an asymetric cryptographic
  system. At the other extreme the security procedure may
  be as simple as a telephone call to confirm the identity of
  the sender through another channel of communication. It
  may include the use of a mother's maiden name or a
  personal identification number (PIN). Each of these
  examples is a method for confirming the identity of a
  person or accuracy of a message.”
                   signature


     fiability ?



security procedure ?
                          signature




contrat décline sa responsabilité
                   signature




information = oxygène
                              signature




Si pas de responsabilité = pas de sécurité
                                            intégrité


                      2838 CCQ
Outre les autres exigences de la loi, il est nécessaire,
    pour que la copie d'une loi, l'acte authentique,
  l'acte semi-authentique ou l'acte sous seing privé
 établi sur un support faisant appel aux technologies
     de l'information fasse preuve au même titre
      qu'un document de même nature établi sur
   support papier, que son intégrité soit assurée.
                                          intégrité


                     2839 CCQ
L'intégrité d'un document est assurée, lorsqu'il
est possible de vérifier que l'information n'en est
    pas altérée et qu'elle est maintenue dans
son intégralité, et que le support qui porte cette
       information lui procure la stabilité
              et la pérennité voulue.
3
                 gestion documentaire

• Transfert

• Conservation

• Consultation

• Communication
                                             transfert
• Définition: Faire passer un document technologique
d’un support à un autre. Le document sur le nouveau
support a la même valeur juridique que l’ancien et le
document sur l’ancien support peut par la suite être détruit.

• Exemple: Une entreprise numérise des masses de
documents papier, pour des raisons de coûts d’archivage
ou pour faciliter les recherches, et les transfère ensuite sur
un cédérom.

• Conditions légales: 1) documenter en précisant QUI –
QUOI – COMMENT; 2) préserver l’intégrité.
                                        conservation
•Définition: Remiser des documents d’une façon telle que l’on puisse
les retrouver ultérieurement, sur demande, et sans qu’ils n’aient été
altérés. Pour des raisons fiscales, administratives ou légales, la
plupart des entreprises ont une obligation de conserver certains
documents.
• Exemples: Un particulier qui achète un produit en ligne peut avoir
intérêt à garder une trace d’un accusé de réception qui lui a été
envoyé par le commerçant après que le paiement ait été transmis et
avant que ledit produit ne soit en sa possession. À des fins
comptables, une entreprise peut avoir à conserver certains
documents jusqu’à 10 ans.
• Conditions légales: 1) Désigner une personne assignée, au sein
de l’organisation, pour les questions de sécurité ou sous-traiter à un
service d’intermédiaires. 2) S’assurer que les documents conservés
soient intègres et disponibles pendant toute la durée de
conservation. 3) S’assurer que la personne assignée qui modifie un
document conservé, et donc remet en cause sciemment son intégrité,
explique dans le document lui-même ou dans un autre qui y est
associé : QUI – QUOI – COMMENT - QUAND
                                               consultation
• Définition: Rendre disponible à des personnes habilitées un document
présenté dans une forme intelligible.
• Exemples: La Loi sur l’accès aux documents des organismes publics et sur la
protection des renseignements personnels oblige les instances publiques à
rendre accessibles aux citoyens les renseignements personnels qu’elles
détiennent sur eux. La Loi sur la protection des renseignements personnels
dans le secteur privé oblige les entreprises à rendre accessibles aux usagers
des documents contenant des renseignements personnels sur eux. La Loi sur
la valeurs mobilières oblige parfois les personnes morales à transmettre aux
investisseurs certains documents relatifs à leur entreprise (tels des états
financiers ou des communiqués de presse).
• Conditions légales: S’assurer que les documents sont intelligibles, lisibles.
Laisser à la personne qui dispose du droit d’accès la liberté de choisir entre
un document papier ou un document utilisant une technologie de l’information.
Organiser un accès particulier lorsque les documents qui doivent être rendus
accessibles contiennent des renseignements personnels ou confidentiels,
par essence plus sensibles, à savoir : identifier une personne assignée et
interdire l’accès aux autres;faire en sorte qu’il soit impossible de faire de la
recherche extensive, c’est-à-dire qu’il ne peut être permis par exemple de
vérifier dans une banque de données de jugements les noms des parties;
mettre en place un encadrement sécuritaire suffisant; et s’assurer que les
conditions qui s’appliquent pour les documents contenant des renseignements
personnels soient respectées.
                                    communication
• Définition: Transmettre un document d’une personne à une autre en
faisant appel aux technologies de l’information, sauf interdiction d’une
loi ou d’un règlement.
• Exemple: Le courriel est un moyen usuel pour transmettre un
document attaché. L’industrie transmet très souvent des documents
électroniques : échanges de documents informatisés, transferts
électroniques de fonds, etc.
• Conditions légales: Pour que le document expédié ait la même
valeur que celui qui a été reçu, s’assurer :
 – de l’intégrité des deux documents et de documenter la façon de
 faire pour parvenir à cette fin.
 – Présumer qu’un document technologique est transmis lorsque
 l’expéditeur n’a plus le contrôle de celui-ci. Pour plus d’assurance, un
 bordereau d’envoi peut être généré par le système de l’expéditeur.
 – Présumer qu’un document technologique est reçu lorsqu’il est
 accessible au destinataire. Pour plus d’assurance, un accusé de
 réception peut être généré par le système du destinataire.
 – S’assurer qu’un document qui contient des informations
 confidentielles :soit transmis par un moyen jugé approprié et que la
 transmission soit documentée.
4
                            preuve


preuve = intégrité + identité



       présomptions
                          preuve



EX: admission d’un courriel
        Loi concernant le cadre juridique
        des technologies de l’information
     Loi concernant le cadre juridique des
          technologies de l’information
                (L.R.Q. c-1.1)


• « Froid » jurisprudentiel
• « Froid » réglementaire
• « Froid » doctrinal
          Loi concernant le cadre juridique
          des technologies de l’information
• «Froid» jurisprudentiel sur le plan
  quantitatif

  – Bélanger c. Future Électronique, 2005 QCCRT 0570
  – Citadelle, Cie d’assurance générale c. Montréal
    (Ville), 2005 IIJCan 24709 (QC C.S.)
  – Vandal c. Salvas [2005] IIJCan 40771 QC. C.Q.
                Loi concernant le cadre juridique
                des technologies de l’information
• «Froid» réglementaire

  – Aucune suite aux articles 63 et suivants…

  63. Pour favoriser l’harmonisation, tant au plan national qu’international, des
     procédés, des systèmes, des normes et des standards techniques mis en
     place pour la réalisation des objets de la présente loi, un comité
     multidisciplinaire est constitué. À cette fin, le gouvernement, après
     consultation du Bureau de normalisation du Québec, fait appel à des
     personnes provenant du milieu des affaires, de l’industrie des technologies
     de l’information et de la recherche scientifique et technique, à des
     personnes provenant des secteurs public, parapublic et municipal ainsi
     qu’à des personnes provenant des ordres professionnels, toutes ces
     personnes devant posséder une expertise relative audomaine des
     technologies de l’information.
         Loi concernant le cadre juridique
         des technologies de l’information
• « Froid » doctrinal

  – Peu d’interprétations

  – Interprétations contradictoires

  – Prévisibilité juridique réduite
5
              1457 CCQ


                      faute
    dommage




1 – qui ?
               lien
       LPRPDE + LPRPSP +
                  LCCJTI
           finalité
                              sécurité


   limitation         accès



                      consentement
2 – quoi ? =>
confidentialité
6
 principe 1: documenter

          transmission

                                transfert
conservation


  documents              améliorer
 confidentiels            preuve
       -4-




conformité
                        sécurité et finances
• Quelles sont les éléments susceptibles d’être modifiés
  par Internet ?
   – La vie privée
   – La diffusion de l’information
   – Les aspects internationaux
   – La fraude et les aspects reliés à la lutte contre la
     criminalité
   – La vente de VM via Internet
   – La divulgation d’informations financières sur le
     site Internet de la compagnie
   – Les règles de conformité
               les règles de conformité
• Au départ Enron, WorldCom, etc.
• Collusion entreprise / compagnies de comptables
• Solutions proposées
 – Intégrité de l’info.
 – Intégrité des personnes
• SOX (Sarbanes Oxley Act)
• Équivalent au Canada
 – Règlement 52-109 sur l’attestation de l’information présentée dans
 les documents annuels et intermédiaires des émetteurs
 – Règlement 52-111 sur les rapports sur le contrôle interne à l’égard
 de l’information financière
           les règles de conformité
    Niveau             Niveau        Niveau applicatif
 règlementaire     intermédiaire
ACVM 52-111        COCO            Tendance         «contrôle
Instruction ACVM   COSO            qualité»
52-111             Turnbull               ITIL
                                          ISO 9000
ACVM 52-109
                                          NQI
ACVM 52-108                         Tendance « sécurité »
                                          ISO 17799
                                          GAISP
                                          Octave
                                          Méhari
                                   Tendance         «contrôle
                                   interne»
                                          COBIT
                                          OECD
                                          CICA
                                                                     média
•Media et «axe du mal»

•77% des «evening news» 01 à 07/2002 (11% en 2001)

• «Politics, not economics, determines which corporate governance devices tend
to be disfavored»(Jonathan Macey Professeur de droit à Yale)

• «It follows from the insight that regulation like SOX is not so much for the benefit
of investors, who will avoid future risk, but for that of reputable sellers who will
lose business unless they can persuade buyers that the sharks are gone and it is
safe to swim» (Henry N. Butler and Larry E. Ribstein - The Sarbanes Oxley
Debacle, 2006)

• «Shoot first, ask questions later», Henry N. Butler and Larry E. Ribstein - The
Sarbanes Oxley Debacle, 2006

• RÉSULTAT DE SOX: Résultat du 25 juillet 2002 Chambre des représentants :
422 versus 3
                       politique

«the most far-reaching reforms
of American business practices
since the time of Franklin
Delano Roosevelt»

                   G. W. Bush
             fondamentaux de SOX

          •Plus de contrôle interne

         •Plus de vérification externe

             •Plus de divulgation

        •Plus de sanctions criminelles

•Plus d’attestations personnelles des dirigeants
  section 404: Management
Assessment of Internal Controls
« Rules Required. The Commission shall prescribe rules
requiring each annual report required by section 13(a) or
15(d) of the Securities Exchange Act of 1934 to contain an
internal control report, which shall:

state the responsibility of management for establishing and
maintaining an adequate internal control structure and
procedures for financial reporting; and

•contain an assessment, as of the end of the most recent
fiscal year of the issuer, of the effectiveness of the internal
control structure and procedures of the issuer for financial
reporting ».
                                 attention au 404
«404 File Not Found » (en français, « fichier non trouvé ») est un code
d'erreur dans le protocole HTTP. Ce code est renvoyé par un serveur
HTTP pour indiquer que la ressource demandée (généralement une
page Web) n'existe pas. Le premier 4 indique une erreur dans la
requête, ici une mauvaise URL, venant d'une page obsolète ou d'une
erreur de saisie d'adresse Web de la part du visiteur. Le dernier 4
indique le problème causé par cette erreur : la ressource est
introuvable.
•Les numéros d'erreur sont définis dans les spécifications du protocole
de communication HTTP.»

                                                             •wikipedia
                 inflation réglementaire
•Final Rule: 33-8238. Management's Reports on Internal
  Control Over Financial Reporting and Certification of
      Disclosure in Exchange Act Periodic Reports

          •Réfèrant à plusieurs «standards»

              •Référant à des «Reports»
                         critiques inhérentes
• Atteintes à la délégation (favorise l’esprit de dépanneur)

• Atteinte à l’innovation (indiquer tous les changements)

• Coûts prohibitifs (très différents des estimations de la
SEC) même si frise la fantaisie

• Conséquences de l’ultra-responsabilisation des dirigeants
(plus de suivi – coûts de gestion en hausse)

•« Hyper-oxygénation informationnelle »

• Prise de pouvoir des «technos»
 place de la technologie


Intégrité financière
          =
 intégrité technique
                         critiques globales
• Responsabilités des États et non du fédéral

• Concurrence des Etats-Unis par des pays plus «laxistes»

• Fait fuire les investissements étrangers

• Limite le risque

• Trop peu flexibles selon la taille des compagnies

• Variations cacophoniques selon les pays (parfois illégal)
                                                      404
• Délais (31 décembre 2007)

• Appel au «repeal»

• Une législation si décriée ne peu pas être si manifestement
mauvaise
                      Canada
• Attentisme déclaré (31/12/2007)

• Consultation en cours

• Documents en cours
    - 52-109
    - instructions 52-109
    - 52-111
    - instructions 52-111
    - et autres…
substance versus procédure
        (les revoilà)
                               conclusion


• documentation inhérente à la preuve
électronique

• sécurité électronique implique Document +
environnement

• procéduralisation du droit
droit + sécurité = pas si sûr !
                                vincent gautrais
                    professeur agrégé – avocat
                          faculté de droit – UDM
         titulaire de la chaire UDM en droit de
       la sécurité et des affaires électroniques
                              www.gautrais.com

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:8
posted:2/7/2011
language:French
pages:145
Description: Contracter Service Agreement document sample