Votre navigateur ne prend pas en charge JavaScript !

Chapitre 25 - Formation des contrats informatiques

25.8 Recommandations de VITA pour un contrat informatique réussi

25.8.17 Accords de confidentialité informatique

Les parties aux contrats IT concluent souvent des accords de confidentialité avant la signature du contrat. Tout consultant ou fournisseur ayant accès à des données sensibles de l'agence doit accepter de traiter ces données de manière confidentielle, qu'il s'agisse de données d'employés ou d'agences personnellement identifiables, de listes d'agences, de plans de marketing, d'informations financières non publiques ou de secrets commerciaux. Dans de nombreux cas, une agence peut être amenée à divulguer certaines de ces informations à un fournisseur IT avant la signature du contrat. La protection de la confidentialité ne se limite pas à un accord bien écrit.

Lorsqu'une agence doit protéger certaines informations, les employés doivent être sensibilisés à ne pas divulguer inutilement des informations. Lorsque l'accord de confidentialité prévoit de marquer ou d'identifier d'une autre manière les informations comme étant confidentielles, les employés doivent s'assurer d'identifier les informations de cette manière. Il est important de tenir des registres complets et précis des personnes qui ont accès aux informations et de la manière dont elles sont transmises et utilisées. Vous trouverez ci-dessous une définition contractuelle complète des "informations confidentielles": "Dans le cadre des présentes, le terme "Informations confidentielles" de l'agence désigne toutes les informations que le fournisseur peut recevoir de l'agence, de ses employés, agents ou représentants, avant ou après la date des présentes, et qui ne sont pas généralement accessibles au public, y compris, mais sans s'y limiter, les listes de l'agence, les produits ou services proposés ou prévus, les plans de marketing, les documents financiers et comptables, les chiffres relatifs aux coûts et aux bénéfices, les prévisions et les projections, ainsi que les informations relatives au crédit."

  • Identification des informations confidentielles : Si l'agence souhaite que l'accord de confidentialité soit plus restrictif, elle peut exiger que chaque élément divulgué soit spécifiquement identifié comme étant "confidentiel" afin d'entrer dans le champ d'application de l'accord. Voici un exemple d'une telle clause :

    "Si les informations confidentielles sont incorporées dans un matériel tangible (y compris, mais sans s'y limiter, les logiciels, le matériel, les dessins, les graphiques, les tableaux, les disques, les bandes, les prototypes et les échantillons), elles seront étiquetées comme "Confidential" ou porteront une légende similaire. Si les informations confidentielles sont divulguées oralement ou visuellement, elles doivent être identifiées comme telles au moment de la divulgation et confirmées par écrit dans les XX jours suivant cette divulgation, en mentionnant le lieu et la date de la divulgation orale ou visuelle et les noms des employés de la partie destinataire à qui cette divulgation orale ou visuelle a été faite, et en incluant une brève description des informations confidentielles divulguées." Il peut être judicieux pour une agence d'inclure dans les informations confidentielles "toutes les informations orales et écrites qu'un observateur objectif considérerait comme confidentielles compte tenu des circonstances environnantes."

    En d'autres termes, le destinataire avait-il des raisons de penser que les informations qu'il voyait (plutôt que les informations qui lui étaient activement fournies) pouvaient être confidentielles ?

  • Étendue de l'obligation de non-divulgation : Le cœur de tout accord de confidentialité est la clause qui oblige la partie destinataire à traiter les informations reçues comme confidentielles. Cette clause peut être rédigée de différentes manières.

    Voici un exemple de clause de confidentialité étendue :

    "Sauf dans les cas prévus dans le présent document ou si les parties en conviennent autrement par écrit, chaque destinataire s'engage à tout moment, pendant et après la période de divulgation : (i) ne divulguer aucune information confidentielle de l'autre partie ou de sa société affiliée à une personne autre que les employés ou représentants du destinataire qui ont besoin de connaître ces informations ; (ii) faire preuve du même soin et de la même discrétion pour éviter la divulgation que le destinataire utilise à l'égard de ses propres informations confidentielles ; (iii) ne pas utiliser les informations confidentielles dans le cadre des activités du bénéficiaire, ni développer, commercialiser, concéder sous licence ou vendre un produit, un processus ou un service sur la base des informations confidentielles ; et (iv) ne pas modifier, désosser ou créer des œuvres dérivées sur la base d'un code informatique appartenant à l'autre partie ou à sa société affiliée."

    La clause comprend une obligation de non-divulgation et de non-utilisation. Il précise le niveau de diligence que le destinataire doit respecter à l'égard de ses propres informations confidentielles et l'empêche de procéder à une rétro-ingénierie du logiciel de l'entreprise divulgatrice ou de créer des œuvres dérivées. Une variante pourrait inclure une obligation absolue de ne pas divulguer, plutôt qu'une obligation d'exercer un niveau défini de diligence pour éviter la divulgation. En fonction de l'importance des informations à protéger, une agence peut envisager d'inclure un addendum détaillé sur les exigences de sécurité. Une autre façon de limiter l'utilisation des informations serait de dire que le destinataire ne peut "utiliser les informations qu'aux fins pour lesquelles elles ont été divulguées, ou autrement uniquement au profit du divulgateur."

    La clause limite également l'éventail des parties auxquelles le destinataire peut divulguer l'information aux employés ou représentants du destinataire qui ont besoin de connaître cette information. Certains accords ajoutent que ces employés ou représentants doivent être soumis à une obligation de confidentialité similaire. Au minimum, le destinataire devrait être tenu d'informer ces destinataires de leur obligation de conserver les informations à titre confidentiel. Voici un exemple de libellé de contrat qui répondra à cet objectif : "Chaque bénéficiaire veillera à ce que ses employés, agents et représentants respectent également les obligations de confidentialité et de non-utilisation qui lui incombent en vertu du présent accord."

  • Exceptions à la confidentialité : Certaines informations sont généralement exclues du champ d'application d'un accord de confidentialité. Par exemple, voici une clause typique d'exception "" : "Les obligations de confidentialité et de non-utilisation décrites ci-dessus ne s'appliqueront pas aux informations qui (i) étaient déjà connues à juste titre par le bénéficiaire sur une base non confidentielle avant la date d'entrée en vigueur ; (ii) ont été développées de manière indépendante par le bénéficiaire ; ou sont accessibles au public lorsqu'elles sont reçues, ou deviennent ensuite accessibles au public sans qu'il y ait faute de la part du bénéficiaire ou de ses employés, agents ou représentants." D'autres exceptions à la couverture de la confidentialité peuvent inclure les informations obtenues d'un tiers sans obligation de confidentialité, ou les informations divulguées par le divulgateur sans obligation de confidentialité.

    Un fournisseur peut également souhaiter une exception de confidentialité pour "les informations résiduelles." Les programmeurs du fournisseur acquerront inévitablement des compétences dans le cadre du travail qu'ils effectuent pour l'agence, et il serait impossible de les empêcher d'utiliser ces compétences. Le fournisseur ne voudra pas être tenu responsable d'une rupture de contrat résultant de l'utilisation par le fournisseur de ces informations résiduelles. Voici quelques suggestions de formulation de contrat pour faire face à cette situation :

    "Le bénéficiaire peut divulguer, publier, diffuser et utiliser les idées, les concepts, le savoir-faire et les techniques liés à ses activités commerciales, qui sont contenus dans les informations du divulgateur et conservés dans la mémoire des employés du bénéficiaire qui ont eu accès à ces informations en vertu du présent accord ("Residual Information"). Aucune disposition de la présente section ne confère au bénéficiaire le droit de divulguer, de publier ou de diffuser, sauf dans les cas prévus par le présent accord :

    1. la source d'information résiduelle ;
    2. toute donnée financière, statistique ou personnelle du divulgateur ; ou
    3. les plans d'entreprise du divulgateur."

    Une telle clause permet aux employés du fournisseur de travailler avec d'autres agences. En règle générale, ce n'est pas non plus une mauvaise idée du point de vue de l'agence, car l'agence peut potentiellement bénéficier d'informations résiduelles que le fournisseur a reçues d'autres agences.

  • Divulgations exigées par la loi : Une partie liée par un accord de confidentialité peut se trouver soumise à une décision de justice ou à une citation à comparaître l'obligeant à divulguer des informations qu'elle est contractuellement tenue de ne pas divulguer. De nombreux accords de confidentialité traitent spécifiquement de cette situation en prévoyant une notification au divulgateur et la possibilité de s'opposer ou de demander une ordonnance de protection. Voici un exemple de clause pour répondre à cette question :

    "Si le destinataire est légalement contraint de divulguer des informations confidentielles, il doit : (i) notifier rapidement au divulgateur que ces informations doivent être divulguées, (ii) faire de son mieux pour obtenir l'assurance juridiquement contraignante que tous ceux qui reçoivent la divulgation de ces informations sont liés par une obligation de confidentialité, et (iii) ne divulguer que la partie des informations confidentielles que le conseiller juridique du destinataire estime devoir être légalement divulguée."

    Les marchés publics de l'Agence sont soumis à la loi sur la liberté de l'information (Freedom of Information Act), sauf exceptions prévues par la loi sur la protection des données à caractère personnel (VPPA). Les exigences de la loi sur la liberté de l'information de Virginie sont décrites plus en détail au chapitre 10 du présent manuel.

  • Durée de l'obligation de confidentialité : De nombreux destinataires d'informations confidentielles provenant de fournisseurs cherchent à limiter la durée de leur obligation de ne pas divulguer ces informations. Une façon d'y parvenir est de limiter la durée de l'obligation de confidentialité. Certains accords, par exemple, obligent le destinataire d'une information confidentielle à considérer cette information comme confidentielle pendant une période d'un, deux ou trois ans. D'autre part, il peut être très important pour le divulgateur de préserver indéfiniment la confidentialité des informations divulguées. Il s'agit d'une question que les parties doivent examiner sur la base des faits et des besoins spécifiques des parties. VITA inclut normalement des obligations de confidentialité dans ses dispositions relatives à la survie.

  • Renvoi des documents confidentiels : Le divulgateur d'informations confidentielles voudra inclure une clause exigeant que le destinataire renvoie les informations confidentielles au divulgateur sur demande. Voici un exemple d'une telle disposition :

    "À la demande du Divulgateur, le Destinataire retournera rapidement au Divulgateur toutes les Informations Confidentielles et toutes les copies de celles-ci en possession du Destinataire ou sous son contrôle, et le Destinataire détruira toutes les copies de celles-ci sur les ordinateurs, disques et autres dispositifs de stockage numérique du Destinataire."

    Lorsque la clause de confidentialité fait partie d'un accord plus large, l'accord doit prévoir que les informations confidentielles seront restituées au divulgateur à l'expiration ou à la résiliation de l'accord. L'accord doit toujours prévoir qu'il sera régi par les lois du pays Commonwealth of Virginia. Outre les clauses décrites ci-dessus, un accord de confidentialité peut contenir les dispositions suivantes :

    • le divulgateur peut obtenir une injonction et des dommages-intérêts au cas où le destinataire ne se conformerait pas à ses obligations, et que le destinataire prendra en charge les frais d'avocat du divulgateur ;

    • un destinataire en infraction doit indemniser si un tiers poursuit le divulgateur en raison de l'infraction ;

    • la responsabilité pécuniaire en cas d'infraction est limitée à un montant déterminé :

    • les informations divulguées restent la propriété de la partie qui les a divulguées ;

    • le destinataire notifie immédiatement au divulgateur la perte ou la divulgation non autorisée de toute information confidentielle par l'un des membres de son personnel ;

    • chaque partie doit se conformer à toutes les lois, règles et réglementations applicables, y compris celles relatives à l'exportation ou au transfert de technologies ;

    • le divulgateur divulgue l'information "en l'état" ou avec des garanties implicites ou explicites ;

    • le divulgateur n'accorde aucune licence ;

    • le bénéficiaire n'est pas empêché de fournir des produits ou des services concurrentiels à d'autres personnes ;

    • le destinataire ne peut pas faire de l'ingénierie inverse, décompiler ou désassembler les logiciels divulgués ;

    • le destinataire n'exportera pas les logiciels divulgués en violation des lois sur l'exportation ;

    • les parties se soumettront à une médiation puis à un arbitrage en cas de litige (avec une clause d'exclusion pour les injonctions).

Chapitre actuel : Chapitre 25 - IT Formation du contrat
Précédent < | > Suivant
Chapitre 24 - Demandes de propositions et négociations concurrentielles < | > Chapitre 26 - Négociation de contrats IT

Recherchez dans le manuel par mots-clés ou termes courants.