Dr Thomas Thalhofer est associé chez Noerr et co-chef de la pratique commerciale numérique. Thomas se spécialise dans les aspects juridiques de la numérisation économique, la rédaction de contrats et la proposition de projets juridiques dans des projets informatiques nationaux et internationaux complexes, des projets cloud et des programmes d'externalisation informatique. Se concentre également sur les transactions commerciales dans les domaines de la technologie, du règlement des litiges informatiques et du contentieux, ainsi que sur les licences de logiciels et les lois sur la protection des données. En plus de son vaste travail pratique, Thomas écrit régulièrement des articles pour publication. Est membre du conseil d'administration de l'Association ItechLaw, coprésident du comité de règlement des différends et coprésident du comité d'externalisation de l'Association allemande du droit et de l'informatique, et membre de l'Association allemande du barreau (groupe de travail sur les technologies de l'information). Thomas a également donné des conférences dans le cadre du programme Expert Certified in IT Law et a été chargé de cours en droit informatique à l'Université de Munich. Thomas se classe sixième parmi les leaders d'opinion en droit informatique dans Who's Who et a été recommandé par la Juventus Handbook, Chambers Europe, Legal 500 German et Who's Who en tant qu'expert en droit informatique de premier plan: TMT et Best Lawyers in Germany.
Dr Torsten Kraul est co-chef de la pratique commerciale numérique de Noerr. Fournit des conseils juridiques et stratégiques à des sociétés multinationales, nationales et émergentes pour développer et mettre en œuvre des projets dans les domaines des affaires numériques, des technologies de l'information, d'Internet et du commerce électronique et de la confidentialité. L'un de ses domaines d'expertise est la mise en œuvre de modèles commerciaux numériques innovants et l'application de nouvelles technologies (Internet des objets, intelligence artificielle, plates-formes, applications, blockchain et big data, etc.).
1 Quelles sont les principales caractéristiques des principales lois et réglementations qui régissent la transformation numérique dans votre juridiction?
L ' Allemagne ne dispose pas d ' une réglementation complète en matière numérique. Au contraire, les principes généraux de la législation en vigueur s ' appliquent, bien que des aspects spécifiques soient de plus en plus soumis à la législation. Bon nombre de ces développements ont été façonnés par des réglementations et directives européennes. La principale source de droit civil, y compris la responsabilité générale et les principes contractuels, reste le Code civil allemand datant de 1900 et incorporant les règles de protection des consommateurs sur les contrats en ligne depuis 2002. Parmi les autres lois importantes relatives à la transition numérique figurent la loi sur le droit d'auteur et la loi sur les télémédias, qui intègrent les principales caractéristiques de la directive 2000/31/CE (directive sur le commerce électronique), telles que le principe du pays d'origine et l'allégement de la responsabilité des fournisseurs d'accès à Internet. Récemment, l'Allemagne a adopté un certain nombre de lois importantes pour relever les défis de l'ère numérique. S'agit notamment de la loi de 2015 sur la sécurité des technologies de l'information (ITSA), mise à jour en 2021 pour renforcer l'administration nationale de la cybersécurité et, bien sûr, de la mise en œuvre de la législation pour le règlement général européen sur la protection des données (RGPD). L'ITSA est une évolution majeure dans le domaine de la transformation numérique, car elle établit des normes de cybersécurité et impose l'obligation de signaler les incidents de sécurité informatique. Dans le cadre de l ' ITSA, la loi sur l ' Office fédéral allemand de la sécurité de l ' information s ' applique aux exploitants d ' infrastructures critiques dans des domaines tels que l ' énergie; Technologies de l ' information; Télécommunications; Transport et trafic, ainsi que les fournisseurs de services numériques. Ces destinataires sont tenus de prendre les précautions organisationnelles et techniques appropriées pour éviter toute interruption de leurs systèmes informatiques. L ' Agence fédérale allemande pour la sécurité de l ' information (GFOIS) veille au respect des obligations découlant de l ' Accord sur la sécurité des technologies de l ' information. D'autre part, le RGPD fournit un cadre juridique pour l'utilisation des données personnelles dans le but d'assurer la protection et la sécurité des données. En tant que règlement européen, le RGPD est directement applicable dans la juridiction allemande. Cependant, l'Allemagne a mis en œuvre le RGPD dans la nouvelle version de la loi allemande sur la protection des données (GDPA), y compris certains détails allemands autorisés par le RGPD. Le principe typique du RGPD et du RGPD est que le traitement des données est toujours autorisé par la loi, ce qui signifie que le traitement des données est interdit sauf si le consentement est obtenu ou autorisé par la réglementation.
2 Quels sont les développements récents les plus notables dans votre juridiction qui ont une incidence sur les plans et projets de transformation numérique de votre organisation, y compris les politiques gouvernementales ou les initiatives réglementaires?Afin de renforcer la cybersécurité, le Gouvernement a pris une initiative visant à modifier l ' Accord sur les technologies de l ' information et de la communication afin, entre autres, d ' étendre les pouvoirs du Système mondial d ' information et de communication. Cette initiative a débouché sur le nouveau protocole de sécurité informatique 2.0, qui élargit encore l'applicabilité de ce règlement en incluant les entreprises d'intérêt public particulier dans le champ d'application du protocole de sécurité informatique, ce qui signifie que ces entreprises sont désormais soumises à des normes de sécurité informatique et à des obligations de déclaration plus élevées. Comme il vient d'être adopté il y a quelques mois, il n'est pas possible de faire une évaluation concluante. Conformément à la directive 2019/770/UE (directive sur les contenus numériques et les services numériques), adoptée par l'UE en mai 2019, des modifications importantes seront apportées au droit des contrats contenu dans le CCG à compter du 1er janvier 2022. À la suite de la mise en œuvre, la loi allemande prévoit pour la première fois des dispositions spécifiques pour les contrats de fourniture de contenu et de services numériques. Compte tenu de l'application généralisée de la directive, ces nouvelles lois sur les contrats couvriront des projets allant du contenu multimédia aux logiciels, y compris les modèles de vente, de location et de service, ainsi que les services et plates-formes cloud tels que Facebook, Epice et Uber. Les principales dispositions de la directive concernent des normes harmonisées en matière de défaillances, y compris les droits des clients. Toutefois, le champ d'application de la directive est limité aux relations B2C dans lesquelles le consommateur paie le prix, et le gouvernement allemand n'a pas étendu la nouvelle loi aux relations B2B lors de la mise en œuvre de la directive. Cependant, si le consommateur fournit des données personnelles et effectue un "paiement", le service non payant sera réglementé par la loi.
3 Quels sont les principaux facteurs juridiques et pratiques qu'une organisation doit prendre en compte pour réussir une stratégie cloud et datacenter?Alors que les fournisseurs élargissent leur gamme de services hautement personnalisés, flexibles et évolutifs, l'externalisation du cloud et des centres de données offre aux clients d'importantes opportunités d'économiser des ressources techniques et financières. Toutefois, cette externalisation pose un certain nombre de problèmes juridiques et pratiques. Les questions de sécurité informatique et des données sont à la fois des moteurs et des problèmes associés à l'externalisation du cloud. Bien que les opérations soient hors de contrôle parce que le traitement des données sera repris par un fournisseur informatique externe, les fournisseurs plus importants sont généralement plus qualifiés et dotés de ressources pour atténuer les menaces de sécurité que les services informatiques internes. Sur le plan technique, l'intégration et la compatibilité avec les autres clouds et systèmes des fournisseurs externes et des services informatiques internes de l'organisation cliente sont des facteurs à prendre en compte. Par conséquent, la décision de s'appuyer sur un fournisseur externe de technologies de l'information et de choisir le bon fournisseur devrait être soigneusement examinée. D'un point de vue contractuel, il est souvent difficile pour un client de conclure un accord suffisamment protecteur avec un fournisseur de cloud, en particulier lorsqu'il s'agit d'exigences réglementaires spécifiques qui doivent être mises en œuvre par le fournisseur (voir ci-dessous). Habituellement basées sur des contrats anglo-américains, les clauses cloud sont principalement conviviales pour les fournisseurs (par exemple, en termes de normes de service, de niveaux de service, de garanties et de réglementations de responsabilité). Compte tenu de leur nature standardisée, les fournisseurs refusent souvent des modifications majeures. Étant donné que les entreprises allemandes sont soumises aux restrictions de la loi allemande sur les conditions générales, même dans un environnement B2B, dans de nombreux cas, elles prendront le risque d'assumer la responsabilité de leurs clients, alors qu'elles n'ont pas de recours respectifs en vertu du contrat avec le fournisseur de cloud. Par conséquent, il est important pour les clients du cloud allemand de négocier les conditions du cloud avec le fournisseur ou, au moins, de vérifier dans quelle mesure ces conditions sont applicables lors du choix du droit allemand (voir ci-dessous). Lorsque les services basés sur le cloud sont conformes au traitement des données au sens du RGPD, ils doivent répondre aux exigences de protection des données applicables et le cadre contractuel doit établir que le client contrôle le fournisseur de cloud à cet égard. D ' une manière générale, il existe des pratiques bien établies pour ce type de traitement des données. Toutefois, à la suite de l'arrêt Schrems II de la Cour de justice des Communautés européennes, qui a invalidé le bouclier de protection de la vie privée UE-États-Unis et a contesté l'adéquation des clauses contractuelles types, il existe une incertitude quant à l'obligation de transférer des données conformes à la loi vers les États-Unis. Des incertitudes similaires subsistent en ce qui concerne les transferts de données vers le Royaume-Uni, compte tenu des négociations en cours avec l'UE sur les futures relations avec le Royaume-Uni en vue de sa sortie de l'UE.
4 Lorsque les organisations achètent des services de transformation numérique à chaque niveau de la « pile » cloud, quels points de signature, technologies et meilleures pratiques devraient-elles connaître? Comment ces mesures ont-elles évolué au cours des cinq dernières années et quelle est la voie à suivre?
Lorsqu'il s'agit de la transformation numérique vers le cloud, les organisations doivent être conscientes que le cloud computing implique souvent un grand nombre de sous-traitants et plusieurs emplacements de serveurs. À cet égard, les entreprises devraient veiller à ce que des normes de performance claires et des contrôles indépendants soient spécifiés dans les contrats afin qu'elles puissent réagir en conséquence à une mauvaise contrôlabilité et convenir de services de soutien. De plus, les organisations doivent tenir compte des lois applicables. En l'absence de clause de choix de la loi applicable dans le contrat, la compétence est déterminée par le droit international privé, notamment par le règlement (CE) n° 593/2998/CE (Rome I). L'hypothèse selon laquelle les accords de cloud sont régis par le droit allemand, qui est largement reflété dans la réglementation, est un facteur clé pour comprendre et façonner les règles applicables qui déterminent le type de contrat concerné. Ces différences dépendent de la solution de cloud computing. Un accord cloud peut être un contrat de service, de travail ou de location, chacun ayant un impact différent sur les règles, y compris les normes de service, les garanties, la responsabilité et la résiliation. Une complexité supplémentaire provient du fait qu'un contrat cloud se compose généralement de plusieurs composants de service souvent différents, qui sont combinés dans un seul contrat. Par conséquent, ces contrats sont généralement considérés comme des contrats hybrides. Toutefois, il peut surtout être déduit d'une décision de la Cour fédérale allemande (GFCJ) sur la classification des contrats de services d'application, qui stipule que les contrats de services cloud doivent en principe être considérés comme des contrats de location. Cependant, les services qui vont au-delà de la simple fourniture de services en nuage seront décrits comme des services au sens d'un contrat de service ou de travail. Au cours des dernières années, il y a eu une tendance à proposer des contrats standardisés par des fournisseurs de cloud plutôt que des contrats d'externalisation individuels axés sur des projets. Habituellement basées sur des formes de contrat de style anglo-américain, les clauses cloud sont principalement conviviales pour les fournisseurs (par exemple, en termes de normes de service, de niveaux de service, de garanties et de clauses de responsabilité). En vertu de la loi allemande sur les conditions générales de vente, ces conditions sont généralement considérées comme nulles, en tout ou en partie, si elles causent un « désavantage déraisonnable » à l'autre partie. Bien que ces normes s'appliquent toujours aux clients B2C allemands, les fournisseurs de cloud peuvent éviter d'appliquer le droit allemand en choisissant une juridiction étrangère concernant les clients B2B. Cependant, les entreprises clientes allemandes insistent souvent sur les contrats juridiques allemands. Une caractéristique spécifique de la loi allemande sur les conditions générales est qu'elle s'applique même au contexte B2B, de sorte que le format standard en vertu de la loi allemande doit toujours être adapté en conséquence. Par conséquent, les fournisseurs de cloud computing doivent être prudents lorsqu'ils choisissent la loi allemande pour l'applicabilité de T& C La loi peut rendre ses dispositions internationales inapplicables à bien des égards.
5 D'après votre expérience, quels sont les points de discussion typiques dans les discussions contractuelles? Comment résoudre au mieux ces points de désaccord?Sur la base de notre longue expérience dans la négociation de contrats de cloud (et d'autres contrats d'externalisation), les principaux points litigieux sont la définition des normes de service, y compris les niveaux de service applicables, et les conditions de garantie. En particulier, afin de mettre en place des garanties appropriées pour les clients, la qualité du service doit être spécifique et mesurable. Ainsi, plus l'accord de niveau de service et les conséquences juridiques d'un manquement sont définis avec précision, plus le client sera en mesure de faire valoir ses droits en cas d'interruption. Un autre aspect important est le droit de résiliation. Du point de vue du client, l'accord devrait prévoir des droits de résiliation spécifiques dont le client jouit pour des raisons impérieuses. Les parties définiront ensuite différentes situations dans lesquelles le client a le droit de résilier l'entente pour une raison quelconque (p. ex. si le fournisseur de services viole l'entente de niveau de service ou retarde la mise en œuvre de certains jalons clés). Bien entendu, la résiliation doit être liée à toutes les données retournées au client dans un format approprié, avec un soutien supplémentaire de transition du fournisseur de cloud si nécessaire. Compte tenu du manque de contrôle sur les services mobiles vers le cloud, il est important que les clients intègrent les droits de surveillance et d'audit dans le cadre contractuel. However, IT service providers are usually reluctant to allow customer audits, particularly in person at the providers’ premises. This may become a major point of contention.
6 How do your jurisdiction’s cybersecurity laws affect organisations on their digital transformation journey?Outre les exigences de sécurité en vertu du RGPD, la réglementation de la cybersécurité en Allemagne est également en augmentation. Bien que les dispositions générales en matière de sécurité informatique s'appliquent à tous les services d'information et de communication commerciaux, les fournisseurs d'infrastructures critiques et les organisations de certains secteurs réglementés sont soumis à des normes supplémentaires, qui sont généralement accompagnées de directives techniques et doivent être mises en œuvre par les services informatiques internes et les prestataires de services externes. Sous la juridiction allemande, les organisations exploitant des infrastructures critiques ainsi que les fournisseurs de services numériques sont soumis aux obligations découlant de l'accord sur les technologies de l'information (voir ci-dessus). En vertu de l’article 8 quater de l’AGFOIS, les fournisseurs de services numériques prennent « des mesures techniques et organisationnelles appropriées et suffisantes pour gérer les risques de sécurité des réseaux et des systèmes d’information qu’ils utilisent pour fournir des services numériques dans l’Union européenne». En outre, ils signalent immédiatement à l'AGF tout incident de sécurité affectant gravement les services numériques qu'ils fournissent dans l'Union européenne. Le même principe s'applique aux exploitants d'infrastructures critiques. En outre, ils devraient prendre les précautions organisationnelles et techniques appropriées pour éviter toute atteinte à la disponibilité, à l ' intégrité, à l ' authenticité et à la confidentialité des systèmes, composants ou processus informatiques qui déterminent le fonctionnement de l ' infrastructure critique qu ' ils exploitent. Des exigences particulières en matière de sécurité des TI s'appliquent à certains secteurs réglementés. Si le destinataire est une organisation du secteur bancaire, il doit se conformer à l'article 25, point a), de la loi bancaire ainsi qu'aux nouvelles lignes directrices de l'Autorité bancaire européenne en matière d'externalisation. Des exigences similaires s'appliquent aux compagnies d'assurance. Cela suppose, entre autres, que les organisations concernées mettent au point un concept d ' urgence informatique approprié. En outre, il existe des exigences réglementaires spéciales pour les technologies de l'information des banques et des compagnies d'assurance, qui figurent dans le Règlement sur les technologies de l'information dans le secteur bancaire et le Règlement sur les technologies de l'information dans le secteur des assurances. Si une organisation fait partie du secteur de l'énergie, les exigences spécifiques de cybersécurité de la loi sur l'industrie de l'énergie, en particulier l'article 11 de la loi sur l'industrie de l'énergie, doivent être prises en compte. D'un point de vue opérationnel, voire obligatoire, la nomination d'un responsable de la sécurité informatique, doté des connaissances appropriées et des pouvoirs nécessaires, est une fonction importante dans la transformation numérique. Est souhaitable que les entreprises qui s ' engagent sur la voie de la transformation numérique se familiarisent avec les normes allemandes relatives à la sécurité informatique, telles que la norme ISO/IEC 27001: En 2013, bien qu'elles n'aient aucun effet juridique direct, elles peuvent être utilisées comme aide à l'interprétation lorsqu'elles précisent des exigences juridiques non définies concernant la sécurité des technologies de l'information. En outre, en cas de cyberattaque, le respect des normes de l'industrie peut être pris en compte dans l'évaluation de la faute de l'entreprise attaquée ou de l'employé personnellement responsable. Jusqu'à présent, la loi a fourni peu de normes pour la sécurité informatique de la transformation numérique. Cependant, les quelques normes existantes devraient être respectées à tout prix afin de pouvoir exonérer la partie lésée de sa responsabilité en cas de piratage ou d'autres attaques contre l'infrastructure numérique.
7 Comment les lois sur la protection des données de votre juridiction affectent-elles les organisations lorsqu'elles se transforment numériquement?La loi allemande sur les relations publiques (et la loi allemande sur les relations publiques) définit les règles de base pour la protection des données conformément au droit allemand. Bien que son principe strict selon lequel tout traitement de données doit être justifié, afin de protéger les droits individuels, limite à certains égards les entreprises axées sur les données, la loi allemande ne restreint pas spécifiquement la libre circulation des données. Traditionnellement, l'Allemagne attache une grande importance à la protection des données. Cependant, la mise en œuvre du RGPD a renforcé les préoccupations des entreprises allemandes et d'autres organisations en matière de protection des données, notamment en raison des amendes élevées pouvant atteindre 20 millions d'euros ou 4% des revenus de l'entreprise (ou du groupe d'entreprises, selon le cas) conformément à l'article 83 du RGPD. En particulier, le RGPD prévoit un travail d'enregistrement considérable, car toutes les entreprises qui traitent des données personnelles doivent établir un registre distinct des activités de traitement conformément à l'article 30 du RGPD et respecter les obligations d'information prévues aux articles 13 et 14 du RGPD.
8 D'un point de vue juridique, que doivent faire les organisations de votre juridiction pour faire passer le développement de logiciels de la cascade (traditionnelle) à DevOps (livraison continue) via Agile (amélioration continue)?Bien que l'organisation de développement interne ait été fondamentalement restructurée avec la mise en œuvre de nouvelles structures et méthodes de travail, d'un point de vue juridique, les prestataires externes ont surtout observé des changements dans le développement. Le développement de logiciels agiles et, plus important encore, la livraison continue impliquent un examen continu et devraient également être accompagnés de conseils juridiques continus. L'un des principaux avantages du développement agile est que les clients ne sont pas contraints par de longs cycles de livraison. Dans ce cas, le client reçoit des produits flexibles dans un court laps de temps. Cependant, l'utilisation de logiciels agiles pour développer des solutions peut entraîner des risques importants, et pour une application réussie de l'approche de projet agile, il est essentiel que le client ait de l'expérience avec cette approche, car le client doit être impliqué dans le processus de développement. De plus, la mise en place de méthodes de développement agiles a conduit à un énorme changement dans la conception des contrats. Les accords de développement traditionnels basés sur des cascades peuvent être utilisés comme contrats de travail qui protègent les clients car ils permettent aux clients d'exiger des fournisseurs qu'ils soient responsables des résultats terminés et mesurables, généralement à un prix fixe. En revanche, le développement agile et DevOps sont basés sur des sprints ou des phases qui, par définition, ne sont pas spécifiques au produit fini. Les contrats respectifs ressemblent davantage à des contrats de service, dans lesquels le fournisseur manque de temps et de compétences plutôt que de résultats spécifiques. Par conséquent, il est plus difficile de déterminer les garanties, les responsabilités et le respect du budget du fournisseur de services informatiques dans de tels contrats. Cependant, selon les processus et les besoins réels du client, les contrats peuvent également être personnalisés pour le développement agile et les DevOps afin d'inclure des éléments basés sur les résultats, notamment pour permettre l'acceptation et les garanties basées sur les résultats.
9 Quelles sont les meilleures pratiques pour une gouvernance efficace et une transformation numérique dans votre juridiction?De nombreuses entreprises allemandes ont mis en place de nouvelles structures opérationnelles et unités pour mener la transformation digitale, souvent sous la direction de la nouvelle fonction de Chief Digital Officer. Cependant, l'étude Noerr Compliance sur la conformité des entreprises numériques montre toujours que nous ne sommes pas conscients des enjeux de numérisation des entreprises. Au sein de l'entreprise, les connaissances techniques pertinentes devraient être assurées par un personnel approprié et l'obligation de nommer un délégué à la protection des données devrait être clairement soulignée. Cependant, sur le marché juridique allemand, il n'y a pas encore de meilleures pratiques particulières. Au contraire, la transformation numérique a accru l'importance du soutien juridique.
Quels aspects et tendances de la transformation digitale trouvez-vous les plus intéressants et pourquoi?
Nous constatons que la transformation digitale touche une grande variété d'aspects juridiques dans presque tous les secteurs d'activité de nos clients, de l'importance croissante accordée à l'infrastructure informatique par les nouvelles exigences réglementaires aux questions contractuelles et de responsabilité liées aux nouvelles technologies telles que l'analyse de données ou les plateformes. Cela nous oblige à trouver de nouvelles solutions innovantes pour stimuler l'innovation et la transformation digitale avec nos clients. Pour nous, chaque enjeu lié à la transformation digitale est une opportunité de trouver les meilleures solutions pour nos clients et de renforcer notre expertise dans ce domaine. Cela nous rend également créatifs, car de nombreux aspects ne sont pas encore déterminés par la jurisprudence allemande. Cela nous donne la possibilité de conseiller nos clients pour trouver la solution optimale et, parfois, la possibilité de façonner le droit de demain. Faire partie de cette transformation, non seulement en être témoin, mais aussi fournir un soutien juridique pour créer les conditions d'une transformation numérique réussie, c'est ce qui rend notre travail fascinant.
Quels défis avez-vous rencontrés en tant que praticien dans ce domaine? Comment avez-vous relevé ces défis?Les gens sont toujours confrontés au défi de travailler dans un domaine du droit qui n'est pas entièrement réglementé par le législateur allemand, car le développement numérique est souvent si rapide que la législation ne peut pas y faire face. Par conséquent, nous devons toujours rechercher des situations comparables dans d'autres domaines du droit (par exemple, le droit de la construction par rapport aux contrats de projets informatiques) pour fournir des orientations sur l'évolution du droit.
Quelles sont, selon vous, les qualités et les compétences de base du consultant dans ce domaine?Une qualité essentielle des consultants dans ce domaine de travail est une expertise plus approfondie non seulement sur les questions juridiques, mais aussi sur les questions techniques. En outre, les consultants doivent non seulement comprendre les questions juridiques importantes des technologies de l'information, mais également travailler dans d'autres domaines connexes dans tous les secteurs pour voir la « situation globale». Surtout, le conseiller en informatique doit être en mesure de réagir rapidement à l'évolution de la situation afin de pouvoir apporter le meilleur soutien possible à ses clients, même en cas de problème pour la première fois.
