Les nouvelles règles sur Les nouvelles règles sur l'archivage
l'archivage électronique : électronique : mise en œuvre pratique mise en œuvre pratique
1
Vincent Wellens
Vincent Wellens, Avocat , Avocat
Barreau Bruxelles/Luxembourg
Barreau Bruxelles/Luxembourg
Objectifs
Objectifs de la de la présentation présentation
Donner une introduction aux règles imminentes sur la dématérialisation et la conservation électronique de documents à valeur probante…
…sans perdre de vue d’autres règles applicables à un projet d’archivage électronique…
…afin de permettre aux entreprises de mieux définir leurs stratégies d’archivage et d’y intégrer le cadre juridique imminent
2
Plan de la
Plan de la présentation présentation
I. Réglementation relative à l’archivage électronique
A. Contexte juridique de l’archivage : régimes de preuve et de conservation
B. Règles relatives à l’archivage actuellement en vigueur C. Projet de loi à l’archivage électronique
D. Projet de règlement grand-ducal
II. Autres règles applicables à un projet d’archivage électronique
A. Protection de données à caractère personnel B. Réglementation financière
C. Droit de la faillite
3
I.
I. Archivage Archivage électronique électronique
A. Contexte juridique : régimes de preuve et de conservation B. Règles d’archivage en vigueur C. Projet de loi
D. Projet de règlement grand- ducal
4
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage L’archivage électronique s’inscrit dans un contexte juridique marqué
par une panoplie de règles relatives à :
la preuve (1.)
la conservation de documents (2.)
la prescription d’actions en justice (3.)
Ce contexte juridique va marquer la classification et les modalités de gestion des documents dans un projet d’archivage électronique
5
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage 1. Les régimes de preuve
La charge de la preuve incombe à celui invoque une obligation ou un fait
exceptions : présomptions et renversements de la preuve
Actes juridiques (contrats et engagements unilatéraux)
principe : preuve littérale (art. 1341 C.civ.)
acte « authentique » : notaire
acte « sous seing privé » : avec signature manuscrite ou électronique
identifiant celui qui l’appose et manifeste son adhésion au contenu de l’acte
preuve par témoins ou présomptions exclue (en principe)
6
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage
exceptions : actes d’une valeur de moins de 2.500 EUR : preuve libre
engagements de commerçants (art. 109 C.Comm.) : preuve libre
photocopies, factures …
« commencement de preuve par écrit »
écrit émanant de celui contre qui la demande est formée (par exemple, e-mails reçus) qui ouvrent la possibilité de fournir en preuve libre une confirmation du contenu de l’acte
conventions de preuve
contrats de consommation en ligne : garanties supplémentaires < C.consom.
7
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage Faits juridiques : liberté de preuve
des pièces dressées de manière unilatérale n’ont (en principe) pas de valeur probante (par ex. e-mails envoyés sans « read receipt »)
droit administratif / droit pénal
preuve
preuve littérale littérale : « : « force force » probante liant le juge » probante liant le juge
↕↕
preuve
preuve libre libre : « : « valeur valeur » probante à l’appréciation du juge » probante à l’appréciation du juge
8
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage 2. Les régimes de conservation
Législation commerciale / comptable (art. 11-16 C.comm.) :
documents à conserver :
art. 11 C.comm. : inscription des opérations (de manière fidèle et complète et par ordre de dates) dans un livre journal unique ou dans un système de
journaux spécialisés (avec livre centralisateur unique)
art. 12 C.comm. : plan comptable
art. 14 C.comm. : pièces justificatives + lettres reçues et copies lettres envoyées
possibilité de conserver uniquement des copies mais conditions
d’équivalence pour le maintien de la valeur probante (art. 16 C.comm.)
durée de conservation de 10 ans
9
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage Législation fiscale :
exige le respect des règles de conservation du C.comm.
durée de conservation : 10 ans
règles de conservation spécifiques à la TVA (loi 1979 – modifiée en 2013)
possibilité élargie d’émettre des factures électroniques :
authenticité de l’origine – intégrité du contenu – lisibilité de la facture
acceptation de l’autre partie
signature électronique + EDI : présomption de conformité avec ces conditions
règles de conservation (aussi pour les factures papier) :
authenticité de l’origine – intégrité du contenu – lisibilité de la facture
durée de conservation : 10 ans
règles sur la conservation de données à l’étranger
10
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage Législation sociale :
une très grande partie des documents sociaux doit être conservée déjà en vertu des dispositions du C.comm.
registre spécial ou fichier avec toutes les prolongations de la durée normale du travail, les heures prestées les dimanches, les jours fériés légaux ou la nuit ainsi que les rétributions y relatives (art. L. 211-29 C.
Trav.)
livre sur le congé légal des salariés (art. L. 233-17 C. Trav.)
11
I.A. Contexte juridique de l’archivage I.A. Contexte juridique de l’archivage 3. Les délais de prescription
Prescription générale : 30 ans (art. 2262 C.civ.)
Exceptions :
obligations d’un commerçant : 10 ans (art. 189 C.comm.)
actions en paiement des rémunérations de toute nature dues au salarié (art. 2277 C.civ.) : 3 ans
actions des marchands pour les marchandises qu'ils vendent aux particuliers non marchands (art. 2272 C.civ.) : 1 an
12
I.B. Règles d’archivage en vigueur I.B. Règles d’archivage en vigueur
Déjà dans les années ‘80 les entreprises luxembourgeoises (surtout dans le secteur financier) devaient faire face à la gestion en masse de documents
Introduction d’un cadre juridique en 1986 (modifié en 2000) permettant la destruction de documents originaux papier
art. 1334 Code civil : copies informatiques d’originaux : même valeur probante qu’un acte sous seing privé si original n’existe plus
art. 16 Code de Commerce : copies informatiques de pièces comptables avec maintien de valeur probante
exception : bilan et compte de profits et pertes
conditions d’équivalence dans un règlement grand-ducal de 1986
13
I.B.
I.B. Règles Règles d’archivage en vigueur d’archivage en vigueur
Défauts du cadre juridique actuel
si l‘original papier subsiste, le juge peut exiger sa production
la charge de la preuve du respect des conditions d‘équivalence incombe à l‘entreprise-détentrice des documents
certaines conditions d‘équivalence sont difficiles à respecter :
la condition d‘irréversibilité du support n‘est plus en phase avec les pratiques courantes en matière d‘archivage
CSSF, rapport annuel 2008 :
« En l’absence d’un cadre juridique plus adapté, […], la CSSF recommande aux professionnels financiers de ne pas détruire les documents communément admis comme preuve devant les instances judiciaires et qui restent principalement sous forme «papier». »
14
I.C. Projet
I.C. Projet de de loi loi Genèse du projet de loi
Discussions et préparation depuis plus de 6 ans…
….menées par un groupe d’experts…
…pour résulter dans le dépôt d’un projet de loi
n° 6543(et d’un projet de règlement grand-ducal) le 13.2.2013
Le projet supprime les défauts du cadre juridique en vigueur, mais ne constitue pas un règlement exhaustif de l’archivage électronique
La Chambre de commerce a donné son avis le 22.5.2013
Maintenant il faut encore attendre l’avis du Conseil d’Etat
Le vote aura probablement lieu en automne 2013
15International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
I.C. Projet
I.C. Projet de de loi loi
Champ d’application du projet de loi
Actes « sous seing privé » : signature manuscrite ou électronique
en premier lieu les contrats, mais également lettres de licenciement…
Documents sous l’obligation de conservation commerciale / comptable
Sont exclus du champ d’application du projet de loi :
actes authentiques
les activités de simple stockage de données qui ne consistent pas à conserver des documents en garantissant son intégrité
Zone grise de documents non-visés mais dont l’intégrité doit être garantie:
néanmoins suivre les principes de la loi pour assurer la meilleure garantie de valeur probante
16
I.C. Projet
I.C. Projet de de loi loi
Principe de l’acceptation de la copie électronique
Une copie a la même valeur probante que l'original lorsqu’elle a été réalisée dans le cadre d’une méthode de gestion régulièrement suivie qui réponde aux conditions fixées par règlement grand-ducal
Présomption d‘équivalence en recourant à un PSDC
Une copie ne peut être rejetée par le juge au seul motif qu’elle est sous forme électronique ou n'a pas été réalisée par un PSDC-D
aussi juges administratifs ?
Un juge ne peut plus exiger l’original si celui existe encore
Il faudrait clarifier si ces principes valent également vis-à-vis des
autorités publiques
17I.C. Projet
I.C. Projet de de loi loi PSDC
PSDC-D (dématérialisation), PSDC-C (conservation) ou PSDC-DC
statut peut être obtenu pour des besoins internes (du groupe)
Procédure d’obtention du statut
certification par un organisme accrédité par l’OLAS après vérification du respect de la règle technique de certification
la règle technique inclut une analyse des règles juridiques pertinentes qui ont un impact sur un projet d’archivage électronique !
la notification doit être validée par l’ILNAS (voir procédure du 24.6.2013)
reporting à ‘l’ILNAS d’évènements impactant la certification
18
I.C. Projet
I.C. Projet de de loi loi
retrait ou suspension éventuels du statut PSDC par l’ILNAS
obligation d’en informer le client-détenteur
quel est le statut des documents dématérialisés en cas de retrait d’un statut PSDC-D ?
Moyens et mesures organisationnels PSDC
Moyens financiers et des ressources matérielles, techniques et humaines adéquates pour garantir la sécurité, la fiabilité et la pérennité des services
Bonne gestion et organisation administrative et application des procédures et méthodes techniques et organisationnelles
adaptées
19
I.C. Projet
I.C. Projet de de loi loi
Obligation d’information précontractuelle sur :
La procédure de dématérialisation / conservation
La procédure de restitution des documents sous une forme intelligible en garantissant la fidélité à l’original
Les modalités et conditions de sous-traitance
la loi devrait également préciser quels types d’activités peuvent être sous-traités (par ex. recours à un datacenter détenu par un tiers ?)
Les obligations légales du PSDC en vertu de la loi sur l’archivage
Les conditions contractuelles, y comprises limites de responsabilité
Les caractéristiques techniques essentielles des procédures
20I.C.
I.C. Projet Projet de loi de loi
Obligation au secret professionnel
Sûretés et garanties sur les matériels et supports de conservation
Le PSDC-C ne peut constituer de sûreté ou donner en garantie les matériels et supports sur lesquels des documents avec une valeur probante sont stockés
Cela implique-t-il que le PSDC-C doit être le propriétaire des matériels et supports de conservation ?
avis Chambre de commerce: cette interdiction ne peut pas concerner les data centers détenus par des prestataires-tiers
21
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
I.C.
I.C. Projet Projet de loi de loi
Transfert et cessation d’activités
Cessation d’activités:
information à l’ILNAS
dans un délai de 6 mois :
transfert à un autre PSDC (possibilité de refus du client-détenteur)
restitution des copies + toute information relative à la dématérialisation et à la conservation des copies ou des originaux numériques (Droits intellectuels ? Coûts ?)
Procédure collective (faillite, gestion contrôlée…) :
obligation de restitution nonobstant la procédure collective
mais droit de rétention pour le PSDC en cas de non-paiement
nouvel art. 567 C.comm. : également un droit de restitution 22
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
I.C.
I.C. Projet Projet de loi de loi PSDC dans le secteur financier
Dématérialisation et conservation dans le secteur financier :
agrément d’une des deux nouvelles catégories de PSF de support
Plusieurs dispositions (circulaires…) applicables à la sous-traitance et aux PSFs de support s’appliqueront aussi en l’espèce
Obtention préalable du statut PSDC obligatoire
↕
En dehors du secteur financier, l’obligation d’obtenir le statut PSDC n’est pas obligatoire
mais alors pas de présomption de conformité aux conditions d’équivalence
23
I.C.
I.C. Projet Projet de loi de loi
Reconnaissance des copies conformes aux exigences luxembourgeoises devant des juridictions étrangères ?
Étude FedISA en cours sur l’acceptation dans les pays voisins
Risques résiduels peuvent être évités dans les contrats de l’entreprise :
clause de preuve, choix de la compétence des juridictions luxembourgeoises
Proposition de règlement de la Commission européenne (6.2012)
juridictions d’autres Etats membres doivent accepter documents électroniques l’authenticité et l’ intégrité sont garanties
24
I.D.
I.D. Projet de règlement grand Projet de règlement grand--ducal ducal
Conditions d’équivalence : neutralité technologique et en phase avec les pratiques courantes en matière d‘archivage
Copie :
fidèle de l’original
présomption de fidélité en cas d’image identique
effectuée de façon systématique et sans lacunes
effectuée selon des instructions de travail conservées aussi longtemps que les copies
conservée avec soin, dans un ordre systématique, et protégée contre toute altération
Règles spécifiques pour les copies par micrographie
25
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
I.D.
I.D. Projet de règlement grand Projet de règlement grand--ducal ducal
Dématérialisation – garantie d’authenticité
le processus de copie doit conserver intacts le contenu et l’apparence de l’original
chaque copie doit mentionner de manière systématique la date et l’heure précise de sa création
un historique précis et tenu à jour de la copie doit être disponible à tout moment
Conservation :
copies et originaux numériques doivent être durables
présomption de durabilité en cas de conservation évitant toute modification ou si enregistrés dès la création dans un document informatique sécurisé et signé électroniquement
concordance en cas de transfert
26
I.D.
I.D. Projet de règlement grand Projet de règlement grand--ducal ducal
systèmes utilisés :
sécurité contre altération
restitution des documents dans un format lisible et fidèle à l’original
conditions de copie / dématérialisation présumées remplies si la dématérialisation est réalisée par PSDC-D ou un PSDC-DC
conditions de copie / conservation présumées remplies si la conservation est effectuée par PSDC-C ou un PSDC-DC
27
II. Autres règles applicables II. Autres règles applicables
A. Protection de données à caractère personnel
B. Réglementation financière C. Droit de la faillite
28
II.A. Protection de
II.A. Protection de données données
Loi sur la protection des données 2002
Loi sur la protection des données 2002 (< (< Directive 95/46/EC Directive 95/46/EC))
Archivage électronique : traitement automatisé de données personnelles
application accrue des règles sur la protection des données personnelles
champ d’application large : dossiers de personnel, factures avec données d’une personne physique comme personne de contact…
la conformité des pratiques des PSDC devrait être vérifiée lors de la certification !
Droit lux est applicable si le traitement est effectué dans le cadre des activités d’un « responsable du traitement » établi au Lux
Responsable : détermine les moyens/finalités du traitement ↔
Sous-traitant : agit exclusivement sous l'autorité du responsable
29International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.A. Protection de
II.A. Protection de données données
Principes de la qualité des données
traitement loyal
exactitude des données
limitation des finalités du traitement
ségrégation de bases de données à finalités différentes !
limitation de la durée de conservation (!)
Légitimité du traitement
consentement sans ambiguïté
exécution d’un contrat
obligation légale
intérêt légitime poursuivi par le responsable du traitement 30
II.A. Protection de
II.A. Protection de données données
Règles strictes sur des données sensibles (santé, casier judiciaire…)
Les droits de la personne concernée
informations sur le traitement
accès aux / correction des données
droit d’opposition au marketing
recours limité à des décisions individuelles automatisées
31
II.A
II.A. . Protection de Protection de données données
Notification à la CNPD
exemption pour la gestion
des données RH (sauf si données servent à l’évaluation de candidats / employés !)
de la clientèle et des fournisseurs
autorisation préalable pour la surveillance non-occasionnelle (général)
autorisation préalable pour la surveillance sur le lieu du travail
Mesures de sécurité (!)
contrat écrit avec le sous-traitant
état de l’art (en fonction de la criticité des données)-Lux : règles précises
mesures de sécurité peuvent engendrer de nouvelles données (log files)
responsabilité règlementaire directe pour les sous-traitants !
32
II.A. Protection de
II.A. Protection de données données
Pas d’obligation de notification en cas d’une violation des données
! même sans base légale, l’autorité belge chargée de la protection des données a récemment introduit une telle obligation !
Transferts aux pays tiers
sont permis les transferts vers des pays qui assurent un niveau de protection adéquat
Andorre, Australie, Canada, Îles de la Manche, Suisse…
cas spécial: Etats-Unis (si les entreprises concernées adhèrent aux principes du « Safe Harbor »)
33
II.A. Protection de
II.A. Protection de données données
Transfert vers pays hors UE sans niveau adéquat est permis :
si la personne concernée a donné son consentement ;
si nécessaire à la conclusion / l’exécution d’un contrat auquel la personne concernée est partie ou dans l’intérêt de la personne concernée ;
si nécessaire ou rendu juridiquement obligatoire pour la sauvegarde d’un intérêt public important, ou pour la constatation, l’exercice ou la défense d’un droit en justice ; ou
lorsque le responsable du traitement offre des garanties suffisantes et le transfert est autorisé par la CNPD
procédure accélérée avec recours à des règles types UE dans des contrats bilatéraux
règles d’entreprise contraignantes au niveau groupe !
34
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.A. Protection de
II.A. Protection de données données
L’archivage électronique est souvent basé sur des solutions cloud
Opinion 05/2012 du groupe de travail « Article 29 » sur le cloud :
analyse des risques en choisissant un prestataire :
déterminer les types de données à traiter et le niveau de protection requis
évaluer si le prestataire prend des mesures techniques et organisationnelles nécessaires pour garantir :
la disponibilité du service
l’intégrité du service
la confidentialité
la transparence
la limitation des finalités – la destruction des données
la possibilité d’intervention
la portabilité
la responsabilité (accountability) 35
II.A. Protection de
II.A. Protection de données données
Contrat détaillé qui spécifie
les instructions du client et les services levels du prestataire
les garanties technologiques et organisationnelles spécifiques
le droit du prestataire de sous-traiter
la restitution des données après la fin du contrat
le droit du client de contrôler les activités du prestataire
notification du prestataire en cas de fuite de données
lieu(x) du traitement etc.
Transferts internationaux
principes du « US Safe Harbor » pas toujours adéquats dans l’environnement du « cloud » → il faudra :
inclure des clauses contractuelles types
adopter des règles d'entreprise contraignantes
36
II.A. Protection de
II.A. Protection de données données
Proposition
Proposition Règlement Règlement UE sur la protection des données UE sur la protection des données
Adoption prévue pour 2014, entrée en vigueur en 2016
fait l’objet d’une discussion entre les diverses institutions de l’UE
Application uniforme dans l’UE
Champ d’application territorial plus large
responsable ou sous-traitant établi dans l’UE, ou
traitement de données lié à l'offre de biens ou de services à ces personnes ou à l’observation de leur comportement
37
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.A. Protection de
II.A. Protection de données données
« One-stop-shop »: État membre où se situe l'établissement principal de l’entreprise (ou du groupe ?)
Lorsque le consentement est requis, il doit être explicite
≠ base du traitement en cas de déséquilibre manifeste entre la personne concernée (consommateurs, employés) et le responsable du traitement
Droit à la portabilité des données
droit d’obtenir les données “dans un format électronique structuré qui est couramment utilisé” et “sans que le responsable du traitement fasse
obstacle”
Droit à l’oubli numérique et à l’effacement
pas applicable si les données sont nécessaires pour le respect d’une
obligation légale ou comme preuve ! 38
II.A. Protection de
II.A. Protection de données données
Obligations pour les responsables et les sous-traitants :
de rapportage et de documentation
protection de données dès la conception et par défaut
notification en cas de violation des données
à l’autorité et la personne concernée
analyse d’impact relative à la protection des données personnelles
surtout pour des opérations critiques, telles que l’archivage électronique !
délégué à la protection des données : grande entreprise ou en cas de surveillance régulière et systématique
39
II.A. Protection de
II.A. Protection de données données
Responsabilité réglementaire et civile directe des sous-traitants !
présomption réfutable de responsabilité (civile) conjointe avec le responsable
Dispositions spécifiques dans le contrat de sous-traitance, i.a. :
sous-traitance en cascade : consentement du responsable
sous-traitant aide le responsable à garantir le respect des obligations de notification, d’analyse des risques…
↔ le rôle du sous-traitant : agir uniquement sur instruction du responsable ?
Transfert aux pays tiers
reconnaissance explicite des règles d'entreprise contraignantes
Sanctions administratives de 0,5 à 2 % du chiffre annuel mondial
40
II.B.
II.B. Réglementation Réglementation financière financière
Le projet de loi sur l’archivage électronique instaurera :
un régime d’agrément pour les prestataires de services de
dématérialisation du secteur financier (art. 29.5 Loi sur le secteur financier (“LSF”) 1993)
un régime d’agrément pour les prestataires de services de conservation du secteur financier (art. 29.6 LSF)
lorsque les PSDCs sont des sous-traitants, la réglementation financière relative à la sous-traitance est en principe applicable :
Circulaires CSSF 05/178,06/240, 08/350 relatives à la sous-traitance
Circulaire CSSF 13/563 sur les exigences d’administration centrale, gouvernance interne et gestion des risques
Circulaire CSSF 12/544 - surveillance des PSF de support
41
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.B.
II.B. Réglementation Réglementation financière financière
Cadre règlementaire actuel
Cadre règlementaire actuel -- Circulaire CSSF Circulaire CSSF 05/178 05/178
Approfondie et/ou interprétée par :
Circulaire CSSF 06/240: distinction entre les types de PSF de support
Circulaire CSSF 08/350: e.a. supervision des PSF de support
PSF de support Q&A doc
rapports annuels 2011 et 2012 i.a. sur « cloud computing » et les solutions « back-ups »
Technologiquement neutre
Concept vague de « sous-traitance »
Distinction peu claire entres les différents services offerts
42
II.B.
II.B. Réglementation Réglementation financière financière
Pas de violation du secret si recours aux PSF de support
art. 29-1 LSF : agents de communication à la clientèle (gestion de courrier, archivage)
art. 29-2 LSF : agents administratifs
art. 29-3/4 LSF : opérateurs de systèmes informatiques
responsable pour ou intervention autonome sur (une partie de) l’environnement du produit
opérateurs de systèmes primaires : l’établissement des situations comptables et des états financiers
opérateurs de systèmes secondaires : autres systèmes
Règles strictes pour les transferts en dehors du Luxembourg
exception: transfert de données illisibles à des entités du groupe sous surveillance prudentielle à l’étranger (+ autorisation de la CSSF) 43
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.B.
II.B. Réglementation Réglementation financière financière
Cadre règlementaire à partir du 1.7.2013
Cadre règlementaire à partir du 1.7.2013 –– Circulaire CSSF Circulaire CSSF 12/552 12/552
Modifiée partiellement par Circulaire CSSF 13/563
Administration centrale, gouvernance interne, gestion des risques – contrôle interne
e.a. obligation d’avoir un « IT officer » et un Responsable de la sécurité des systèmes d’informations
Dispositions sur la sous-traitance :
clarification des règles applicables à la sous-traitance en général
autorisation de la CSSF si sous-traitance des activités « matérielles »
Circulaire CSSF 05/178 abrogée
44
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.B.
II.B. Réglementation Réglementation financière financière
Consolidation des règles en vigueur relatives à la sous-traitance
la définition préalable d’une politique de sous-traitance sur la base d’une analyse approfondie
obligation d’avoir un accord écrit avec un cahier de charges
responsabilité primaire de l’institution financière envers ses clients
garantie permanente de la confidentialité / protection des données
l’institution financière doit avoir l’expertise nécessaire en interne
évaluation de la nécessité d’informer les clients
business continuity en cas d’événements exceptionnels ou de crise
révocabilité des services sous-traités et transfert à un autre fournisseur
droit d’audit de la CSSF, le réviseur d’entreprises agréé et les fonctions de contrôle interne auprès du sous-traitant
Accord entre DNB (NL) (représentant de la i.a. CSSF) et Microsoft (365) ! 45
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.B.
II.B. Réglementation Réglementation financière financière
Distinction plus nette entres les fonctions informatiques externalisés
services de gestion / d’opération de systèmes informatiques
services d’hébergement
services de conseil, de développement et de maintenance
quid de la nouvelle catégorie d’archivage électronique ?
Plus de flexibilité en matière de sous-traitance des services de gestion et d’opération de systèmes informatiques
autorisation de la CSSF pas nécessaire si le sous-traitant n’est pas un PSF de support
pourvu que le sous-traitant est une entités du groupe (même si elle n’est pas soumise à une surveillance prudentielle)
les systèmes ne contiennent aucune donnée confidentielle lisible sauf si les clients ont donné leur consentement
46
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
II.B.
II.B. Réglementation Réglementation financière financière
plus facile de recourir aux prestataires-tiers des services d’hébergement
pas nécessaire d’avoir l’autorisation de la CSSF si le sous-traitant n’est pas un PSF de support
hébergement au Luxembourg : aucun accès physique / logique du sous-traitant
hébergement à l’étranger : les systèmes ne peuvent contenir aucune donnée confidentielle lisible, sauf si tous les clients ont donné leur accord
La circulaire est applicable à partir de 1
erjuillet 2013…
…aux établissements de crédit, les entreprises d’investissement et les professionnels d’opérations de prêt...
...mais les règles relatives à la sous-traitance pourraient être vue comme une consolidation des règles existantes pour les autres institutions financières également
47
II.B.
II.B. Réglementation Réglementation financière financière
Circulaire CSSF
Circulaire CSSF 12/544 12/544 -- surveillance des PSF de support surveillance des PSF de support
La circulaire sera applicable aux nouvelles catégories de support PSF dans le domaine de l’archivage électronique
Rapport détaillé obligé, mais application du principe de proportionnalité !
48
II.B.
II.B. Réglementation Réglementation financière financière
Rapport d’analyse de risques (RAR) annuel :
auto-évaluation des risques directs et indirects pour les clients – peut être envoyée aux clients (potentiels)
description du système de gestion des risques
rôles et responsabilités des différentes parties concernées
les méthodes et procédures en place pour l’identification, l’évaluation, la validation, la limitation, le suivi et la communication des risques
les outils de gestion et de documentation des risques utilisés
sous-traitance de la gestion des risques - autorisation par la CSSF !
49
II.B.
II.B. Réglementation Réglementation financière financière
Rapport descriptif (RD) contenant entre autres
événements significatifs
organisation et administration du système informatique à usage interne
activités prestées auprès des institutions financières :
partenariats / sous-traitance en cascade
système informatique à usage externe
plan de continuité et de recouvrement (BCP/DRP)
succursales et filiales à l’étranger
Une 2
èmecirculaire viendra définir les règles pratiques concernant :
la mission des réviseurs d’entreprises agréés auprès des PSF de
support, et le contenu du compte-rendu analytique de révision (“LFR”)
50
II.C.
II.C. Droit Droit de la de la faillite faillite
Loi modifiant l’article 567 C.comm.
votée le 11.6.2013
revendication des biens immatériels (spec. les données) auprès d’un prestataire en faillite si les biens sont séparables
frais à charge du revendiquant sauf dispositions contraires dans le contrat
efficacité de la loi faute de mesures complémentaires ?
Projet de loi n° 6539 portant modernisation du droit de la faillite
réorganisation d’entreprises en difficultés financières ainsi qu’une protection temporaire contre les créanciers
51
Questions ? N’hésitez pas à nous contacter !
Nicolas Rase
Intellectual Property, New Technologies & Commercial T. +352 26 12 29 35
F. +352 26 68 43 30
E. nicolas.rase@nautadutilh.com
Vincent Wellens
Head of Intellectual Property, New Technologies & Commercial T. +352 26 12 29 34
F. +352 26 68 43 30
E. vincent.wellens@nautadutilh.com
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Présentation
Présentation NautaDutilh NautaDutilh
53
NautaDutilh est un des plus grands cabinets d’avocats indépendants dans le BeNeLux et dans l’UE (depuis 1742)
NautaDutilh dispose de plus de 400 professionnels dans le domaine juridique à Amsterdam – Rotterdam – Bruxelles – Luxembourg ( – Londres – New York)
NautaDutilh couvre tous les domaines du droit des affaires
NautaDutilh a un réseau mondial avec des cabinets de premier plan dans leurs juridictions respectives
NautaDutilh a une réputation solide dans les domaines de la
propriété intellectuelle et des nouvelles technologies
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
54
NautaDutilh couvre tout le BeNeLux
25 avocats dans le département propriété intellectuelle & nouvelles technologies dont 2 à Luxembourg
possibilité d’avoir des Chinese walls entre les différents pays si nécessaire
Chambers and Partners (2013, Belgium):
“This two-partner TMT team gains plaudits for its knowledge of media and technology. It has an impressive client roster and engages with highly technical mandates, such as assisting EDSO, an association of European power companies, with the development, research and implementation of smart grids. In media, it regularly advises Nintendo across Europe and lately provided guidance on the launch of its new gaming consoles.”
Chambers and Partners (2013, Luxembourg):
“Vincent Wellens heads the IT/IP practice at NautaDutilh. He is valued for his extensive in-house experience, and is described as being "timely, proactive and enjoyable to work with.”
Présentation
Présentation de de l’équipe l’équipe IP / IT IP / IT
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Externalisation des fonctions informatiques
avec focus sur le secteur financier
Contrats informatiques
Protection de données à caractère personnel
Protection de logiciels et transferts / licences de droits intellectuels
Commerce électronique et marketing en ligne
Droit pénal informatique
Aspects informatiques du droit du travail
E-discovery
E-archiving
E-invoicing
55