Petit-déjeuner débat sur la conformité des cookies

conformité des cookies

La saga sur la conformité des cookies, épisode final de la dernière saison ? Céline Avignon, Directrice du département Publicité et Marketing électronique, anime un petit-déjeuner débat le 11 mars sur cette question. La Cnil vient de lancer une consultation publique sur le projet de recommandation « cookies et autres traceurs » qui prendra fin le 25 février.

Il s’agit là du dernier épisode en date d’une série à rebondissement débutée il y a plus de 10 ans.

Céline Avignon reviendra sur l’ensemble des obligations légales et réglementaires en matière de cookies, après avoir fait un petit rappel sur les aspects « techno » essentiels dans le cadre de la mise en conformité et parfois si difficile à identifier. Ce sera l’occasion :

  • d’identifier les principales modifications apportées par le RGPD et la loi du 6 janvier 1978 modifiée ;
  • d’analyser le rôle des différents acteur ;
  • de revenir sur le calendrier ;
  • d’évaluer le plan d’actions à mettre en oeuvre pour être en conformité.

Le petit-déjeuner débat aura lieu le 11 mars de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.


Informations petit-déjeuner débat :
Date : 11-03-2020
Thème : « La conformité des cookies »
Encadré par : Céline Avignon
Domaine technique : Média
Domaine juridique : Marketing direct

Formulaire d'inscription
Civilité
Nom*
Prénom*
Fonction*
Organisme*
Adresse
Code postal
Ville
Tél mobile
Tél fixe
Mél*
Domaine d'activité*
S'abonner au petit-déjeuner débat
S'abonner à la juristendance Informatique et télécoms
S'abonner à la juristendance Informatique et libertés
(*) Champs obligatoires

Le cabinet Alain Bensoussan Selas, responsable du traitement, met en oeuvre un traitement de données à caractère personnel ayant pour finalité la gestion des abonnements aux petits-déjeuners débats du cabinet. Le formulaire, ainsi que le traitement informatisé des données vous concernant, permettent de vous abonner aux petits-déjeuners débats du cabinet et d’accéder aux éléments documentaires associés, sur demande. Les réponses aux questions posées dans ce formulaire sont facultatives hormis celles accompagnées d’un astérisque. Leur défaut de réponse ne nous permets pas de traiter au mieux votre abonnement.

Conformément à la loi Informatique et libertés, vous disposez d’un droit d’interrogation, d’accès, de rectification et d’opposition pour motifs légitimes relativement à l’ensemble des données vous concernant qui s’exercent auprès du correspondant informatique et libertés par courrier électronique à l’adresse suivante : alain-bensoussan-cil@alain-bensoussan.com ou par courrier postal à l’adresse suivante, Alain Bensoussan Selas – 58 boulevard Gouvion-Saint-Cyr – 75017 Paris, accompagné d’une copie d’un titre d’identité.

 




La neutralité du web menacée par le futur traité de l’ONU

neutralité du web Alain Bensoussan interviewé par 20 Minutes aborde les menaces qui pèsent sur la neutralité du web (1) à l’heure où l’ONU donne son feu vert à un projet de traité international de lutte contre la cybercriminalité.

La neutralité du web menacée par la lutte contre la cybercriminalité

L’Assemblée générale de l’ONU a adopté une résolution controversée prévoyant la rédaction d’un traité international sur la « Lutte contre l’utilisation des technologies de l’information et des communications à des fins criminelles » à l’horizon 2020 (2).

Un bon moyen, s’il est correctement appliqué, de réguler Internet face à la cybercriminalité et par exemple, les outils de manipulation de masse », explique à 20 Minutes l’avocat Alain Bensoussan.

La résolution rédigée par la Russie a été approuvée par l’organe mondial de 193 membres par 79 voix contre 60 et 33 abstentions pourrait restreindre l’utilisation d’internet et la liberté d’expression sur les réseaux sociaux.

Lutter contre les outils de manipulation de masse sans censurer

Le futur traité international de l’ONU risque de facilité la censure sur Internet par certains gouvernements.

Cette convention est une expérience qui marche bien à son échelle puisqu’elle permet de réguler un Internet libre. Cela ne paraît pas idiot de s’en servir comme base et de l’étendre à l’international en incluant d’autres infractions », souligne Alain Bensoussan.

En disant cela, il pense tout particulièrement à la lutte contre les outils de manipulation de masse tels les fakes news (3) :

Aujourd’hui, ils se multiplient et peuvent influer sur l’opinion. Ils sont de plus en plus faciles à utiliser et ont de plus en plus de portée ». 

Mais les dérives ne sont pas loin. Ce futur traité international de l’ONU risque de faciliter la censure sur Internet par certains gouvernements :

Il ne faut pas un système de censure, mais de régulation qui défende les valeurs de la France et l’Europe, avertit Alain Bensoussan. Les grands principes de notre siècle sont la liberté, la sécurité et la dignité. Je ne pense pas qu’il faille les opposer, mais plutôt trouver un centre de gravité entre les trois. » Selon lui, ce n’est pas tant le traité qui risque d’être problématique, mais surtout son application.

et de souligner qu’un texte n’a pas la même portée ou la même interprétation selon les institutions.

Selon Alain Bensoussan, « Il faudra des régulateurs et même un tribunal international de l’Internet pour surveiller et condamner les pays qui détourneraient le texte pour censurer ou entraver la liberté d’expression d’opposants ».

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

(1) Interview réalisée par Marie De Fournas, publiée sur 20minutes.fr le 30 décembre 2019.
(2) Résolution A/C.3/74/L.11/Rev.1, adoptée le 27 décembre 2019.
(3) Voir le post du 19 décembre 2019.




La nouvelle lettre JTTIL n°203 Janvier 2020

lettre JTTILEn 2020, nos lettres Juristendances « Informatique et Télécoms » et « Informatique et Libertés » fusionnent pour devenir la lettre JTTIL, « JurisTendances Télécoms, Informatique & Libertés ».

Depuis 2003, nous avons le plaisir de vous faire partager notre passion du droit des technologies à travers nos lettres Juristendances (l’une mensuelle, l’autre bimestrielle).

Au fil du temps, le droit de l’informatique qui s’est construit autour des composants logiciels et matériels, s’est étendu aux réseaux télécoms et internet puis à toutes les révolutions en cours ou à venir liées au numérique et aux nouvelles technologies, telle l’Intelligence artificielle et la robotique.

Nos lettres Juristendances ont pour but d’apporter un éclairage technico-juridique sur les évolutions qui sont susceptibles d’impacter toute organisation (entreprises, employeurs, administrations, associations, etc.).

La lettre JTTIL nouvelle formule

La lettre JTTIL nouvelle formule est mensuelle. Elle est agrémentée d’une rubrique « Textes et jurisprudence clés » destinée à mieux décrypter l’actualité liée aux technologies numériques.

Désormais, dans chacun de nos numéros nous vous proposerons une série d’informations en trois volets :

  • l’actualité du droit des technologies : un résumé de ce qui s’est passé durant les 30 derniers jours ;
  • les événements auxquels nous vous convions : petits-déjeuners débats et Afterworks ;
  • les textes et jurisprudence clés du mois.

Nous espérons que la jonction de ces trois dimensions (actualité, débats et information légale et jurisprudentielle) nous permettrons de mieux vous faire partager notre passion du droit des technologies.

Avant que vous ne plongiez dans la nouvelle formule, il nous reste à vous souhaiter « une excellente année 2020 ».

JurisTendances Télécoms Informatique & Libertés n°203, Janvier 2020.

  • Les lettres Juristendances sont mis en ligne gratuitement. Pour recevoir la lettre JTTIL et rester au cœur de l’actualité législative et jurisprudentielle des technologies : inscription en ligne.
  • Les professionnels du droit des technologies avancées Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité. N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet



Conférence sur les réseaux sociaux à l’usage des artistes

réseaux sociaux à l’usage des artistesNaïma Alahyane Rogeon interviendra au côté d’Alexia Guggémos, journaliste et critique d’art, sur les réseaux sociaux à l’usage des artistes

La conférence a lieu au siège de l’Adagp (Société des Auteurs dans les Arts graphiques et plastiques) le 7 janvier prochain à 11H.

Quelles sont les bonnes pratiques et les précautions juridiques à tenir pour gérer efficacement sa présence sur les réseaux sociaux ?

Cette intervention à destination des artistes fait suite à la parution de l’ouvrage d’Alexia Guggémos, « Guide de Survie digitale » – les réseaux sociaux à l’usage des créateurs (1).

Si les réseaux sociaux sont de véritables opportunités pour une représentation des œuvres sur internet, il n’en demeure pas moins que certaines règles et bonnes pratiques sont à suivre afin de d’optimiser sa communication sur le web social et protéger ses réalisations.

Alexia Guggemos et Naima Alahyane Rogeon répondront aux interrogations des artistes sur les sujets des jeux d’influence sur le web social.

La conférence est organisée en partenariat avec la Maison des artistes qui mène depuis sa création des missions d’intérêt général d’accompagnement, de conseil et d’entraide des artistes.

Cette conférence gratuite et ouverte à tous les artistes intéressés par les questions relatives à la représentation et à la promotion des œuvres sur la toile.

(1) Le Guide de Survie digitale – Les réseaux sociaux à l’usage des créateurs, In Fine Editions (groupe Les Echos), 2019.




Plateformes en ligne : possible alternative au numéro de téléphone

plateforme en ligneDans un arrêt du 10 juillet 2019 (1), la CJUE est venue, sur renvoi préjudiciel de la Cour fédérale de justice allemande, préciser les termes de l’article 6, paragraphe 1, c) de la directive 2011/83/UE du Parlement Européen et du Conseil du 25 octobre 2001 relative aux droits des consommateurs, applicable aux opérateurs de plateformes en ligne.

Obligation de clarté et de transparence sur les coordonnées de contact des plateformes en ligne

La disposition interprétée s’inscrit dans le chapitre III de la directive précitée relatif à l’information des consommateurs et le droit de rétractation concernant les contrats à distance et hors établissement (2).

L’article 6, paragraphe 1, c) interprété est libellé comme suit :

« Avant que le consommateur ne soit lié par un contrat à distance ou hors établissement ou par une offre du même type, le professionnel lui fournit sous une information claire et compréhensible, les informations suivantes (…) :

c) l’adresse géographique où le professionnel est établi ainsi que le numéro de téléphone du professionnel, son numéro de télécopieur et son adresse électronique, lorsqu’ils sont disponibles, pour permettre au consommateur de le contacter rapidement et de communiquer avec lui efficacement et, le cas échéant, l’adresse géographique et l’identité du professionnel pour le compte duquel il agit ».

Aussi, et en application des dispositions précitées, les plateformes en ligne ont une obligation :

  • d’indiquer leurs coordonnées afin que les consommateurs puissent, avant la conclusion du contrat, les contacter pour préciser les conditions de l’achat qu’ils s’apprêtent à réaliser ;
  • de clarté et de transparence concernant les coordonnées précisées afin de permettre un contact rapide et une communication efficace.

Les questions préjudicielles posées à la CJUE étaient les suivantes :

  • l’article 6 de la directive impose-t-il aux plateformes en ligne de mettre en place un ligne téléphonique ou de télécopieur ou de créer une adresse électronique afin de permettre aux consommateurs de communiquer avec elle ?
  • à défaut, le droit national peut-il imposer une telle obligation aux plateformes en ligne ?
  • la liste de moyens de communication énumérés à l’article 6 est-elle exhaustive ?

Interprétation proportionnée de l’obligation d’information des consommateurs par les plateformes en ligne par la CJUE

Le litige ayant donné lieu au renvoi préjudiciel opposait l’Union fédérale allemande des centrales et associations de consommateurs et la plateforme Amazon EU (exploitant le site www.amazon.de).

La plateforme en ligne proposait à ses clients, avant la finalisation de la commande, la possibilité de la contacter via un lien spécifique « Contactez-nous ». Sous ce lien, les consommateurs disposaient d’un choix dans les modalités de contact :

  • via l’envoi d’un courriel ;
  • via un système de messagerie instantanée ;
  • via un contact téléphonique.

Cette dernière option ouvrait une nouvelle page internet sur laquelle les consommateurs disposaient soit de la possibilité de se faire rappeler en laissant leurs coordonnées de contact, soit de contacter un numéro d’aide général.

Selon l’Union fédérale allemande des centrales et associations de consommateurs, Amazon EU ne respectait pas son obligation légale de mise à la disposition des consommateurs de moyens efficaces visant à leur permettre d’entrer en contact avec elle, en n’informant pas les consommateurs de ses numéros de téléphone et de son numéro de télécopieur, ainsi que la loi allemande l’imposait.

L’Union fédérale allemande des centrales et associations de consommateurs considérait également que le numéro de téléphone n’était pas indiqué sous une forme claire et compréhensible, le numéro de rappel obligeant l’internaute à passer par différentes étapes pour entrer en contact avec un interlocuteur de la société Amazon EU.

Saisie des diverses questions préjudicielles précitées, la CJUE a considéré qu’il importait d’interpréter l’article 6, paragraphe 1, c) au regard du contexte et des objectifs poursuivis.

Dans le cadre de la vente à distance et hors établissement, l’obligation d’information précontractuelle vise à assurer un niveau élevé de protection des consommateurs en leur garantissant un bon niveau d’information et de sécurité dans les transactions avec les professionnels.

La possibilité de contact revêt une importance qualifiée par la Cour de fondamentale pour la sauvegarde et la mise en œuvre effective des droits des consommateurs, notamment concernant le droit de rétractation.

La Cour poursuit en précisant qu’il est nécessaire d’assurer un juste équilibre entre un niveau élevé de protection des consommateurs et la compétitivité des entreprises, tout en respectant la liberté d’entreprise de l’entrepreneur.

Sur ces considérations, la Cour a ainsi jugé que :

  • « si la directive ne détermine pas la nature précise du moyen de communication devant être mis en place, cette disposition oblige nécessairement le professionnel à mettre à la disposition de tout consommateur un moyen de consommation qui permette à ce dernier de le contacter rapidement et de communiquer avec lui efficacement » ;
  • « une obligation inconditionnelle de mettre à disposition du consommateur, en toutes circonstances, un numéro de téléphone, voire de mettre en place un ligne téléphonique, ou de télécopieur, ou de créer une nouvelle adresse électronique pour permettre aux consommateurs de contacter le professionnel parait disproportionnée, en particulier dans le contexte économique du fonctionnement de certaines entreprises, notamment les plus petites, qui peuvent réduire leur coût de fonctionnement en organisant la vente ou la prestation de service à distance ou hors établissement ».

Sur ce point et dans le cas d’Amazon EU, la Cour considère que le fait que le numéro de téléphone ne soit disponible qu’à la suite d’une série de clics n’implique pas pour autant que la forme utilisée ne soit pas claire et compréhensible.

Les enseignements de cet arrêt pour les opérateurs de plateformes en ligne

Les deux principaux enseignements de cet arrêt sont les suivants :

  • la directive ne vient pas créer une obligation pour les plateformes en ligne de mettre en place une ligne téléphonique, ou de télécopieur, ou de créer une nouvelle adresse électronique pour permettre aux consommateurs de le contacter. Elle n’impose de communiquer le numéro de téléphone ou de télécopieur ou l’adresse électronique que dans le cas où les plateformes en ligne disposent déjà de ces moyens de communiquer avec les consommateurs ;
  • les plateformes en ligne disposent de la possibilité de fournir d’autres moyens que le téléphone, le télécopieur ou l’adresse électronique, et notamment un formulaire de contact électronique permettant une réponse ou un rappel téléphonique, sous la seule réserve que les informations relatives aux coordonnées soient rendues accessibles sous une forme claire et compréhensible.

Toute réglementation nationale, comme c’était le cas dans le cadre de la loi allemande, imposant des obligations d’information plus restrictives, s’opposerait directement à la directive (3).

Ces précisions permettront d’appréhender avec plus de sécurité juridique la construction, les évolutions et les mises en conformité des plateformes en ligne au regard des dispositions du droit de la consommation.

Eve Renaud-Chouraqui
Lexing Concurrence Propriété industrielle contentieux

(1) CJUE, 10-7-2019, aff. C-649/17, Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV c/ Amazon EU Sarl

(2) L’article 2 de la directive 2011/83/UE définit les contrats à distance et hors établissement comme suit :

  • contrat à distance : « tout contrat conclu entre le professionnel et le consommateur, dans le cadre d’un système organisé de vente ou prestation de service à distance, sans la présence physique simultanée du professionnel et du consommateur, par le recours exclusif à une ou plusieurs techniques de communication à distance, jusqu’au moment, et y compris au moment, où le contrat est conclu » ;
  • contrat hors établissement : « tout contrat entre le professionnel et le consommateur : 
    conclu en la présence physique simultanée du professionnel et du consommateur dans un lieu n’étant pas l’établissement commercial du professionnel ; ou ayant fait l’objet d’une offre du consommateur dans les mêmes circonstances ; ou
    conclu dans l’établissement commercial du professionnel ou au moyen d’une technique de communication à distance immédiatement après que le consommateur ait été sollicité personnellement ou individuellement dans un lieu qui n’est pas l’établissement commercial du professionnel, en la présence physique et simultanée du professionnel ou du consommateur ou ;
    conclu pendant une excursion organisée par le professionnel ayant pour but ou pour effet de promouvoir ou de vendre des biens ou services au consommateur ».

(3) L’article 4 de la directive 2011/83/UE intitulé « Niveau d’harmonisation » empêche les Etats membres de maintenir ou d’introduire dans leur droit national des dispositions s’écartant de celles de la directive, notamment des dispositions plus strictes ou plus souples.




La CJUE qualifie SkypeOut de service de communications électroniques

SkypeOutLes fonctionnalités SkypeOut sont désormais qualifiées par la Cour de justice de l’Union européenne de service de communications électroniques (1).

En effet, le 5 juin 2019, la Cour a statué sur le renvoi préjudiciel qui lui avait été soumis par la Cour d’appel de Bruxelles, concernant la délimitation de la définition du service de communications électroniques au sens des directives de l’Union européenne. En précisant cette notion, la CJUE fait entrer la société Skype Communications – pour une partie de ses activités – parmi la catégorie des opérateurs de communications électroniques.

Définition du service de communications électroniques

Le service de communications électronique est défini au sein du Considérant n°10 de la Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002, dite « directive-cadre » (2).

Ce service « […] se rapporte à une large gamme d’activités économiques se déroulant en ligne ». Les institutions européennes précisent de manière négative que « la plupart de ces activités ne sont pas couvertes par le champ d’application de la […] directive, car elles ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques ». Il est, toutefois mentionnée sous ce même considérant que « les services de téléphonie vocale et de transmission de courrier électronique sont couverts par la […] directive ».

Déjà, la lettre de la directive prévoyait le fait qu’une même entreprise pouvait proposer à la fois un service de communications électroniques et des services non couverts par la directive, tels que la fourniture de contenus.

L’article 2 c) de cette même directive poursuit et définit le service de communications électroniques comme le « service fourni normalement contre rémunération qui consiste entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques, y compris les services de télécommunications et les services de transmission sur les réseaux utilisés pour la radiodiffusion, mais qui exclut les services consistant à fournir des contenus à l’aide de réseaux et de services de communications électroniques ou à exercer une responsabilité éditoriale sur ces contenus ; il ne comprend pas les services de la société de l’information tels que définis à l’article 1er de la directive 98/34/CE qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques ».

Toutefois, face à l’alternance des éléments de définition positifs et négatifs, un certain flou s’est installé, laissant espérer une décision plus éclairante de la part de la Cour de justice.

Dans cet arrêt, la CJUE vient, ainsi, préciser les services devant figurer parmi les services de communications électroniques et y inclure les fonctionnalités de SkypeOut, facultativement ajoutées au logiciel Skype.

Les services prestés par la société Skype

La société Skype Communications édite le logiciel Skype désormais mondialement connu, qui permet, à l’utilisateur l’ayant installé sur son terminal, de bénéficier d’un service de téléphonie vocale et de téléconférence, d’appareil à appareil.

Les fonctionnalités SkypeOut peuvent être ajoutées au logiciel Skype afin de permettre à son utilisateur de passer des appels téléphoniques depuis un terminal, vers une ligne de téléphonie fixe ou mobile, en utilisant la voix sur IP. Cette faculté est, toutefois, accordée aux utilisateurs « à sens unique » en ce qu’ils ne peuvent, en revanche, recevoir des appels téléphoniques issus de ces lignes comprises dans le plan national de numérotation.

Cette fonctionnalité se rapproche, pour certains points, des éléments de définition du service de communications électroniques. En effet, il est fourni contre rémunération, par l’intermédiaire d’une formule prépayée ou de divers abonnements.

Par ailleurs, des accords conclus avec les fournisseurs d’accès Internet permettent de réaliser l’acheminement des signaux d’appels.

Néanmoins, la société Skype Communications arguait se voir exempter de la qualification d’opérateur de communications électroniques en ce que le service SkypeOut est fourni en dehors de toute offre d’un FAI. Or ce sont les FAI qui, en pratique, transmettent et terminent les appels vers le réseau téléphonique public commuté. D’autant plus que la société ne s’est vue allouer aucun numéro depuis le plan de national de numérotation.

De plus, la société Skype Communications invoquait que ses conditions générales précisent qu’elle n’est en aucun cas responsable, envers le client final, de la transmission des signaux, ce qui est incompatible avec la qualité d’opérateur de communications électroniques.

L’argumentaire retenu par la Cour de justice

La CJUE n’a pas été sensible aux arguments de la société Skype Communications et considère que les services fournis dans le cadre des fonctionnalités SkypeOut entrent sous la qualification des services de communications électroniques.

Pour appuyer son raisonnement, la Cour use de critères de qualification tant positifs que négatifs.

Parmi les éléments constitutifs des services de communications électroniques, la CJUE relève, tout d’abord, que la société Skype Communications perçoit une rémunération de la part des utilisateurs de SkypeOut – par prépaiement ou abonnement.

Ensuite, elle considère que la société effectue les transmissions de signaux d’appels dans la mesure où, si ces signaux sont, en pratique, acheminés par des fournisseurs de services de télécommunications, ces derniers sont rémunérés par Skype Communications sur une base contractuelle. La Cour reconnaît que « cette transmission intervient en vertu des accords passés entre Skype Communications et lesdits fournisseurs de télécommunications et ne saurait intervenir sans la conclusion de tels accords » (§ 34 de l’arrêt).

La Cour poursuit et considère que la société Skype Communications est bien responsable, envers les utilisateurs de la fonctionnalité SkypeOut. Cette responsabilité se déduit justement des accords conclus avec les FAI et les fournisseurs de services de télécommunications. Les fournisseurs sont contractuellement responsables vis-à-vis de la société, mais pas des clients avec lesquels ils n’entretiennent aucune relation contractuelle. En revance, Skype Communication est considérée comme responsable vis-à-vis des utilisateurs de la fonctionnalité SkypeOut dans la mesure où ces services sont rémunérés. La relation contractuelle et rémunérées entre la société et ces divers fournisseurs d’une part, et les utilisateurs finals d’autre part, joue donc un rôle déterminant dans l’analyse de la Cour.

Ces différents critères permettent à la CJUE de considérer la fonctionnalité SkypeOut comme service de communications électroniques. Or, la Cour poursuit son raisonnement en écartant les arguments avancés comme éventuelles exonérations de ce statut.

SkypeOut fonctionnalité ou service de communications électroniques ?

Parmi les éléments ne faisant pas obstacle à la reconnaissance de la qualité de services de communications électroniques, la Cour de justice précise, d’abord, que le fait que l’usage de la fonctionnalité SkypeOut nécessite d’utiliser un service d’accès à Internet – considéré comme service de communications électroniques – n’implique pas que le service de la société Skype Communication ne puisse pas être considéré en tant que tel comme un service de communications électroniques. Il est, en effet, possible que le service proposé par cette société implique la fourniture de deux services de communications électroniques distincts.

De plus, la Cour de justice ajoute que le fait que le service SkypeOut ne soit qu’une fonctionnalité du logiciel Skype ne fait pas obstacle à sa qualification de service de communications électroniques. En effet, les deux types de services « apparaissent clairement distincts dans leur objet et demeurent totalement autonomes dans leur fonctionnement » (§ 43 de l’arrêt).

Par ailleurs, la CJUE poursuit sur le terrain de la responsabilité en précisant que, le fait pour la société Skype Communications de se dédouaner, dans ses conditions générales, de toute responsabilité liée à la transmission des signaux à l’égard des utilisateurs, est sans effet sur la qualification du service presté. Il n’est, en effet, pas concevable pour la Cour qu’un fournisseur puisse se soustraire à ses obligations, à travers ses propres conditions générales.

Enfin, la Cour termine son raisonnement en précisant que la qualification de service de société de l’information ne fait pas obstacle à la qualification parallèle de service de communications électroniques. Elle précise, à ce titre, que l’exclusion des services de la société de l’information par la directive-cadre ne concerne que les services qui ne consistent pas entièrement ou principalement en la transmission de signaux sur des réseaux de communications électroniques. A contrario, les autres services de la société de l’information ne sont pas exclus du champ d’application de la directive-cadre.

La CJUE considère, ainsi, que la fourniture du service SkypeOut constitue un service de communications électroniques, faisant de Skype Communications, pour cette branche de son activité, un opérateur de services de communications électroniques.

Frederic Forster
Johanna Chauvin
Lexing Constructeurs informatique et télécoms

(1) CJUE, Aff. C-142/18 du 5 juin 2019, Skype Communications Sarl c. Institut belge des services postaux et des télécommunications (IBPT).
(2) Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre»), telle que modifiée par la directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009.




L’e-réputation des communes : audit et protection

e-réputation des communesVirginie Bensoussan-Brulé anime une webconférence le 5 juin 2019 sur le-réputation des communes et de leur maire, complément indispensable à la communication numérique en période pré-électorale.

A la suite de la webconférence consacrée à la communication en période pré-électorale « spécial numérique », du 28 mai, IdealCo, la plateforme collaborative de la sphère publique,  propose d’approfondir cette thématique d’actualité.

Cette webconférence du 5 juin porte un regard sur l’e-réputation des communes et de leur maire.

La révolution des réseaux sociaux permet à chacun de créer, diffuser et partager tous types de contenus, avec facilité et en temps réel. La communication publique n’échappe pas à cette révolution.

Elus et collectivités se sont saisis de ces nouveaux moyens de communication et doivent désormais protéger leur image car la réputation d’une personne aussi bien morale que physique peut être valorisée par les réseaux sociaux et autre média mais également mise à mal par tous types de rumeurs.

Maître Virginie Bensoussan-Brulé, qui dirige le pôle Contentieux numérique du cabinet Lexing Alain Bensoussan avocats, fera la lumière sur ce qu’est l’e-réputation, comment l’auditer et en assurer la protection.

Préparez d’ores et déjà vos questions !

L’e-réputation des communes et de leur maire

Les objectifs de cette webconférence sont les suivants :

  • Comprendre ce qu’est l’e-réputation ;
  • Savoir comment l’auditer, connaître les paramètres à prendre en compte ;
  • Savoir comment protéger l’e-réputation, connaître les actions possibles ;
  • Connaître les réponses non-contentieuses en cas d’atteinte ;
  • Savoir comment se déroule une procédure contentieuse.

Inscrivez-vous pour suivre cette formation.




Communication pré-électorale numérique des-communes

communication en ligne des communesMaître Virginie Bensoussan-Brulé anime une webconférence le 28 mai 2019 sur la Communication pré-électorale numérique des communes.

IdealCo, la plateforme collaborative de la sphère publique, vous propose d’approfondir cette thématique d’actualité autour d’une webconférence.

Si plusieurs contenus sont abordés sur IdealCO pour accompagner les maires dans cette communication pré-électorale, c’est par le prisme du numérique que nous vous proposons de démarrer.

En compagnie de Maître Virginie Bensoussan-Brulé, directrice du pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, nous vous proposons durant 2 heures, de détailler les règles spécifiques à la communication en ligne et d’aborder les procédures contentieuses et la gestion des données personnelles dans ce cas précis.

Communication pré-électorale numérique des-communes

Les objectifs de cette webconférence sont les suivants :

  • Comprendre comment est encadrée la communication des collectivités territoriales, en connaître les limites ;
  • Connaître les règles spécifiques à la communication en ligne ;
  • Savoir comment gérer l’utilisation des données personnelles en application du RGPD ;
  • Faire le point sur la procédure contentieuse ;
  • Connaître la loi relative à la lutte contre la manipulation de l’information.

Inscrivez-vous pour suivre cette formation.




La contrefaçon d’œuvres en ligne : un guide de survie digitale

Guide de Survie digitaleNaïma Alahyane Rogeon répond aux questions d’Alexia Guggemos, critique d’art et journaliste dans le cadre du « Guide de Survie digitale » dont elle est l’auteure(1).

En tant qu’activiste du digital, Alexia Guggémos a réalisé un véritable guide de survie digitale à l’usage des créateurs. Ces derniers y trouveront de nombreuses pistes pour améliorer leur notoriété sur la Toile et sur les réseaux sociaux tels que Instagram, Facebook, Twitter ou Youtube.

Ce guide qui vient de paraître aux Editions In Fine éditions d’art, propose en effet aux créateurs des outils pratiques pour :

  • assurer une présence maîtrisée sur le web,
  • organiser sa production éditoriale,
  • partager et dialoguer,
  • consacrer un budget minimum et
  • suivre les évolutions du web.

Naïma Alahyane Rogeon était interrogée sur les problématiques posées par la contrefaçon d’œuvres en ligne. Dans un chapitre « Survivre au hacking », elle rappelle quelques règles de droit et fournit des conseils de prévention et de lutte contre la contrefaçon des œuvres sur la toile.

Ce guide aborde également  les nombreuses autres questions que se pose un créateur :

Pourquoi prendre la vague des réseaux sociaux, et jusqu’où ? Comment hisser la grand-voile d’Instagram, cet espace d’expression communautaire à fort potentiel d’amplification sur lequel quatre cents millions de stories sont partagées chaque jour ? Comment s’y retrouver sur Pinterest, SoundCloud ou TripAdvisor ?

Elle était présente à l’occasion de la séance de signature organisée, le jeudi 28 mars 19h-20h30, à la librairie du Palais de Tokyo, à Paris pour la parution du guide.

Isabelle Pottier
Directeur Études et Publications

(1) Alexia Guggemos, Le Guide de survie digitale – Les réseaux sociaux à l’usage des créateurs, In Fine Editions (groupe Les Echos), mars 2019.




Achats en ligne : rapport de la Commission européenne

Achats en ligneLes sites e-commerce ne sont pas conformes aux règles de transparence imposées tant au niveau européen qu’au niveau national.

Telles sont les conclusions du rapport de la Commission européenne et des autorités nationales de protection des consommateurs aux termes d’une vaste opération « coup de balais » (« sweep »), menée en novembre 2018 sur les achats en ligne.

Le contexte

Cette opération s’inscrit dans le cadre du réseau CPC (coopération en matière de protection des consommateurs) permettant le lancement annuel d’un ensemble de contrôles simultanés au niveau européen, dans le but de contrôler les éventuelles infractions au droit de la consommation.

Diverses opérations ont été réalisées depuis 2007 dans ce cadre :

  • compagnies aériennes (2007),
  • contenu mobile (2008),
  • produits électroniques (2009),
  • tickets en ligne (2010),
  • crédit à la consommation (2011),
  • contenus numériques (2012),
  • services de voyage (2013),
  • garantie sur les produits électroniques (2014),
  • directive sur les droits des consommateurs (2015),
  • outils de comparaison dans le secteur des voyages (2016) et
  • services de télécommunications et autres services numériques (2017).

L’opération menée en 2018 visait les achats en ligne et le contrôle de la transparence sur les sites e-commerce. Elle a été réalisée de manière coordonnée par les autorités des 24 Etats membres, de la Norvège et de la Suède.

Au total, 560 sites e-commerce ont été contrôlés, tous domaines confondus : biens, services, contenus numériques.

Achats en ligne : les conclusions du rapport

Les résultats de l’enquête menée sur les achats en ligne sont sans appel : sur les 560 sites, 336 (soit 60%) présentent des irrégularités concernant la transparence des prix et des offres spéciales :

  • 31% des sites offrant des offres dites spéciales proposeraient soit des offres vraisemblablement non authentiques soit, un calcul peu clair de la réduction applicable ;
  • 39% des sites n’indiquent pas des informations correctes concernant les frais supplémentaires relatifs à la livraison, les modes de paiement, les éventuels frais de réservation ou surtaxes autres.

Ces constatations attestent de la contrariété des sites au égard aux règles européennes (et françaises) imposant :

  • la présentation du prix toutes taxes, frais compris ;
  • à défaut de possible calcul à l’avance des frais complémentaires applicables, la mention claire de cette impossibilité afin que le consommateur en ait pleinement conscience au moment de l’achat.

Le rapport soulève l’existence d’autres irrégularités des sites :

  • 59 % d’entre eux ne présentent pas de lien vers la plateforme de règlement en ligne des litiges ;
  • 30 % d’entre eux ne comportent pas de mentions régulières concernant le droit de rétractation.

La probabilité de contrôles à venir par les autorités nationales

La commissaire chargée de la justice, des consommateurs et de l’égalité des chances précise au sein du communiqué de presse de la Commission européenne (1) :

Les achats en ligne offrent de nombreuses possibilités aux consommateurs. Cependant, plus de la moitié des sites web présentent des irrégularités (…). Cela doit cesser, car c’est souvent source de confusion et d’un prix plus élevé que prévu pour les consommateurs. Je suis consternée par le nombre élevé de sites web qui présentent ces problèmes, et j’espère que ce n’est pas délibéré. Les professionnels opérant en ligne doivent respecter pleinement les règles de l’UE en matière de protection des consommateurs. Les autorités nationales de protection des consommateurs, avec l’aide de la Commission, vont à présent prendre les mesures nécessaires pour mettre fin à ces pratiques commerciales déloyales.

La conséquence de cette opération semble sans appel … Il y a fort à parier que les contrôles opérés par la DGCCRF s’intensifient prochainement sur l’ensemble des éléments contrôlés au niveau européen.

Les sites e-commerce ont tout intérêt à faire réaliser des audits de leurs tunnels de commandes et de leurs mentions d’affichage et relatives au droit de la consommation pour se conformer, si nécessaire, aux dispositions applicables ou, à tout le moins, se mettre en posture de conformité, en cas de contrôle.

Eve Renaud- Chouraqui
Lexing Concurrence PI contentieux

(1) Achats en ligne : la Commission et les autorités de protection des consommateurs demandent des informations claires sur les prix et les remises, Communiqué IP/19/1333, du 22 février 2019.




De nouvelles règles européennes P2B pour les plateformes en ligne

P2BLes plateformes en ligne offrent une possibilité d’accès efficace aux marchés de consommation internationaux. Cependant, ce marché, en constante évolution, présente des risques de pratiques commerciales déloyales entre les entreprises. Le projet de règlement européen dit Platform To Business (« P2B »), déposé le 26 avril 2018 soit il y a moins d’un an, est en bonne voie.

En février dernier, le Parlement européen, le Conseil de l’Union européenne, ainsi que la Commission européenne sont parvenus à un accord sur le projet Platform To Business (« P2B ») afin d’établir de nouvelles règles permettant l’instauration d’un environnement économique, équitable et prévisible pour les entreprises et commerçants utilisant les plateformes en ligne.

Ce nouveau règlement P2B aura vocation à intervenir dans le secteur B2B et n’a pas vocation à régir les relations B2C ou C2C.

Selon le communiqué de presse de la Commission européenne, seraient concernées environ 7000 plateformes en ligne ou places de marché (géants mondiaux ou start-up de plus faible envergure). Il est également précisé que certaines règles, relative à la transparence des classements, auront vocation à s’appliquer également aux moteurs de recherche.

Trois objectifs majeurs ressortent de ces nouvelles règles :

  • l’interdiction de certaines pratiques déloyales décelées ;
  • l’amélioration de la transparence des pratiques commerciales ;
  • l’instauration de nouvelles possibilités de règlement des litiges et des plaintes.

De nouvelles mesures P2B pour éviter les pratiques déloyales

Parmi les principales dérives, figurent les suspensions ou clôtures inexpliquées de comptes de vendeurs, situations qui aboutissent régulièrement à placer les entreprises dans de graves difficultés quant à la possibilité de maintenir leur activité de manière pérenne.

Pour cette raison, il a été décidé que les plateformes en ligne ne pourront suspendre ou fermer des comptes de vendeurs sans motiver leur décision de façon claire et/ou sans offrir de possibilité de recours. La plateforme en ligne se devra également de rétablir le compte du vendeur dans le cas où la suspension aurait été effectuée par erreur.

En complément, les conditions générales des plateformes en ligne devront être accessibles, claires et compréhensibles. Toute modification des conditions devra être notifiée au moins 15 jours à l’avance afin de laisser un temps d’adaptation aux entreprises concernées. Un délai plus long s’appliquera lorsque les modifications nécessiteront des adaptations complexes.

Une amélioration de la transparence du fonctionnement des plateformes en ligne

Afin de permettre aux vendeurs d’améliorer leur présence sur les plateformes en ligne, de développer un positionnement compétitif et pertinent au regard des attentes des consommateurs, les places de marché et moteurs de recherches devront indiquer les paramètres principaux utilisés pour le classement des biens et services.

De plus, ces Platforms To Business (« P2B ») agissant également en qualité de vendeurs devront communiquer tous les avantages accordés à leurs produits.

En outre, les plateformes en ligne devront également indiquer quelles données sont collectées, mais aussi de quelle manière elles sont utilisées notamment concernant leur communication à des partenaires commerciaux.

De nouvelles possibilités de règlement des litiges et des plaintes

Le constat actuel est que les vendeurs éprouvent de grandes difficultés à exercer un recours à l’encontre des plateformes en ligne et/ou à trouver une solution dans leurs litiges.

Afin d’améliorer cette situation, il est prévu la mise en place d’un système interne de traitement des réclamations. Seront néanmoins exclues de cette obligation, les plateformes en ligne de petite taille (soit en termes d’effectifs, soit en termes de chiffre d’affaires).

Des médiateurs spécialisés seront également présents pour permettre un règlement des litiges plus rapide et moins couteux.

Les associations professionnelles disposeront également de la possibilité d’intenter une action en justice groupée, afin de faire cesser les manquements constatés, ce qui encouragera les actions judiciaires et partant la remontée des problématiques et abus et la création d’un socle décisionnel.

A été également ouverte aux Etats membres la possibilité de désigner des autorités publiques  nationales dotées de pouvoirs répressifs.

Sous quel délai ces règles seront-elles applicables ?

Celles-ci le seront 12 mois après leur adoption et publication. Dans un délai de 18 mois, elles feront ensuite l’objet d’un réexamen afin de s’assurer qu’elles correspondent à la structure actuelle du marché. A cette fin, un observatoire des plateformes en ligne P2B sera également mis en place par l’Union européenne.

Eve Renaud-Chouraqui
Sarah Rosenbach
Lexing Concurrence Propriété industrielle contentieux

1) Proposition de règlement du Parlement européen et du Conseil du 26 avril 2018 promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne, COM(2018) 238 final, 2018/0112 (COD)
2) Analyse du texte de compromis final en vue d’un accord du 19 février 2019, ST 6090 2019 INIT (en anglais seulement)




Règlement sur la cybersécurité & présence technologique chinoise

Règlement sur la cybersécuritéLe Parlement européen a arrêté le 12 mars 2019 sa position en vue de l’adoption du Règlement sur la cybersécurité. Ce règlement relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications (1), abroge le règlement (UE) n° 526/2013.

Ce règlement est également dénommé Cybersecurity Act.

Le Règlement sur la cybersécurité devrait être formellement adopté dans les prochains jours par le Conseil. En effet, si le Conseil approuve la position du Parlement européen, le Règlement sur la cybersécurité sera adopté dans la formulation qui correspond à la position du Parlement européen.

Base juridique du Règlement sur la cybersécurité et principe de subsidiarité

En France, le Sénat s’est prononcé par une résolution du 6 décembre 2017 sur la conformité au principe de subsidiarité du Règlement sur la cybersécurité. Il avait considéré, s’agissant des compétences des Etats membres en matière de cybersécurité, que la cybersécurité, de par l’importance qu’elle revêt pour la sécurité des États membres, relevait par plusieurs aspects de la souveraineté nationale. Le Sénat avait souligné que les États membres devaient conserver, d’une part, « leur faculté d’adopter des normes et des standards apportant un plus haut niveau de sécurité ». D’autre part, les Etats membres devaient également conserver « toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne ». Le Parlement européen et le Conseil ont considéré que les objectifs du Règlement sur la cybersécurité ne pouvaient pas être atteints de manière suffisante par les États membres, mais pouvaient l’être mieux au niveau de l’Union ; celle-ci pouvant prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne.

Les principes de subsidiarité et de proportionnalité sont bien remplis par le Règlement sur la cybersécurité.

Objectifs du Règlement sur la cybersécurité

Le Règlement sur la cybersécurité entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne. Ce règlement, a déjà fait l’objet d’un accord informel avec les États membres. Le Règlement sur la cybersécurité comporte 101 considérants, 69 articles et une annexe unique définissant les exigences applicables aux organismes d’évaluation de la conformité.

Le Règlement sur la cybersécurité poursuit l’objectif global de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l’Union. Les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises — y compris les petites et moyennes entreprises (PME), jusqu’aux opérateurs d’infrastructures critiques — doivent être mieux protégés contre les cybermenaces.

Le Règlement sur la cybersécurité fixe 6 objectifs :

  • la poursuite du renforcement des capacités et de l’état de préparation des États membres et des entreprises, ainsi qu’une amélioration de la coopération, du partage d’informations et de la coordination entre les États membres et les institutions, organes et organismes de l’Union ;
  • l’augmentation au niveau de l’Union, des capacités susceptibles de compléter l’action des États membres, notamment dans les cas d’incidents et de crises transfrontières majeurs, tout en prenant en compte l’importance de préserver et de renforcer les capacités nationales de réaction en cas de cybermenaces de tous types ;
  • la sensibilisation des citoyens, organisations et entreprises aux questions de cybersécurité ;
  • le renforcement de la confiance des consommateurs par le recours à la certification à l’échelle de l’Union prévoyant des exigences et des critères d’évaluation communs en matière de cybersécurité dans l’ensemble des marchés nationaux et des secteurs ;
  • l’encouragement des organisations, fabricants et fournisseurs à mettre en œuvre la sécurité des produits et services TIC dès les phases de conception et de développement et durant tout le cycle de vie du produit ou service ;
  • la généralisation de la sécurité par défaut et de la sécurité dès la conception pour les produits, services ou processus TIC sans que cette sécurité ne nécessite une compréhension des détails techniques spécifique ou un comportement non intuitif de l’utilisateur.

Mandat permanent à l’ENISA et renforcement de son rôle de au sein de l’Union

L’ENISA (Agence de l’Union Européenne pour la cybersécurité) mise en place par le Règlement sur la cybersécurité devrait succéder à l’ENISA établit par le règlement (UE) n° 526/2013 (2). L’ENISA est confortée dans son rôle et ses missions par un mandat permanent au sein de l’Union. Dans le cadre du Règlement sur la cybersécurité, la principale tâche de l’ENISA est désormais de promouvoir la mise en œuvre du cadre juridique et notamment la mise en œuvre effective des exigences de la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (3) et de l’ensemble des instruments juridiques pertinents comportant des aspects liés à la cybersécurité.

L’ENISA se voit conférer par son mandat permanent le rôle de coopérer avec les organisations internationales ainsi qu’au sein des cadres internationaux de coopération dans le domaine de la cybersécurité. L’ENISA doit ainsi contribuer à  cette coopération internationale avec les organisations OCDE, OSCE et l’OTAN. Les activités de coopération avec les organisations internationales devront se dérouler dans le respect des principes d’inclusion, de réciprocité et d’autonomie décisionnelle de l’Union et sans préjudice du caractère particulier de la politique de sécurité et de défense de tout Etat membre.

Cadre européen de certification de cybersécurité : premier dispositif de certification de sécurité des produits, services et processus TIC.

La certification de cybersécurité joue un rôle crucial dans l’amélioration de la sécurité des produits, services et processus TIC mais aussi dans le renforcement de la confiance des utilisateurs de ces produits et services. Une des lacunes affectant les entreprises européennes sur le marché de la cybersécurité est en effet le manque de solutions interopérables (grâce à des normes techniques) ainsi que des pratiques et dispositions de certification à l’échelle de l’Union pouvant être concurrentielles au niveau mondial.

L’ambition du Règlement sur la cybersécurité est de créer le premier cadre européen de certification de cybersécurité afin de garantir que les produits, les processus et les services vendus dans les pays de l’UE soient conformes aux normes de cybersécurité.

Schémas européens de certification de cybersécurité et niveaux d’assurance pour les produits et services TIC.

Afin de garantir qu’un produit ou service TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité, le futur schéma européen de certification de cybersécurité devra préciser les différents niveaux d’assurance pour les certificats de cybersécurité européens.

Les exigences de sécurité correspondant à chaque niveau d’assurance seront définies dans le Schéma européen de certification de cybersécurité. Ce dernier pourra comporter un ou plusieurs niveaux d’assurance pour les produits, services et processus TIC (niveau élémentaire, substantiel ou élevé).

Pour chaque niveau d’assurance, les produits ou services TIC devront comporter des fonctions sécurisées : une configuration sécurisée prête à l’emploi, un code informatique signé, une mise à jour sécurisée ainsi que la limitation de l’exploitation de failles et des protections complètes de type « full stack ».

En particulier, pour le niveau d’assurance dit « élémentaire » l’évaluation devra porter sur un certain nombre de composants d’assurance tels que l’évaluation de la conformité à la documentation technique.

Les principaux objectifs de sécurité des schémas européens de certification de cybersécurité sont :

  • la protection des données stockées, transmises ou traitées au cours de l’ensemble du cycle de vie du produit, service ou processus TIC ;
  • la protection de ces données contre la destruction accidentelle ou non autorisée au cours de l’ensemble du cycle de vie du produit, service ou processus TIC ;
  • l’identification documentée des dépendances et vulnérabilités connues et la vérification que les produits, services ou processus TIC ne contiennent pas de vulnérabilités connues ;
  • la mise en œuvre des principes de sécurité par défaut et dès la conception des produits, services et processus TIC.

L’ENISA devra également dans le cadre de son mandat permanent consulter les organismes de normalisation et en particulier les organismes de normalisation européens, notamment lors de l’élaboration des schémas européens de certification de cybersécurité. Un groupe de travail ad hoc est jugé nécessaire pour la préparation d’un schéma européen de certification de cybersécurité.

Un site internet dédié sera tenu à jour par l’ENISA. Il fournira des informations et une publicité sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l’UE.

Auto-évaluation de la conformité limitée sous la responsabilité du fabricant ou fournisseur du produit, service TIC.

Le futur schéma européen de certification de cybersécurité pourra permettre l’auto-évaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur du produit, service ou processus TIC. Cette auto-évaluation limitée n’est autorisée que pour les produits, services ou processus TIC qui présentent un risque faible correspondant au niveau d’assurance élémentaire.

Création d’un groupe des parties prenantes pour la certification de cybersécurité.

Un groupe des parties prenantes devrait être institué afin d’aider l’ENISA et la Commission pour la certification de cybersécurité. Ce groupe devrait être composé de membres représentant le secteur de la cybersécurité, tant du côté de la demande que du côté de l’offre de produits et services TIC.

Préalablement à la mise en place de ce groupe, l’ENISA devra établir des règles en matière de prévention et de gestion des conflits d’intérêts mais aussi assurer l’accès du public aux documents prévu par le règlement (CE) n° 1049/2001 du 30 mai 2001 (4).

Autorités nationales de certification de cybersécurité

Chaque Etat membre a l’obligation aux termes du Règlement sur la cybersécurité de désigner une ou plusieurs autorités nationales de certification de cybersécurité. Les Etats membres devront veiller à ce que les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens soient strictement distinctes de leurs activités de supervision dans ledit Etat membre.

En France, l’ANSSI est l’autorité nationale pour la certification de sécurité de produits. L’ANSSI est chargée d’instruire les certifications selon les directives données par le comité directeur de la certification. En particulier, la certification Critères Communs bénéficie d’une reconnaissance européenne et mondiale via les accords du SOG-IS et du CCRA. La reconnaissance de la CSPN à l’échelle européenne constitue un objectif à court ou moyen terme. La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

L’ensemble du processus de certification est géré au sein de l’ANSSI par le Centre de Certification National.

Droit d’introduire une réclamation

Toute personne physique ou morale disposera en vertu de l’article 63 du Règlement sur la cybersécurité du droit d’introduire une réclamation auprès soit de l’émetteur d’un certificat de cybersécurité européen soit directement auprès de l’autorité nationale de certification de cybersécurité si le certificat de cybersécurité européen a été délivré par un organisme d’évaluation de la conformité.

Droit à un recours juridictionnel effectif

L’article 64 du Règlement sur la cybersécurité instaure un droit à un recours juridictionnel effectif pour les personnes physiques ou morales, outre tout recours administratif ou tout autre recours non juridictionnel.

Ce droit à un recours juridictionnel effectif concerne :

  • les décisions prises par l’autorité nationale de certification de cybersécurité ou tout organisme d’évaluation de la conformité ;
  • l’absence de réaction à une réclamation introduite auprès de l’autorité nationale de certification de cybersécurité ou de l’organisme d’évaluation de la conformité.

Sanctions en cas de violation du Règlement sur la cybersécurité

En cas de violation des dispositions du Règlement sur la cybersécurité et des schémas européens de certification de cybersécurité, les Etats membres déterminent les sanctions applicables ; étant précisé que ces sanctions doivent être effectives, proportionnées et dissuasives. Les Etats membres doivent informer sans retard la Commission du régime des sanctions applicables ainsi que de toute modification à ce régime.

Protection des données à caractère personnel

Toutes les opérations de traitement de données à caractère personnel effectuées par l’ENISA sont soumises aux dispositions du Règlement du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données.

Résolution sur les menaces liées à la présence technologique chinoise

Dans le prolongement de sa proposition de résolution sur le Règlement sur la cybersécurité, le Parlement européen a également adopté une résolution concernant les menaces pour la sécurité liées à la pression technologique croissante de la Chine dans l’Union.

Cette résolution fixe 5 objectifs majeurs :

  • élaborer une stratégie et des plans d’investissements publics afin de réduire la dépendance de l’Europe à l’égard de technologies étrangères dans le domaine de la cybersécurité, des TIC, de l’intelligence artificielle et de l’économie numérique ;
  • concernant l’accès d’entreprises de pays tiers aux futurs services de télécommunication et de 5G, les Etats membres devraient fonder leurs décisions sur des expertises techniques et une évaluation rigoureuse des risques ainsi que sur les engagements que prennent ces entreprises et les garanties qu’elles apportent au regard du respect du droit à la vie privée des citoyens de l’Union ainsi que de la prévention de l’espionnage et du sabotage technologique, plutôt que sur les pressions exercées par l’administration américaine ;
  • élaborer un système multilatéral de gouvernance de la cybersécurité dans l’optique d’instaurer en la matière un cadre réglementaire et stratégique au niveau des Nations unies ;
  • mettre en œuvre les mécanismes de coopération instaurés par la directive sur la sécurité des réseaux et des systèmes d’information ;
  • toutes les entreprises qui fournissent des technologies et des services dans l’Union doivent se conformer au droit de l’Union et des États membres et doivent répondre de toute infraction à la législation sur la protection des données et la cybersécurité.

Didier Gazagne
Lexing BU Cybersécurité Cyberdéfense

(1) Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (Règlement sur la cybersécurité) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD).
(2) Règlement (UE) n° 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) n° 460/2004.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (CE) N° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission.




Identification du directeur de la publication d’un site internet

directeur de la publication

Peu important les mentions légales du site internet, le directeur de la publication est le responsable légal de l’entité éditrice.

Le pourvoi en cassation formé par l’association Egalité & Réconciliation a été rejeté le 22 janvier 2019 par la chambre criminelle de la Cour de cassation (1), mettant fin à une série judiciaire par laquelle son président à essayé de se soustraire à ses obligations de directeur de la publication, affirmant que des personnes incarcérées depuis des années étaient les véritables directeurs de la publication d’un site internet dont les velléités d’incitation à la haine sont connus de tous.

Une solution adoptée par les juges du fond

Dans un premier jugement du 14 mars 2017 (2), la 17e chambre correctionnelle du Tribunal de grande instance de Paris avait déjà rejeté l’argumentation du prévenu qui prétendait que le directeur de publication et le directeur adjoint de la publication étaient deux détenus condamnés à de très longues peines. Les mentions légales du site internet faisant d’ailleurs mention du nom de ces deux personnes.

Des associations avaient alors souligné que l’incarcération des intéressés permettait de s’interroger sur leurs conditions d’accès à internet et leur capacité à assurer effectivement les fonctions qui leur sont attribuées. En référé, leur demande de faire mentionner sur le site le nom du véritable directeur de publication avait rejetée, le juge estimant que seule une enquête pénale est de nature à démontrer des manquements aux obligations de la LCEN précitées.

L’enquête pénale diligentée a démontré que les deux détenus mentionnés ne pouvaient être les réels directeurs de publication, eu égard aux circonstances entourant leur incarcération.

Par ailleurs, toutes les données techniques identifiées (adresses IP, comptes de messagerie, adresses physiques, numéro de téléphone, etc.) démontraient que le service offert par le site est fourni par l’association éponyme -éditrice donc- dont le président, qui doit, selon la loi du 29 juillet 1982 être considéré comme directeur de la publication et qui n’apporte aucun élément pour infirmer ce constat, est ainsi déclaré coupable de l’infraction précitée caractérisée par l’inexactitude des mentions légales du site.

Le tribunal correctionnel avait donc condamné le véritable directeur de la publication, responsable légal de l’association éditrice du site du chef de non mise à disposition du public d’information identifiant l’éditeur d’un service de communication au public en ligne et l’avait condamné à un emprisonnement de 3 mois et à 5.000 euros d’amende.

Décision confirmée par la Cour d’appel de Paris par arrêt du 18 janvier 2018.

Le directeur de la publication d’un site internet est le responsable légal de l’éditeur du site

La Chambre criminelle a classiquement rappelé le principe en la matière, en se fondant sur les articles 6, III, 1, c, et 6, VI, 2, de la loi du 21 juin 2004 sur l’économie numérique et l’article 93-2 de la loi n° 82-652 du 29 juillet 1982 sur la communication audiovisuelle.

Rappelant que les directeur et codirecteur de la publication étaient dans l’impossible d’exercer réellement leurs fonctions et que l’enquête avait démontré que le président de l’association éditrice gérait seul le site « ce dont il est déduit que celui-ci en est en fait le véritable éditeur » a rejeté le pourvoi.

La chambre criminelle s’appuie, dans un attendu de principe, rappelant « qu’en effet, aux termes de l’article 93-2 de la loi du 29 juillet 1982 sur la communication audiovisuelle, le directeur de la publication d’un service de communication au public en ligne fourni par une personne morale est, de droit, le représentant légal ou, dans le cas d’une association, statutaire de celle-ci, en dépit de toute indication contraire figurant sur le site interne prétendant satisfaire à l’obligation de mettre à disposition du public dans un standard ouvert l’identité du directeur de la publication instituée par l’article 6, III, de la loi du 21 juin 2004 pour la confiance dans l’économie numérique ».

Cet arrêt rappelle qu’il est inutile de tenter de se dissimuler pour échapper à ses responsabilités, en s’abstenant de mentionner le véritable nom du directeur de la publication, les juges du fond étant à même de rechercher et de condamner celui qui est le directeur de la publication de fait.

Chloé Legris-Dupeux
Géraldine Camin
Lexing Pénal numérique et e-réputation

(1) Cass. crim. 22-1-2019 n°18-81779.
(2) « Directeur de la publication factice d’un site : condamnation », Chloé Legris-Dupeux et Géraldine Camin, 3 juillet 2017.




Gérer votre e-réputation notamment en période électorale

période électoraleVirginie Bensoussan-Brulé est intervenue sur le thème « Elus locaux, comment valoriser et défendre votre e-réputation notamment en période électorale ? » à destination des collectivités territoriales, lors d’un webinar du réseau Idéal Connaissances, le 8 février 2019.

L’élu local peut se trouver particulièrement exposé sur les réseaux sociaux et le Directeur général des services doit savoir comment protéger sa e-réputation.

Par son expérience client, Virginie Bensoussan-Brulé, directrice du pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, a pu présenter des exemples concrets et fournir des conseils pratiques pour obtenir rapidement la suppression d’un contenu dommageable sur internet et identifier son auteur afin de pouvoir, le cas échéant, le faire condamner pour injure publique ou diffamation publique envers un citoyen chargé d’un mandat public temporaire ou permanent.

Site d’inscription aux webinars : https://www.idealconnaissances.com/




Juristendance Informatique et Télécoms n°198 – 2019

VJuristendance du moisoici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance du mois) :

  • Doter la personne robot d’empathie et d’émotions artificielles
  • Cahiers des charges : les modalités d’application et de rédaction
  • Numérique et Legal Tech : regards croisés franco-allemands
  • Les spécificités juridiques de la fashion technology
  • Les impacts de la norme ISO/IEC 19086 dans les contrats cloud
  • Le satellite militaire CSO-1 : agent secret dernière génération
  • Vidéoprotection et vidéosurveillance : quelle distinction pour quels régimes ?
  • Système de géolocalisation de salariés : conditions de mise en place
  • Blockchain et RGPD : les premiers éléments d’analyse de la Cnil
  • (…)

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les professionnels du droit de l’informatique de Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité des technologies avancées.

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Juristendance Informatique et Télécoms n°198, Février 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Trophées du droit 2019: le cabinet Lexing Alain Bensoussan Avocats primé

Trophées du droit 2019Le cabinet a reçu le Trophée d’Argent 2019 du magazine Décideurs dans la catégorie Informatique, Internet et Données personnelles.

Les Trophées du Droit 2019

Le jeudi 31 janvier dernier s’est déroulée la cérémonie de remise de la 19ème édition des Trophées du Droit (Décideurs Magazine, groupe Leaders League) au pavillon d’Armenonville.

Un dîner de gala a réuni à cette occasion plus de 1 000 professionnels du droit, dirigeants de cabinets d’avocats, d’institutions, d’associations professionnelles et de directions juridiques et fiscales.

Le cabinet Lexing Alain Bensoussan Avocats est fier et honoré d’avoir reçu à cette occasion le trophée d’argent dans la catégorie Meilleures équipes Informatique, Internet et Données personnelles (RGPD). 

Hommage à l’excellenceTrophées du droit 2019

Les Trophées du Droit rendent hommage à l’excellence des spécialistes les plus performants du droit. Il existe trois catégories de professionnels qui sont distingués et récompensés :

  • les meilleurs cabinets internationaux ;
  • les meilleures équipes spécialisées ;
  • les meilleurs managers de cabinets d’avocats.

Eric Bonnet
Directeur du Département Communication juridique




Juristendance Informatique et Télécoms n°197 – 2019

Juristendance Informatique et Télécoms n°197-2019En cette période de voeux, voici un résumé de ce qui s’est passé ces dernières semaines (à retrouver dans notre Juristendance du mois) :

  • La condamnation de la société Uber à une amende de 400 000 euros
  • La nouvelle codification du droit de la commande publique
  • La condamnation d’une élue pour propos islamophobes sur internet
  • Le reconnaissance du statut de lanceur d’alerte aux inspecteurs du travail
  • La réécriture de la loi Informatique et libertés par ordonnance
  • La qualification du contrat liant un livreur à une plate-forme numérique
  • La promulgation de la loi sur la protection du secret des affaires
  • Le premier texte européen énonçant des principes éthiques relatifs à l’utilisation de l’intelligence artificielle (IA) dans les systèmes judiciaires

Restez au cœur de l’actualité législative et jurisprudentielle en ce début d’année avec également :

Les professionnels du droit de l’informatique de Lexing Alain Bensoussan – Avocats présentent et analysent chaque mois l’actualité des technologies avancées.

Les articles Juristendance sont mis en ligne gratuitement. Pour recevoir notre lettre électronique : inscription en ligne.

Juristendance Informatique et Télécoms n°197, Janvier 2019.

N’hésitez pas à nous suivre également sur nos réseaux sociaux et notre site internet




Atelier sur la nouvelle méthode EBIOS Risk Manager de l’ANSSI

méthode EBIOSLe 24 janvier 2019, Matthieu Grall,  Président du Club EBIOS présentera la nouvelle méthode EBIOS* RM (1).

Chaque jeudi soir, le cabinet Alain Bensoussan Avocats accompagne les DSI, RSSI, DPO, juristes et étudiants qui souhaitent suivre le MOOC SecNumAcadémie de l’Anssi.

Dans le cadre de ces ateliers et après avoir reçu Christian Daviot, Conseiller stratégie de l’Anssi, le département Sécurité et Organisation du Cabinet dirigé par Anthony Coquer est heureux de recevoir Matthieu Grall (Président du Club EBIOS).

La nouvelle méthode EBIOS RM

Matthieu Grall présentera à cette occasion la nouvelle version EBIOS Risk Manager (2). méthode d’appréciation et de traitement des risques publiée par l’Anssi.

Cette nouvelle version, plus agile et collaborative, permet d’appréhender l’ensemble des systèmes dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et actionnable des scénarios de risque. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30 % de temps en comparaison avec la version de 2010.

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est la méthode de gestion des risques publiée par l’Agence nationale de la sécurité des systèmes d’information (Anssi) du Secrétariat général de la défense et de la sécurité nationale (SGDSN)

(1) Voir notre post, « La nouvelle méthode d’analyse de risque EBIOS Risk Manager ».
(2) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.

Date : Le jeudi 24 janvier 2019 de 20h à 21h30.

Inscriptions closes.




Juristendance Informatique et Télécoms n°196-2018

Informatique et TélécomsA signaler dans la Lettre Juristendance Informatique et Télécoms de cette fin d’année, la publication en partenariat avec L’Académie de Sciences techniques, comptables et financières, de la 2e édition du guide « Gouvernance des données personnelles et analyse d’impact ».

Egalement à lire dans la Lettre Juristendance Informatique et télécoms du mois :

ARTICLES JURISTENDANCE :

INTERVIEWS ET VIE DU CABINET

    • Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et télécoms n°196, Décembre 2018.




Fraude fiscale : le fisc va surveiller les réseaux sociaux

Fraude fiscaleAlain Bensoussan interviewé dans le JT de TF1 de dimanche soir sur la lutte contre la fraude fiscale et la surveillance par le fisc des contribuables via les réseaux sociaux. 

Chaque année, l’Etat perd 60 milliards d’euros, voire plus, à cause de la fraude fiscale. Pour traquer les fraudeurs, le gouvernement prévoit de surveiller les réseaux sociaux.

Les données publiques seront un point de départ pour démarrer une enquête. Si un contribuable poste une photo de lui sur un yacht ou au volant d’une voiture de luxe, alors qu’il n’en a pas les moyens de le faire, le fisc pourra en être alerté.

Une expérimentation qui sera mise en place sans doute dès le début de l’année 2019.

Alain Bensoussan rappelle que :

« Les réseaux sociaux peuvent servir de preuve à tout type de situation et à toutes les infractions que l’on connait, depuis le harcèlement, la violence, l’injure ou la diffamation. De manière générale, la preuve sur internet est parfaitement admissible dans le domaine civil, pénal comme fiscal ».

Fraude fiscale

(interview commençant à 19’50 » après la publicité)

Diffusée dans le Journal télévisé de 20h du dimanche 11 novembre 2018, « Pour lutter contre la fraude fiscale, le fisc va surveiller les comptes des contribuables sur les réseaux sociaux ».




Juristendance Informatique et Télécoms n°195-2018

A signaler dans la Lettre Juristendance Informatique et Télécoms n°195, la 3ème édition de Technolex qui se tiendra à Paris, le 28 novembre 2018, en partenariat par le Groupe Serda Archimag (Bande-annonce).

Egalement à lire dans la Lettre Juristendance Informatique et télécoms du mois :

ARTICLES JURISTENDANCE :

INTERVIEWS ET VIE DU CABINET

Nos dernières publications :

A retenir également nos petits-déjeuners à venir (Programmes et inscriptions).

Pour recevoir notre lettre électronique : inscription en ligne.

Lettre Juristendance Informatique et télécoms n°195, Novembre 2018




La sécurité des objets connectés : faites le point

sécurité des objets connectésLe cabinet organise le 14 novembre 2018 un petit-déjeuner débat sur la sécurité des objets connectés, animé par Frédéric  Forster et Nathalie Plouviet.

La sécurité des objets connectés : un enjeu majeur

Les objets connectés continuent inexorablement leur développement et irriguent non seulement les activités personnelles mais aussi les activités professionnelles, au point que les réseaux de télécommunication mobile de future génération (« 5G ») ont été conçus pour faire face aux nouveaux usages qu’ils promettent et qu’ils permettent déjà.

Dans ce contexte, le respect des impératifs de sécurité devient naturellement incontournable, qu’il s’agisse de la sécurité des accès physiques à ces objets, mais aussi de leur sécurité d’accès logique qui, si elle n’est pas – ou mal – prise en compte peut contaminer l’ensemble de l’écosystème technique auquel ils sont connectés.

En créant de nouveaux usages, ces objets révolutionnent la vie quotidienne y compris au sein de l’entreprise, rendant plus prégnantes les questions de sécurité.

A ce jour, le travail normatif peine quelque peu à faire émerger un référentiel commun et universel. En revanche, la législation contient déjà un certain nombre de pistes de résolution de ces problématiques sécuritaires, notamment au travers des dispositions du RGPD en application depuis le 25 mai. Ces objets servent en effet de source dans le processus de la collecte d’information.

Ce petit déjeuner sera donc l’occasion de faire le point sur ces questions et notamment sur les dernières nouveautés dans le domaine des normes et réglementations techniques et sur les impacts du RGPD et la loi Informatique et libertés française du 20 juin 2018 dans le domaine de la sécurité des objets connectés.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.

 




Juristendance Informatique et Télécoms n°193-2018

juristendanceA signaler en cette rentrée de septembre, la prochaine tenue de la troisième édition de Technolex 2018,  l’événement dédié aux enjeux couplés du droit et de la technologie (Bande-annonce).

Egalement à signaler dans la Lettre Juristendance Informatique et Télécoms :

Articles Juristendance

Conférences et vie du cabinet

Outils et nouveautés

Formations Informatique et Télécoms

Venez assister à nos petits-déjeuners (gratuits) : inscription en ligne.

Pour recevoir notre lettre électroniqueinscription en ligne.

Lettre Juristendance Informatique et télécoms n°193, Septembre 2018.




EBEN publie une charte de droit à la déconnexion

charte de droit à la déconnexionLa Fédération EBEN met à la disposition de ses membres une charte de droit à la déconnexion à laquelle a collaboré le cabinet Lexing Alain Bensoussan Avocats.

Le droit à la déconnexion est l’une des nombreuses dispositions issues de la Loi travail qui permet d’adapter le droit du travail à l’ère du numérique.

Dans l’optique de permettre aux salariés de concilier au mieux vie privée et vie professionnelle dans une époque où les outils numériques mobiles prennent de plus en plus de place dans les usages professionnels, la Loi travail du 8 août 2016 a instauré le droit à la déconnexion.

Ce droit donne aux salariés la possibilité de ne pas consulter leurs méls professionnels en-dehors du temps de travail.

La charte de droit à la déconnexion

Dans cette optique, l’employeur doit négocier avec les partenaires sociaux un accord fixant les modalités d’exercice de ce droit  A défaut d’accord, l’employeur élabore une charte, après avoir recueilli l’avis du comité d’entreprise ou des délégués du personnel.

Outre les modalités d’exercice du droit à la déconnexion, cette charte doit prévoir la mise en œuvre d’actions de formation et de sensibilisation de l’ensemble des membres de l’entreprise, à un usage raisonnable des outils numériques.

La Fédération EBEN met à la disposition de ses membres une charte type élaborée par Emmanuel Walle, directeur du département Droit du travail numérique du Cabinet Lexing Alain Bensoussan Avocats.

Isabelle Pottier
Directrice Études et Publications

Communiqué EBEN, avril 2018.