Articles

Actualités, Articles, Pénal numérique, Presse et communication numérique, Publication

Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler

La loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 contient des dispositions relatives à la responsabilité des éditeurs de logiciels en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter un de leurs produis, dont une obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI (1). L’article 66 de cette loi introduit ainsi un nouvel article L.2321-4-1 dans le Code de la défense au sein du chapitre 1er « Responsabilités » du titre III « Sécurité des systèmes d’information ». L’obligation de notification concerne tous les éditeurs de logiciels qui fournissent ce produit : sur le territoire français ; à des sociétés ayant leur siège social sur le territoire français ; ou à des sociétés contrôlées, au sens de l’article L.233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français. Aux termes de l’article L.2321-4-1, un éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ». Un décret du 10 mai 2024 définissant les modalités d’application de cet article est entré en vigueur le 1er juin 2024. Lire la suite L’obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler La loi de programmation militaire prévoit l’obligation pour les éditeurs de logiciels de notifier à l’ANSSI les vulnérabilités significatives affectant un de leurs produits et les incidents informatiques qui compromettent la sécurité de leurs systèmes d’information et qui sont susceptibles d’affecter significativement un de leurs produits. L’analyse des causes de la vulnérabilité ou de l’incident ainsi que de ses conséquences doit également lui être notifié. En vertu de l’article L.2321-4-1 du Code de la défense, un incident informatique est « Tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles ». Les critères d’appréciation du caractère significatif Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler Il incombe à l’éditeur d’apprécier le caractère significatif de la vulnérabilité et de l’incident dès qu’il en a connaissance. Si la vulnérabilité ou l’incident lui a été notifié par l’ANSSI, l’éditeur dispose d’un délai qui ne peut pas être inférieur à 48h pour apprécier le caractère significatif. Le nouvel article R.2321-1-16, I, du Code de la défense prévoit une liste de critères d’appréciation : le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ; le nombre de produits intégrant le produit affecté ; l’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ; le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ; l’exploitation imminente ou avérée de la vulnérabilité ; l’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation. Cette liste n’est en aucun cas exhaustive. Si, après analyse, l’éditeur détermine que la vulnérabilité ou l’incident en cause revêt un caractère significatif, alors il doit le notifier à l’ANSSI. La notification doit comporter les informations utiles à la compréhension de la vulnérabilité ou de l’incident en cause (C. défense, nouvel art. R.2321-1-16, II). D’un point de vue pratique, l’éditeur de logiciel doit compléter un formulaire de déclaration mis à disposition sur le site internet de l’ANSSI et adresser à cette dernière toute information complémentaire au fur et à mesure de son analyse ou en réponse aux demandes d’informations supplémentaires de l’ANSSI (C. défense, nouvel art. R.2321-1-16, III). L’éditeur de logiciel met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l’incident en cause (C. défense, nouvel art. R.2321-1-16, III). L’obligation d’information des utilisateurs du produit affecté Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler L’article L.2321-4-1 du Code de la défense prévoit également une obligation d’information des utilisateurs des vulnérabilités et incidents significatifs. Le délai pour informer les utilisateurs est déterminé par l’ANSSI, après analyse conjointe de la vulnérabilité ou de l’incident avec l’éditeur, et tient compte de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. L’ANSSI notifie à l’éditeur le délai dans lequel il doit informer ses utilisateurs, ce délai ne pouvant, être inférieur à 10 jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai (C. défense, nouvel art. R.2321-1-17, I). L’information des utilisateurs du produit affecté est faite par un message d’information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. L’éditeur doit rendre compte à l’ANSSI de l’envoi de ce message et donc du respect de son obligation d’information (C. défense, nouvel art. R.2321-1-17, II). Les pouvoirs de l’ANSSI en cas de non-respect de l’obligation d’information des utilisateurs Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler En cas de non-respect par l’éditeur de logiciel de l’obligation d’information, l’ANSSI peut l’enjoindre de procéder à cette information (C. défense, art. L.2321-4-1, al. 5). L’injonction doit (C. défense, nouvel art. R.2321-1-18) : • être motivée ; • préciser le délai imparti aux éditeurs de logiciels, qui ne peut être inférieur à 10 jours, ainsi que les mesures requises pour s’y conformer ; • être notifiée à l’éditeur par lettre recommandée avec avis de réception ; • informer l’éditeur que l’ANSSI peut informer les utilisateurs ou rendre public la vulnérabilité ou l’incident ainsi que l’injonction si celle-ci n’a pas été mise en œuvre. L’éditeur a la faculté de présenter des observations dans le délai imparti. L’ANSSI peut également informer

organisations altruistes
Actualités, Articles, Données publiques, Publication

La Cnil, autorité compétente pour l’altruisme en matière de données

Les organisations altruistes en matière de données sont désormais sous le contrôle de la Cnil. La loi « SREN » (1) désigne la Commission nationale de l’informatique et des libertés (Cnil) comme l’autorité compétente pour l’altruisme en matière de données, au sens de l’article 23 du DGA  ou « Data Governance Act » (2). Lire la suite L’objet du Data Governance Act : La Cnil, autorité compétente pour l’altruisme en matière de données Le Data Governance Act met en place un cadre général pour faciliter le partage des données au sein de l’Union européenne. Le but est de garantir à la fois l’accès à de grands volumes de données au profit de l’économie européenne et un contrôle sur les données propre à renforcer la souveraineté numérique au sein de l’Union européenne. Il s’inscrit, avec le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (dit « Data Act »), dans le cadre de la stratégie européenne pour les données. Dans ce but, le Data Governance Act établit : • les conditions de réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public ; • un cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données ; • un cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes ; • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données. L’altruisme : favoriser le partage des données au sein de l’UE La Cnil, autorité compétente pour l’altruisme en matière de données L’article 2, paragraphe 16 du Data Governance Act définit l’altruisme en matière de données comme « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national […] ». Ces objectifs d’intérêt général concernent notamment les soins de santé, la lutte contre le changement climatique ou l’amélioration de la prestation de services publics. Les organisations altruistes en matière de données La Cnil, autorité compétente pour l’altruisme en matière de données Les dispositions du chapitre IV « Altruisme en matière de données » du Data Governance Act prévoient que des entités peuvent être enregistrées par l’autorité compétente de l’État membre dont elles dépendent comme « organisations altruistes en matière de données » au sein d’un registre public national. Ces organisations doivent satisfaire aux critères suivants : • mener des activités altruistes en matière de données ; • être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant ; • exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif ; • se conformer, au plus tard 18 mois après la date d’entrée en vigueur des actes délégués complétant le Data Governance Act, à un recueil de règles qui sera établi pour fixer les exigences en matière d’information des personnes concernées et de sécurité des données, ainsi que des feuilles de route en matière de sensibilisation à l’altruisme en matière de données et des recommandations sur les normes d’interopérabilité. EXIGENCES DE TRANSPARENCE La Cnil, autorité compétente pour l’altruisme en matière de données Ces organisations sont soumises à des exigences de transparence, dont la tenue d’un registre des traitements des données détenues mis en œuvre par des personnes physiques ou morales. Elles doivent également remettre un rapport annuel d’activité à l’autorité compétente nationale. Ces organisations doivent informer les personnes ou détenteurs de données concernés des caractéristiques des traitements susvisés et leur donner les moyens et outils nécessaires pour leur permettre de donner leur consentement ou autorisation. Ces données ne peuvent être traitées que pour les objectifs autorisés d’intérêt général. Les organisations doivent également assurer un niveau de sécurité approprié des données et informer les détenteurs de données des transferts, accès ou utilisations illicites portant sur les données personnelles qu’elles ont partagées. La Cnil autorité compétente des organisations altruistes La Cnil, autorité compétente pour l’altruisme en matière de données L’article 23 du Data Governance Act prévoit que chaque Etat membre doit désigner une ou plusieurs autorités compétentes responsables de son registre public national des organisations altruistes en matière de données reconnues et en notifier la Commission européenne. Ces autorités compétentes ont notamment pour mission l’enregistrement des organisations altruistes en matière de données et la tenue ainsi que la mise à jour du registre public national de ces organisations. Elles doivent contrôler et surveiller le respect par les organisations altruistes en matière de données reconnues des exigences énoncées dans le chapitre IV du Data Governance Act. Les prochaines étapes La Cnil, autorité compétente pour l’altruisme en matière de données Concernant la France, l’article 57 de la loi SREN a ajouté à la « Loi Informatique et libertés » (4) un nouveau titre IV bis composé de 3 articles (124-1, 124-2 et 124-3) qui disposent que : • la Cnil est l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données, ainsi que la tenue et la mise à jour du registre public national ; • elle traite à ce titre les demandes d’enregistrement formées par les organisations candidates : • elle reçoit et instruit toute réclamation formée par des personnes physiques et morales ayant consenti au traitement des données personnelles les concernant ou ayant autorisé le traitement des données non personnelles qu’elles détiennent. Un décret en Conseil d’Etat doit encore préciser les modalités de la procédure d’enregistrement. D’ores-et-déjà, la Cnil met à la disposition des organisations candidates une adresse électronique dédiée pour répondre à leurs questions (dga@cnil.fr). Elle annonce également qu’elle va progressivement enrichir son site

Actualités, Articles, Propriété intellectuelle, Publication

L’Autorité de la concurrence sanctionne l’entraînement de Gemini

Dans sa décision 24-D-03 du 15 mars 2024, l’Autorité de la concurrence a prononcé une amende de 250 millions d’euros à l’encontre de Google. La société n’a pas tenu ses engagements relatifs à l’entraînement de son IA générative « Gemini ». Lire la suite L’autorité de la concurrence au service des droits voisins face à l’IA L’Autorité de la concurrence sanctionne l’entraînement de Gemini A la suite d’une loi du 24 juillet 2019, l’Autorité de la concurrence veille au respect des droits voisins. Plus précisément, elle cherche à protéger les éditeurs de presse face aux large language models (« LLM ») de Gemini ou ChatGPT. En effet, afin de s’entraîner et de générer un out-pout, l’IA générative se fonde sur une base de données. Parmi ces données figurent notamment des articles de presse protégés par des droits voisins. Or, l’utilisation de ces contenus s’opère souvent sans l’accord des éditeurs de presse, les privant ainsi de rémunération. Ainsi, en novembre 2019, six syndicats ont saisi l’Autorité de la concurrence, dénonçant un abus de position dominante par Google. De fait, la société n’affiche plus les extraits des articles que les éditeurs de presse lui ont gratuitement consentis. Ceci porte atteinte à la transparence des informations qui permettent d’évaluer leur rémunération au titre des droits voisins. Dans sa décision 20-MC-01 du 9 avril 2020, l’Autorité de la concurrence a prononcé des injonctions à l’encontre de Google. Le non-respect par Google d’engagements négociés avec l’Autorité de la concurrence L’Autorité de la concurrence sanctionne l’entraînement de Gemini Google n’a pas respecté les injonctions prononcées par l’Autorité de la concurrence. Par conséquent, cette dernière a prononcé une amende de 500 millions d’euros dans sa décision 21-D-17 du 12 juillet 2021. Toutefois, Google a pris divers engagements afin de garantir des négociations avec les éditeurs de presse. Dans sa décision 22-D-13 du 21 juin 2022, l’Autorité de la concurrence a accepté ces engagements. En vertu de ceux-ci, Google devait procéder à des négociations fondées sur des critères transparents, objectifs et non discriminatoires. En outre, Google devait mettre à la disposition des éditeurs de presse les informations leur permettant d’évaluer leur rémunération au titre des droits voisins. Enfin, Google devait prendre les mesures nécessaires à la préservation des autres relations commerciales qu’il entretenait avec les éditeurs de presse. Or, l’Autorité de la concurrence a constaté que Google avait manqué aux obligations de transparence, d’objectivité et de non-discrimination. En effet, Google n’a pas fourni suffisamment d’informations sur l’exploitation des contenus de presse par son IA générative Gemini. En outre, Google a lié cette exploitation aux autres relations commerciales qu’il entretenait avec les éditeurs. Enfin, les éditeurs ne disposaient pas de l’option de retrait (« opt-out »). Dès lors, ils ne pouvaient pas se désengager, c’est-à-dire que le LLM de Gemini avait toujours accès à leurs contenus. Ainsi, Google ne prenait pas en compte le consentement des éditeurs de presse. L’Autorité de la concurrence prononce une sanction définitive à l’encontre de Google L’Autorité de la concurrence sanctionne l’entraînement de Gemini L’autorité de la concurrence a prononcé la toute première sanction permettant de protéger les droits d’auteur et droits voisins face aux IA. Il s’agit d’une amende fixée à 250 millions d’euros. Google n’ayant pas contesté les faits, la société a bénéficié de la procédure de transaction. Ainsi, l’Autorité de la concurrence a fixé un montant moins sévère. Cette mesure marque le souhait de mettre en place une protection effective des droits de la presse dans le cadre des IA. Avec la collaboration de Oxana Karlick, stagiaire, étudiante en 2e année de Licence à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris depuis 2006, titulaire d’un DEA de droit de la communication (Paris II), elle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2007. Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Evénement, Publication, Revue de presse

Directive CSRD et obligations de rapport de durabilité

Dans le numéro 137 d’E.D.I Magazine de mai 2024, Frédéric Forster nous présente les obligations de rapport de durabilité des entreprises, imposées par la directive CSRD (Corporate Sustainability Reporting Directive). Entrée en vigueur le 1er janvier 2024 et transposée en droit français par une ordonnance du 6 décembre 2023, elle remplace la directive NRD de 2014. Cette directive vise à favoriser une meilleure évaluation de l’impact environnemental des entreprises et à encourager ces dernières à rendre leur activité plus responsable. Lire la suite Les entreprises concernées par la directive CSRD Directive CSRD et obligations de rapport de durabilité La directive CSRD concerne les grandes entreprises et les PME, excepté les microentreprises, qui sont des entités d’intérêt public. A l’issue d’un déploiement en trois temps, elle touchera près de 50 000 entreprises. Les principales dispositions de la directive CSRD Directive CSRD et obligations de rapport de durabilité Frédéric Forster nous expose les implications majeures de la directive CSRD en matière de rapport de durabilité. Dans son article, il détaille les éléments suivants : • la notion essentielle de « double matérialité » qui impose aux entreprises d’inclure dans le rapport de gestion des informations de deux ordres ; • la forme du rapport ; • les nouveaux « standards de reporting de durabilité » ou normes ESRS (European Sustainability Reporting Standards) ; • la vérification obligatoire du rapport par un commissaire aux comptes ou un organisme tiers indépendant. Ainsi, la directive CSRD se place dans le sillage du développement de la responsabilité sociale des entreprises et dans la lignée du Pacte vert européen. Lire l’article de Frédéric Forster, « Directive CSRD : les obligations de rapport de durabilité des entreprises pour le magazine », E.D.I n° 137 de mai 2024, p. 94.  Présentation par Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Frédéric Forster Avocat, Directeur du pôle Télécoms Frédéric Forster Avocat, Directeur du pôle Télécoms Avocat à la Cour d’appel de Paris depuis 2006, Frédéric Forster est directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats depuis 2006. Celui-ci regroupe les départements : Télécoms, Informatique et libertés conseil et Marchés publics. Il est par ailleurs Vice-Président du réseau international d’avocats Lexing, Phone:+33 (0)6 13 28 96 78 Email:frederic-forster@lexing.law Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Propriété intellectuelle, Publication

Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping »

Le Tribunal judiciaire de Paris le 27 mars 2024 a reconnu, à l’auteur d’une œuvre utilisant la technique du « dripping », la possibilité d’en revendiquer la qualité d’auteur, tout en considérant que, faute de reproduction des caractéristiques essentielles de l’œuvre, il ne pouvait y avoir contrefaçon. Lire la suite L’allégation du délit de contrefaçon Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping » L’artiste Zevs est l’auteur de l’œuvre « Liquidated Google », représentant le logo de la marque Google dont les lettres dégoulinent. Cette œuvre utilise la technique du dripping en street art. Le dripping consiste à laisser couler ou goutter de la peinture sur des toiles ou surfaces horizontales. Les faits litigieux concernent la commercialisation par Givenchy d’un tee-shirt représentant la marque verbale « Givenchy » dont les lettres dégoulinent. L’artiste reprochait à Givenchy d’avoir repris les caractéristiques originales de son œuvre « Liquidated Google ». L’artiste va voir son œuvre « Liquidated Google » protégée par le droit d’auteur. Néanmoins, le Tribunal ne va pas caractériser le délit de contrefaçon. Il va cependant condamner la société Givenchy à titre subsidiaire pour parasitisme et concurrence déloyale. La protection par le droit d’auteur d’une œuvre utilisant la technique du « dripping » Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping » C’est uniquement sous condition d’originalité, définie comme l’empreinte de la personnalité de l’auteur, qu’une personne peut revendiquer la protection de sa création au titre du droit d’auteur. Selon Givenchy le fait pour une coulure de dégouliner est un phénomène naturel non appropriable qui exclurait de la protection par le droit d’auteur l’œuvre utilisant la technique du « dripping ». Cependant, l’artiste a réussi à démontrer l’originalité de son œuvre utilisant la technique du « dripping ». Il a mis en avant l’existence de choix esthétiques libres, arbitraires et d’efforts créatifs : coulures découlant de chaque lettre dans le sens de la gravité, coulures irrégulières reprenant les couleurs de chaque lettre et coulures de longueurs différentes. Retenant l’originalité de l’œuvre de Zevs, le tribunal a néanmoins jugé qu’il n’y avait pas contrefaçon en l’espèce, considérant que les caractéristiques originales de l’œuvre n’étaient pas reproduites par Givenchy, le logotype et les couleurs utilisés étant différents. La condamnation pour parasitisme et concurrence déloyale Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping » Le parasitisme consiste pour un opérateur économique à se placer dans le sillage d’un autre afin d’en tirer profit de son savoir-faire, sa notoriété acquise ou ses investissements. Or, la société a représenté sa marque avec des broderies de même couleur que chaque lettre, destinées à créer un effet de coulures. Elle s’est directement inspirée des créations de Zevs.  Ainsi, le Tribunal a jugé qu’il y avait parasitisme sans même la reproduction des caractéristiques originales de l’œuvre “Liquidated Google”. La concurrence déloyale est le fait pour un signe ou un produit d’être reproduit. Cette reproduction doit être à l’origine d’un risque de confusion sur l’origine du produit dans l’esprit de la clientèle.  Le Tribunal estime que la commercialisation des tee-shirts crée une confusion pour le consommateur de produit de luxe avec les créations de l’artiste. Le fait que les marques de luxe s’associent régulièrement à des artistes pour leurs créations justifie cette idée. Ainsi, le Tribunal condamne Givenchy à payer 30 000 euros à l’artiste à titre de dommages et intérêts. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris depuis 2006, titulaire d’un DEA de droit de la communication (Paris II), elle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2007. Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Marque de renommée
Actualités, Articles, Marques et noms de domaine, Publication

Marques : la renommée vainc la parodie

Le Tribunal Judiciaire de Paris a récemment tranché dans l’affaire opposant les marques de Louis Vuitton au signe Pooey Puitton. (TJ Paris, 25 avril 2024, n° 19-01735) : la marque de renommée vainc celle de parodie ! Dans cette affaire, la renommée de la marque emblématique de la maroquinerie a été confrontée à un « clin d’œil » troublant. Toutefois, malgré des arguments de défenses élaborées, le tribunal a statué en faveur de la marque de renommée Louis Vuitton. Lire la suite L’exception de parodie, applicable en droit des marques ? La marque de renommée vainc la parodie Le signe Pooey Puitton désignait une mallette ludique destinée aux enfants, renfermant des ingrédients pour créer du « slime », une matière gluante et modelable. Cette mallette était ornée des motifs floraux imitant le célèbre logo distinctif de la marque Louis Vuitton. Sur le fondement de sa marque de renommée Louis Vuitton et de son célèbre logo, la maison française de luxe a agi en contrefaçon. Les défenderesses ont notamment invoqué une version de l’exception de parodie en droit des marques, arguant que la mallette était un jouet au design amusant destiné aux enfants. Elles ont ainsi affirmé que les parents achetant cette mallette pour leurs enfants y percevraient un « clin d’œil » à la marque Louis Vuitton, sans pour autant établir de lien économique entre le produit et la société Louis Vuitton. Aussi, selon elles, les produits comparés – de la maroquinerie de luxe d’un côté, un jouet de l’autre – diffèrent par leur nature, fonction et destination, et ne sont pas commercialisés dans les mêmes circuits. L’absence d’exception de parodie en droit des marques La marque de renommée vainc la parodie Malgré cette tentative de défense, le tribunal n’a pas retenu ces arguments mettant en avant deux points principaux : • l’inexistence d’une « exception de parodie» quant à l’utilisation d’un signe à des fins purement commerciales ; • la qualification des parodies de marques et autres « clins d’œil », comme tentative de se placer dans le sillage de la marque de renommée. Ainsi, cette affaire permet au tribunal de réaffirmer la protection accrue des marques de renommées et de mettre en garde contre les tentatives d’exploitation commerciale de signes parodiques. L’importance croissante des médias sociaux en droit des marques La marque de renommée vainc la parodie Il est finalement intéressant de noter que le Tribunal a accordé une grande importance aux extraits vidéos YouTube fournis par la demanderesse. Ces vidéos montrent une YouTubeuse présentant le jouet litigieux comme étant évocateur de la célèbre marque de luxe Louis Vuitton, démontrant ainsi le lien dans l’esprit du public et établissant l’existence d’une atteinte caractérisée. Une telle décision souligne ainsi la nécessité pour les entreprises de surveiller attentivement leur image en ligne. Il convient également de retenir que le contenu d’influence sur les réseaux sociaux s’avère être un excellent moyen de preuve pour la démonstration d’un risque de confusion ou de la renommée d’une marque. Created by potrace 1.16, written by Peter Selinger 2001-2019 Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Avocate à la Cour d’appel de Paris, Anne-Sophie Cantreau dirige le département Propriété Industrielle Conseil au sein du pôle Propriété intellectuelle. Elle intervient en droit des marques, des dessins et modèles, des noms de domaine, des signes d’origine et de qualité, des brevets. Phone:+33 (0)6 42 32 15 92 Email:anne-sophie-cantreau@lexing.law Clothilde Monnet Avocate, Département Propriété industrielle conseil Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus Ajoutez votre titre ici

Actualités, Articles, Propriété intellectuelle, Publication

La Sacem défend les droits des auteurs face aux IA génératives

Le 12 octobre 2023, la Sacem a annoncé qu’elle exercerait son droit d’opposition (« opt-out ») afin de contrôler l’utilisation de son répertoire par des Intelligences Artificielles (IA) génératives. Cette mesure vise à protéger les droits d’auteur dans un contexte où les technologies d’IA exploitent souvent des œuvres sans autorisation ni rémunération. Lire la suite Des droits d’auteur fragilisés par les fouilles de données des IA génératives La Sacem défend les droits des auteurs face aux IA génératives Grâce à des IA génératives comme Boomy et MusicLM, l’utilisateur final entre des inputs et ces IA créent des contenus (les outputs) sur demande. Entre autres, elles peuvent « imiter » la voix de personnalités notoires ou encore « composer » des musiques. Or, obtenir de tels résultats suppose l’entraînement des IA génératives, qui se traduit par des fouilles de données (« data-mining »). Ces données incluent des œuvres protégées par des droits d’auteur. Bien souvent, les IA génératives exploitent ces œuvres sans l’accord des auteurs et sans rémunération des ayants-droits. Ceci affecte notamment le droit de reproduction de l’auteur (ou de ses ayants-droits). En d’autres termes, les titulaires des droits d’auteurs ne peuvent plus autoriser ou interdire effectivement la reprise de l’œuvre à l’identique par un tiers. Ce phénomène touchait les œuvres du répertoire de la Sacem. En effet, les fournisseurs d’IA génératives manquaient de transparence quant à leurs pratiques de data-mining. Le droit d’opposition de la Sacem s’inscrit dans un contexte d’encadrement des fouilles de données La Sacem défend les droits des auteurs face aux IA génératives Deux étapes récentes ont contribué à protéger les droits d’auteur face au data-mining des IA génératives. D’une part, l’ordonnance n°2021-1518 a transposé la directive [UE] 2019/790 dans l’article L.122-5-3 du Code de la propriété intellectuelle. Comme le stipule cet article, certains organismes peuvent effectuer des fouilles de données pour des recherches scientifiques sur des œuvres obtenues licitement. Si ces conditions sont remplies, l’autorisation de l’auteur est sans importance, ce qui ébranle son droit de reproduction. Néanmoins, pour toutes les fouilles de données réalisées à d’autres fins et par d’autres personnes, l’auteur dispose d’un outil puissant. Il s’agit du droit d’opposition, en vertu duquel l’auteur peut s’opposer, notamment, au data-mining de ses œuvres. La Sacem défendant l’intérêt collectif des artistes musicaux et gérant leurs droits, elle peut exercer son droit d’opt-out. D’autre part, dans un communiqué de presse de 2023, la SACD a donné des pistes pour « une IA éthique ». La SACD a proposé cinq principes visant à protéger les droits d’auteur et droits voisins. Elle exige notamment aux IA de faire preuve de transparence dans leur utilisation des œuvres. Surtout, elle insiste sur l’importance d’un droit d’opposition que ses auteurs membres pourront exercer afin de défendre leurs droits. La Sacem reprend la philosophie de la SACD, souhaitant une IA « vertueuse, transparente et équitable ». À la différence de la SACD, la Sacem exerce son opt-out d’office, pour toutes les œuvres de son répertoire. Le droit d’opposition de la Sacem, une mesure protectrice des droits d’auteur La Sacem défend les droits des auteurs face aux IA génératives La Sacem possède un répertoire considérable de plus d’une centaine de millions d’œuvres musicales. En exerçant son droit d’opposition, la Sacem interdit, en principe, l’accès à toutes ces œuvres par les IA génératives. En conséquence, les œuvres répertoriées à la Sacem ne peuvent faire l’objet de data-mining qu’à l’issue d’une autorisation. Ceci implique des négociations dont découlera une rémunération des auteurs. Pour autant, la Sacem affirme vouloir concilier le développement des IA avec les droits d’auteur. Cette conciliation semble dépendre du niveau de transparence dont feront preuve les fournisseurs d’IA et de la lourdeur des éventuelles sanctions judiciaires. Enfin, la souplesse des négociations reste incertaine. Ainsi, la Sacem ouvre concrètement la voie pour une protection accrue des droits d’auteur face au data-mining. Seulement, il appartiendra aux entités législatives, administratives et judiciaires d’assurer l’effectivité de cette protection. Avec la collaboration de Oxana Karlick, stagiaire, étudiante en 2e année de Licence de droit à l’Université Paris Panthéon-Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Rébecca Véricel Avocate, Directeur d’activité au sein du Pôle Propriété intellectuelle     Rébecca Véricel Avocate, Directeur d’activité au sein du Pôle Propriété intellectuelle Avocate à la Cour d’appel de Paris, Rébecca Véricel est Directeur d’activité au sein du Pôle Propriété intellectuelle, elle intervient dans les domaines du conseil et du contentieux, principalement en droit de la propriété intellectuelle, ainsi que dans les domaines associés. Phone:+33 (0)6 74 48 64 16 Email:rebecca-vericel@lexing.law     Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Internet contentieux, Publication

Plainte contre la plateforme Temu pour non-conformité avec le DSA

L’UFC que choisir dépose plainte contre la plateforme Temu sur la base du Digital Services Act (ci-après « DSA »). Temu est un site internet chinois en activité depuis 2003 et dédié au commerce en ligne. La plateforme compatibilise près de 75 millions d’utilisateurs mensuels au sein de l’Union européenne. C’est la première fois qu’une association de consommateurs porte plainte devant l’Arcom au titre du DSA. Lire la suite Une plainte sur la base du DSA Plainte contre la plateforme Temu pour non-conformité avec le DSA Le DSA est entré en vigueur le 16 novembre 2022. Ses obligations sont contraignantes depuis le 17 février 2024 pour les fournisseurs de services intermédiaires. Le DSA vise à protéger les utilisateurs en ligne contre les contenus illicites, dangereux et préjudiciables. Le règlement DSA s’applique à l’ensemble des acteurs en ligne qui fournissent des services intermédiaires dans l’Union européenne. Les fournisseurs de services intermédiaires sont notamment soumis : • à des politiques de modération de leur contenu, de leurs systèmes de recommandation et de leur publicité ; • à des obligations visant à protéger les droits des utilisateurs, en particulier des mineurs ; • au respect du devoir de diligence et de vigilance des très grandes plateformes. Dans son communiqué de presse, l’UFC Que choisir déclare que le site chinois ne garantirait pas à ses « utilisateurs un environnement en ligne sûr, prévisible et digne de confiance ». En effet, la plateforme d’e-commerce présente de nombreuses incompatibilités avec le DSA. Les incompatibilités invoquées au soutien de la plainte contre la plateforme Temu Plainte contre la plateforme Temu pour non-conformité avec le DSA La traçabilité des vendeurs professionnels est un des premiers axes de contestation de la plainte contre la plateforme Temu. En effet, la plateforme «ne fournit pas une traçabilité suffisante des professionnels qui vendent des produits sur la plateforme ». Or, les consommateurs doivent pouvoir connaitre l’identité précise des vendeurs. Cette obligation du DSA a pour but de garantir aux consommateurs d’avoir un point de contact en cas de problème. C’est notamment le cas pour une réparation ou de remboursement. De plus, Temu est tenu d’expliquer le fonctionnement de ses systèmes de recommandations. La plateforme doit également justifier les critères de sélection pour l’affichage des produits individuels. A cela s’ajoute qu’en ne procédant à aucune vérification d’âge, Temu ne fournit pas de haut niveau de sécurité. La plateforme ne conditionne en effet pas l’accès au service à une vérification d’âge. En outre, l’association fait grief à Temu de manipuler les utilisateurs. La plateforme aurait recours à des techniques de « dark patterns ». Elle utiliserait en effet de faux compteurs de temps. De plus, la mention de prétendus stocks limités aurait pour objectif de créer un sentiment d’urgence. Il convient de rappeler que le non-respect d’une obligation du DSA peut conduire à une amende allant jusqu’à 6% du chiffre d’affaires. Les plateformes pourront également voir interdire leurs activités au sein du marché européen. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Avocate à la Cour d’appel de Paris, Alexandra Massaux est directeur du département « Contentieux des technologies émergentes » au sein du Pôle Contentieux informatique. Son implication dans cette typologie de litiges lui a également permis de se forger une expérience solide du phasage et des processus qui président à la fourniture d’une solution informatique, des acteurs concernés et de la gestion, sur le plan organisationnel et humain, de projets. Alexandra Massaux est nommée Best Lawyer dans la catégorie « Information Technology Law » des éditions 2024 et 2023 du classement de la revue américaine « Best Lawyers ». Phone:+33 (0)6 47 21 37 26 Email:alexandra-massaux@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Articles, Contentieux informatique, Publication

CEPD : avis sur la validité du modèle « consentir ou payer »

Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du modèle « consentir ou payer ». (1) (2) Lire la suite L’utilisation du modèle « consentir ou payer » par les grandes plateformes CEPD : avis sur la validité du modèle « consentir ou payer » Ce modèle consiste soit pour l’utilisateur à consentir au traitement de ses données personnelles à des fins de publicité comportementale soit à payer une redevance afin que ses données ne soient pas traitées. Ce sont principalement les grandes plateformes en ligne tel que Meta qui utilisent ces modèles. Néanmoins, même en cas de consentement recueilli, se pose encore la question de sa validité. En effet, cette approche « tout ou rien » fait l’objet de controverse. Ainsi, conformément à l’article 64, 2) du RGPD plusieurs autorités de protection des données ont sollicité un avis au CEPD. La nécessité de mettre en place des alternatives supplémentaires pour l’utilisateur CEPD : avis sur la validité du modèle « consentir ou payer » Rendant son avis, le CEPD insiste sur le problème de la binarité d’un tel modèle. En effet, la seule alternative au refus d’un tel traitement est une alternative qui par défaut est payante.  Les utilisateurs se retrouvent ainsi à faire le choix entre la gratuité des contenus et la confidentialité. Les utilisateurs consentiraient par défaut sans comprendre les implications de leur choix. Pour le CEDP, cette binarité n’est pas de nature à assurer la validité du consentement de l’utilisateur. Ainsi, le CEPD incite les grandes plateformes à mettre en place des alternatives supplémentaires. L’alternative pourrait par exemple prendre la forme du choix d’une publicité contextuelle. L’obligation pour les plateformes en ligne d’évaluer la validité du consentement CEPD : avis sur la validité du modèle « consentir ou payer » Le CEPD énonce également les critères pour évaluer la liberté du consentement de l’utilisateur. Les responsables de traitement doivent notamment prendre en compte l’absence de déséquilibre de pouvoir. Le CEPD n’interdit pas la redevance en soit. Néanmoins, il précise que les plateformes ne devront pas fixer un prix de nature à obliger les utilisateurs à consentir. Ainsi, une obligation d’évaluation au cas par cas du montant des redevances pèse sur les responsables de traitement. Pour cela, ils doivent notamment prendre en compte leur position sur le marché ou alors la situation de dépendance de l’utilisateur. Un rappel de l’exigence de respect global du RGPD CEPD : avis sur la validité du modèle « consentir ou payer » De plus, le consentement une fois obtenu ne soustrait pas les responsables de traitement au respect des principes du RGPD. L’article 5 prescrit notamment le respect des principes de limitation des finalités, de minimisation ou de nécessité. Ainsi, le CEPD n’interdit pas en soit le modèle « consentir ou payer ». Il le subordonne néanmoins au respect des conditions susmentionnées. Afin de préciser sa position, le CEPD élaborera également des lignes directrices sur le modèle « consentir ou payer ». Il convient de rappeler pour mémoire que le non-respect d’une obligation du RGPD peut entrainer une amende. Celle-ci peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial. Avis n°08/2024 du CEPD du 17 avril 2024 sur le modèle « consentir ou payer » (EDPB Opinion 08/2024 ‘Consent or Pay’ models should offer real choice [en anglais])  Communiqué Cnil du 22 avril 2024 : « Consentir ou Payer » : le Comité européen de la protection des données adopte un avis. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Marion Catier est Directeur de l’activité Contentieux Données personnelles au sein du pôle Contentieux numérique. Elle intervient principalement dans le cadre de contentieux et précontentieux relatifs à la protection des données à caractère personnel et des systèmes d’intelligence artificielle. Marion Catier intervient également dans le cadre de contentieux liés aux systèmes d’information, devant les juridictions civiles et commerciales. Phone:+33 (0)6 74 40 73 22 Email:marion-catier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Actualités, Articles, Propriété intellectuelle, Publication

Sharenting et respect du droit à l’image de l’enfant

Face à l’émergence du sharenting, soit le partage par les parents de photographies de leurs enfants sur les réseaux sociaux, le législateur est intervenu pour garantir une meilleure effectivité du droit à l’image de l’enfant et au respect de sa vie privée. Le droit à l’image de l’enfant, composante du droit à la vie privée, est en effet à l’ère du numérique, un problème d’une grande ampleur, devant faire l’objet d’une protection renforcée face à des pratiques de plus en plus généralisées (1). Le sharenting est issu de la fusion des termes share et parenting, qui signifient de manière respective « partager » et « parentalité ». Ce terme est défini par la Cnil comme « une pratique qui consiste, pour les parents, à publier des photos ou des vidéos de leurs enfants sur les réseaux sociaux » (2). Dans la mesure où les parents sont à l’origine de la surexposition de leur enfant dans le cyberespace, ils sont corrélativement défaillants dans la protection du droit à l’image de l’enfant. Déjà dans le rapport « Enfants et écrans : grandir dans le monde numérique » du Défenseur des droits de 2012 avait été souligné que « les violations du droit à l’image des enfants, composante du droit respect de leur vie privée, restent en pratique communément admises ». Prenant conscience de la nécessité d’encadrer un droit qui connaît un manque d’effectivité important, le législateur français a adopté la loi n°2024-120 du 19 février 2024 visant à garantir le respect du droit à l’image de l’enfant. Lire la suite Le droit à l’image de l’enfant Sharenting et respect du droit à l’image de l’enfant L’image d’une personne, composante du droit à la vie privée, est un attribut de sa personnalité qui bénéficie de la protection accordée par l’article 9 du Code civil. Principe de valeur constitutionnelle, découlant de l’article II de la Déclaration des droits de l’Homme et du Citoyen de 1789 (3), la vie privée est par ailleurs protégée par l’article 12 de la Déclaration universelle des droits de l’Homme de 1948, par l’article 8 de Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe et par la Chartre des droits fondamentaux de l’Union européenne de 2000. Concernant plus particulièrement l’enfant, l’article 16 de la Convention Internationale des Droits de l’Enfant dispose que « nul enfant ne fera l’objet d’immixtions arbitraires ou illégales » entre autres « dans sa vie privée » et que « l’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ». La diffusion de l’image d’un enfant nécessite un consentement (4). L’exercice du droit à l’image de l’enfant avant la loi n°2024-120 Sharenting et respect du droit à l’image de l’enfant Le droit à l’image de l’enfant, bien qu’étant un attribut de sa personnalité, n’est pas concomitant avec son accès à la personnalité juridique. Aussi, avant que l’enfant atteigne l’âge nubile, les droits de la personnalité de l’enfant sont exercés par ses parents conjointement, lorsqu’ils sont titulaires de l’autorité parentale. La protection du droit à l’image de l’enfant incombe donc aux parents, ce qui peut être néfaste pour le respect de ce droit, notamment en période de généralisation du sharenting. En cas de différend sur la diffusion de contenus portant sur l’image de l’enfant par l’un de ses père et mère, c’est le juge judiciaire qui en application du droit commun et notamment l’article 9 du Code civil était compétent pour trancher. Or la jurisprudence n’était pas harmonisée sur la qualification, l’exercice du droit à l’image de l’enfant étant au gré des juridictions qualifié d’actes usuels (5) ou non usuels (6, 7 & 8), à savoir exercé par l’un des parents ou nécessairement par les deux. L’encadrement du sharenting par la loi n°2024-120 du 19 février 2024 Sharenting et respect du droit à l’image de l’enfant Une nouvelle étape dans la protection de l’enfant et de sa dignité, après la loi du sur les « enfants influenceurs », est offerte par la loi n°2024-120 du 19 février 2024 qui vise à « garantir le respect du droit à l’image des enfants » et accorder le droit positif français face à la banalisation du sharenting. Le législateur est venu élargir la définition de l’autorité parentale. L’article 371-1 du Code civil dans sa nouvelle rédaction prévoit qu’à l’ensemble de droits et de devoirs définissant l’autorité parentale et ayant pour finalité l’intérêt de l’enfant, s’ajoute la protection par les parents de la vie privée de leur enfant, dont le droit à l’image est une composante. Plusieurs mécanismes juridiques ont été mis en place par le législateur pour permettre une meilleure protection du droit à l’image de l’enfant. D’une part, la protection doit se faire dans le respect de l’article 9 du Code civil. Les parents, qui seuls consentent à l’utilisation de l’image de l’enfant, sont appelés à prendre en considération les opinions de l’enfant eu égard à « son âge et à son degré de maturité », selon la nouvelle rédaction de l’article 372-1 du Code civil. Le législateur a repris la formulation de l’article 12 de la Convention international des droits de l’enfant. La loi accorde également aux enfants le droit de contrôler et de limiter la diffusion de leur propre image en ligne. Ils ont le droit de demander la suppression ou la désactivation de tout contenu qui les concerne, et les entreprises sont tenues de répondre à ces demandes dans des délais spécifiés. Cette disposition donne aux enfants un plus grand contrôle sur leur présence en ligne et renforce leur autonomie numérique. Enfin, la loi du 19 février 2024 met l’accent sur la sensibilisation et l’éducation en matière de droit à l’image des enfants. Elle prévoit des campagnes de sensibilisation nationales visant à informer les parents, les enseignants et les enfants eux-mêmes sur leurs droits et responsabilités en matière d’image et de vie privée en ligne. Ces initiatives éducatives visent à renforcer la conscience collective autour de ces questions cruciales et à promouvoir des comportements responsables dans l’utilisation des médias numériques. D’autre part, le législateur offre un rôle accru au juge judiciaire

e-commerce et publicité digitale
Actualités, Articles, Fiscalité - Société, Publication

La directive VIDA : une transformation de la TVA ?

La Commission européenne a confirmé sa volonté de modernisation fiscale avec la directive « VAT in the Digital Age »  (Directive VIDA), le 8 décembre 2022 (1). En effet, l’e-commerce européen a enregistré une croissance de 11% sur l’année 2022 pour atteindre un chiffre d’affaires de 797 milliards d’euros en B to C (Business to Consumers). Au sein de l’Union européenne, la Taxe sur la Valeur Ajoutée (TVA) se présente comme un impôt indirect portant sur la consommation appliquée à une large gamme de biens et services. Elle se calcule à partir de la valeur ajoutée à chaque étape de la chaîne de production et de distribution. Lire la suite Un besoin de moderniser la TVA La directive VIDA : une transformation de la TVA ? Face aux évolutions technologiques, la directive VIDA concentre son action autour de trois axes majeurs de modernisation : • Axe 1 : tout d’abord, la modernisation des obligations déclaratives pour les entreprises par le biais de la mise en place d’obligations d’e-reporting et d’e-invoicing supplées de la facturation électronique. Le système est simplifié et sécurisé. • Axe 2 : ensuite, une adaptation aux plateformes du marché numérique est faite. En effet, les plateformes d’e-commerce ont la responsabilité de collecter la TVA ce qui a pour but de réguler le marché. • Axe 3 : enfin, l’optimisation des enregistrements TVA au sein de l’Union européenne dans le but de faciliter les démarches administratives des entreprises opérant dans plusieurs Etats-membres (système d’enregistrement unique). Ces trois axes ont pour objectif de créer un système plus efficace, plus transparent et plus équitable pour les entreprises et les consommateurs européens. Le calendrier de la directive VIDA La directive VIDA : une transformation de la TVA ? Depuis janvier 2024, il est possible pour les acteurs du e-commerce européen de bénéficier d’un processus de facturation électronique B to B (business to business) plus fluide. En effet, l’accord du client pour émettre ou transmettre une facturation électronique n’est plus nécessaire. En outre, il est désormais possible pour les Etats-membres de mettre en place des obligations d’e-invoicing sans demander au préalable une dérogation à la Commission européenne. En revanche, celle-ci doit s’accompagner d’une obligation d’e-reporting. Les entreprises peuvent anticiper l’entrée en vigueur de la directive dans leurs États respectifs grâce à ces deux options. À partir de janvier 2025, la directive VIDA simplifiera les démarches pour les transactions internationales. En effet, avec l’adoption du guichet unique TVA IOSS-OSS, le régime des stocks sous contrat de dépôt sera supprimé et les transactions seront plus amplement sécurisées. Aussi les plateformes marketplaces agiront à la fois comme acheteurs et revendeurs. Cette nouvelle approche garantit une meilleure traçabilité et une meilleure transparence. Elle vise également à renforcer la confiance des acteurs européens du e-commerce. En vue d’accroître la transparence des transactions en ligne, la directive VIDA imposera, à partir de janvier 2028, une obligation d’e-reporting pour les flux intracommunautaires. Les États-membres auront également la possibilité d’étendre cette obligation aux flux domestiques, s’ils le jugent nécessaire. Par conséquent, cette directive et ses obligations permettent aux autorités fiscales de mieux suivre et contrôler les mouvements de biens et de services au sein de l’Union européenne. Elle contribue ainsi à lutter contre la fraude fiscale et à garantir une concurrence loyale. Et en France, la facturation électronique ? La directive VIDA : une transformation de la TVA ? À l’échelle française, dans un communiqué de presse du 28 juillet 2023, le gouvernement a annoncé le report du calendrier (2) de mise en œuvre de la généralisation de la facturation électronique. Initialement prévue au 1er juillet 2024, l’obligation pour les entreprises établies en France d’émettre et de recevoir des factures électroniques s’appliquera progressivement à partir du 1er septembre 2026. Ce nouveau calendrier a été précisé dans un amendement (n° I-5395) au projet de loi de finances (PLF) (3) pour 2024, publié le 17 octobre 2023. Conclusion La directive VIDA : une transformation de la TVA ? Finalement, la directive VIDA tend à transformer le système fiscal européen pour le rendre plus apte à répondre aux enjeux nouveaux. Cette directive s’inscrit dans une volonté certaine de la Commission européenne de moderniser et d’adapter sa fiscalité à l’ère du numérique. En favorisant la transparence, l’efficacité et l’équité, elle vise à stimuler la croissance du e-commerce et à protéger les intérêts des acteurs européens. Directive VIDA : « VAT in Digital Age », 52022PC0701 – EN – EUR-Lex, 8 décembre 2022. La généralisation de la facturation électronique reportée au 1er septembre 2026, 10 février 2023. Amendement n° I-5395 au Projet de Loi de Finances 2024, 17 octobre 2023. Avec la collaboration de Sofia Kedim, stagiaire, étudiante en première année de Droit à l’Université Paris-Saclay. Created by potrace 1.16, written by Peter Selinger 2001-2019 Jennifer Bessi Avocate, Directrice du département Sociétés et Fiscalité du numérique Jennifer Bessi Avocate, Directrice du département Sociétés et Fiscalité du numérique Avocate à la Cour d’appel de Paris, Jennifer Bessi est directrice du département Sociétés et Fiscalité au sein du pôle Droit de l’entreprise. Elle intervient tant en conseil qu’en contentieux en droit des sociétés, droit public concernant tous les aspects de la fiscalité qu’elle soit personnelle, patrimoniale, internationale, et ce dans tous les secteurs d’activité qu’ils soient traditionnels ou numériques. Phone:+33 (0)7 61 56 83 13 Email:jennifer-bessi@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Vidéoprotection sur la voie publique
Actualités, Articles, Données personnelles, Données personnelles, Publication

Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ?

L’objectif de cet article est de présenter quelles sont les autorités publiques compétentes pouvant mettre en œuvre un système de vidéoprotection sur la voie publique. Lire la suite Les dispositions de l’article L.251-2 du CSI Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ? L’article L.251-2 du Code de la sécurité intérieure, dans sa version issue de la loi du 19 mai 2023 (dite « loi Jeux Olympiques 2024 ») (1), dispose en son premier paragraphe que : « Des systèmes de vidéoprotection peuvent être mis en œuvre sur la voie publique par les autorités publiques compétentes aux fins d’assurer : La protection des bâtiments et installations publics et de leurs abords ; La sauvegarde des installations utiles à la défense nationale ; La régulation des flux de transport ; La constatation des infractions aux règles de la circulation ; La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression, de vol ou de trafic de stupéfiants ainsi que la prévention, dans des zones particulièrement exposées à ces infractions, des fraudes douanières prévues par le dernier alinéa de l’article 414 du Code des douanes et des délits prévus à l’article 415 du même code portant sur des fonds provenant de ces mêmes infractions ; 6. La prévention d’actes de terrorisme, dans les conditions prévues au chapitre III du titre II du présent livre ; 7. La prévention des risques naturels ou technologiques ; 8. Le secours aux personnes et la défense contre l’incendie ; 9. La sécurité des installations accueillant du public dans les parcs d’attraction ; 10. Le respect de l’obligation d’être couvert, pour faire circuler un véhicule terrestre à moteur, par une assurance garantissant la responsabilité civile ; 11. La prévention et la constatation des infractions relatives à l’abandon d’ordures, de déchets, de matériaux ou d’autres objets. » L’installation d’un système de vidéoprotection sur la voie publique pour les finalités susvisées est donc réservée aux autorités publiques compétentes. Les précisions apportées par l’instruction émise le 20 mars 2024 du ministre de l’Intérieur et des Outre-mer sur la mise en conformité du régime de vidéoprotection avec le droit européen relatif à la protection des données (2) permet de faire le point sur cette notion et ce qu’elle recouvre. Les définitions antérieures des autorités publiques compétentes Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ? La circulaire du 22 octobre 1996 prise pour application l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité (dite « loi LOPS » et abrogée depuis) (3) qui a instauré le régime légal de la vidéoprotection (à l’époque vidéosurveillance) a donné une première définition des autorités publiques compétentes. Dans son article 2.3.1.1 « Mise en œuvre par « une autorité publique compétente », ou son concessionnaire », cette circulaire précise que cette notion peut désigner « le préfet et le maire, mais également les responsables d’établissements publics (par exemple SNCF, RATP, hôpitaux) ou services publics (par exemple établissements pénitentiaires) et certains concessionnaires, tels que les sociétés concessionnaires d’autoroutes ». Ce champ d’application, qui apparaît de prime abord très étendu, s’explique par le fait que l’article 10 de la loi LOPS qui visait deux catégories de finalités : • des finalités relatives à la sauvegarde ou à la protection de bâtiments et d’installations ; • des finalités relatives à la prévention et à la constatation d’infractions pénales. C’est en fonction de ces deux catégories de finalités que la circulaire du 22 octobre 1996 a défini les autorités publiques compétentes. Le second paragraphe de l’article 2.3.1.1 précité précise en effet que « le critère d’admission est la capacité à exercer un pouvoir de police, pour les systèmes ayant pour finalité la régulation du trafic routier ou la prévention d’infractions aux règles de la circulation, ou la nécessité de sauvegarder la protection des bâtiments et installations publics et de leurs abords, ainsi que la sauvegarde des installations utiles à la défense nationale pour les autres. » La désignation des autorités publiques compétentes en fonction des finalités poursuivies par le système de vidéoprotection installé sur la voie publique a été reprise dans la circulaire du 12 mars 2009 (4) relative aux conditions de déploiement des systèmes de vidéoprotection. Cette circulaire rappelle que la compétence des autorités publiques pour installer un système de vidéoprotection s’apprécie au regard de la finalité poursuivie et cite comme exemples l’autorité qui occupe un bâtiment, la personne qui en est propriétaire et celle qui exerce le pouvoir de police générale ou un pouvoir de police spéciale dans le lieu en cause. Elle précise que « cette personne compétente peut revêtir des formes juridiques variées. Il peut s’agir d’un préfet, d’un maire, du président d’une intercommunalité, du dirigeant d’un établissement public (RATP, hôpital) ou d’un service (établissements pénitentiaires). Les sociétés concessionnaires d’autoroutes peuvent également être regardées comme telles en raison de la délégation qui leur est consentie ». Il ressortait ainsi des circulaires du 22 octobre 1996 (dont l’article 2.3.1.1 visait déjà les autorités publiques compétentes ou leur « concessionnaire ») et du 12 mars 2009 que peuvent être considérées comme des autorités publiques compétentes des personnes morales de droit privé comme les concessionnaires d’autoroutes. La situation des collectivités territoriales Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ? Pour les collectivités territoriales et leurs établissements publics, une clarification a été apportée par une instruction du 4 mars 2022 (5), prise à la suite de l’entrée en vigueur de la loi du 25 mai 2021 pour une sécurité globale préservant les libertés. Aux termes de cette instruction : • concernant les communes : au plan local, seuls le maire et le préfet du département disposent d’un pouvoir de police administrative générale et le maire est la première autorité publique compétente pour mettre en œuvre, sur son territoire communal, un dispositif de vidéoprotection de la voie publique ; • concernant les établissements publics de coopération intercommunale (EPCI) : les EPCI à fiscalité propre qui exercent la compétence relative aux

Articles, Contentieux informatique, Publication

Le libre accès des données retire-t-il le caractère déloyal de la collecte ?

La chambre criminelle de la Cour de cassation reconnait que le libre accès des données à caractère personnel ne retire rien au caractère déloyal de la collecte (1). Dans cette affaire, à la suite de la demande d’une société, un enquêteur privé a effectué des recherches sur des personnes. Celles-ci portaient sur des données à caractère personnel. Par un arrêt du 27 janvier 2023, la cour d’appel de Versailles condamne l’enquêteur privé à un an d’emprisonnement avec sursis et 20 000 euros d’amende. Ce dernier forme alors un pourvoi en cassation. La question posée à la Cour de cassation était donc de savoir si la collecte de données à caractère personnel peut être considérée comme déloyale dès lors que ces données sont en libre accès. Dans son arrêt n° 23-80.962 du 30 avril 2024, la chambre criminelle de la Cour de cassation confirme la position des juges du fond s’agissant du caractère déloyal de la collecte de données personnelles. Lire la suite Le libre accès des données ne retire pas le caractère déloyal de la collecte Le libre accès des données retire-t-il le caractère déloyal de la collecte ? La singularité de cette affaire réside dans le fait que les données collectées étaient en libre accès. Dans sa décision, la Cour de cassation affirme que cela n’enlève en rien le caractère personnel des données collectées. Le libre accès ne rend ainsi pas la collecte licite. En l’espèce, les données concernées étaient « issues de la capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale ». La Cour de cassation retient que « le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte ». L’appréciation du caractère déloyal de la collecte Le libre accès des données retire-t-il le caractère déloyal de la collecte ? Dans son arrêt, la Cour de cassation relève le caractère déloyal de la collecte « dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ». Ainsi, la Cour de cassation estime déloyale la collecte de données effectuée sans avertissement des personnes concernées. Elle considère également comme déloyale la collecte réalisée dans un but détourné de sa finalité. Pour conclure, cette décision renforce le droit à l’information des personnes sur l’utilisation de leurs données à caractère personnel, en particulier dans les relations entre employeurs et employés. Cass crim 30-04-2024 n° 23-80962. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Actualités, Articles, Publication, Santé

Parution du nouveau référentiel de certification HDS : quels changements ?

Vient d’être publié l’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel. Début 2022, cinq ans après la mise en œuvre de la certification HDS, la Délégation du Numérique en Santé (« DNS ») et l’Agence du Numérique en Santé (« ANS ») ont lancé une démarche de révision du référentiel de certification HDS (ci-après « nouveau référentiel de certification HDS ») (1). Ces instances se sont associées notamment à la Commission nationale de l’informatique et des libertés (« Cnil »), laquelle a rendu un avis favorable sur le projet de référentiel le 13 juillet dernier (2). En décembre 2023, l’ANS a soumis le projet d’arrêté « modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel » à la Commission européenne (3). Nota bene : Seul le référentiel de certification pour l’hébergement de données de santé à caractère personnel (« référentiel de certification HDS ») nous intéressera dans la suite de nos développements. Ce référentiel HDS est à destination des hébergeurs et non des certificateurs comme le référentiel d’accréditation des organismes de certification. Lire la suite Le cadre juridique de ce référentiel Nouveau référentiel de certification HDS L’hébergement des données de santé à caractère personnel est encadré en France par les articles L.1111-8 et R.1111-8 et suivants du Code de la santé publique (« CSP »). Cette règlementation pose l’obligation d’être certifiée HDS pour toute personne qui : héberge sur support numérique des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. L’objectif de cette règlementation est de garantir aux usagers et aux professionnels de santé que les données de santé à caractère personnel, particulièrement protégées par le RGPD, confiées dans le cadre d’une prise en charge médicale, sont sécurisées. Les modifications apportées Nouveau référentiel de certification HDS Précisions sur l’activité 5 Pour mémoire, le périmètre des activités d’hébergement certifiées couvre la mise à disposition et le maintien en condition opérationnelle : des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ; de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ; de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ; de la plateforme d’hébergement d’applications du système d’information ; l’administration et l’exploitation du système d’information contenant les données de santé ; la sauvegarde des données de santé. L’un des objectifs du nouveau référentiel de certification HDS est de clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, en particulier l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». En effet, à ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification HDS, n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition. (4) Or, cette activité, relative à l’application métier, avait conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. (5) Le nouveau référentiel de certification HDS propose une définition du champ d’application de l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». Selon cette définition, l’activité 5 recouvre : l’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple, à des fins d’audit, d’expertise, de déploiement ou de maintenance, et qui ont accès via le Socle d’Infrastructure HDS à l’Application métier ; le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client ; et la tenue à jour de la documentation assurant la cohérence et la complétude des garanties de sécurité fournies par les différents acteurs participant à la mise en œuvre du service. Ainsi, certaines opérations exercées par des éditeurs de logiciels ou des fabricants de dispositifs médicaux (maintenance par exemple) se retrouveraient exclues du périmètre de l’obligation de certification HDS. A faire : L’hébergeur devra vérifier s’il exerce toujours l’activité d’ « administration et exploitation du système d’information contenant les données de santé » compte tenu de la nouvelle définition et amender le contrat le cas échéant. Nouvelles exigences du contrat HDS Le nouveau référentiel de certification HDS vise à clarifier les obligations contractuelles de l’hébergeur en intégrant les clauses obligatoires déjà prévues par l’article R.1111-11 du Code de la santé publique dans les contrats HDS. A faire : L’hébergeur devra auditer son contrat HDS pour s’assurer qu’il intègre les clauses obligatoires de l’article R.1111-11 du Code de la santé publique et, à défaut, amender le contrat pour qu’il reprenne l’ensemble de ces clauses obligatoires. Le nouveau référentiel de certification HDS vise également à améliorer la lisibilité des garanties apportées par l’hébergeur à chaque client faisant appel à ses services. Il impose à l’hébergeur HDS qu’il reproduise dans le contrat ses garanties et celles de sous-traitants éventuels. L’objectif est d’être transparent sur la participation réelle de chaque acteur à la sécurité des données confiées par le client et de standardiser la présentation des garanties mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part. A faire : L’hébergeur devra intégrer le tableau reproduit dans le nouveau référentiel de certification HDS listant les acteurs qui participent au traitement des données dans le cadre de la prestation HDS. Nouvelles exigences de transparence et d’hébergement dans l’EEE S’agissant des exigences de transparence, le nouveau référentiel de certification HDS s’inscrit dans une démarche de protection du client et des données de santé à caractère personnel qui sont confiées à

Articles, Informatique et libertés, Publication, Santé, Secteur santé

Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux

Dans une décision du 22 février 2024 (1), le Garant de la protection des données personnelles (« GPDP »), homologue italien de la Cnil, a infligé une amende de 75 000€ à une société gérant sept hôpitaux pour accès non autorisé à des dossiers médicaux par son personnel. Lire la suite Quel est le contexte de la décision ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Le GPDP consécutivement au dépôt de trois plaintes à l’encontre de la société gérant les hôpitaux, concernant des accès répétés et non autorisés à des dossiers patients électroniques par des membres du personnel médical non impliqués dans le suivi desdits patients. Par exemple, une professionnelle de santé avait réussi à consulter les analyses de laboratoire de son ex-mari sans son consentement, alors même qu’elle n’était pas impliquée dans sa prise en charge. Quels sont les manquements observés dans l’accès aux dossiers médicaux ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux L’Autorité italienne a fondé sa décision sur les articles 5, 9, 25 et 32 du Règlement général sur la protection des données (« RGPD »), afin de retenir le « caractère illicite du traitement des données personnelles effectué par la société ». Pour le GPDP, la société a manqué à son obligation de sécurité du traitement des données de santé à caractère personnel, notamment en : • permettant au personnel d’accéder aux dossiers patients électroniques, par auto-certification ; • autorisant par défaut un large éventail de professionnels, y compris le personnel administratif sans lien avec les soins des patients, à avoir accès aux dossiers patients électroniques ; • ne mettant en place aucun système d’alerte afin de détecter les comportements anormaux ou à risque liés aux opérations effectuées par les responsables de traitement. D’après le GPDP ces différents manquements constituent à la fois des violations du RGPD et une transgression des « Lignes directrices sur les dossiers médicaux » émises en juin 2015. Ces lignes directrices rappellent notamment que l’accès au dossier médical doit être limité aux seuls personnels de santé qui interviennent dans le processus de prise en charge des patients. En plus de l’amende administrative de 75 000€ infligée à la société, le GPDP a également ordonné de mettre en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité des données personnelles traitées et d’éviter tout accès non autorisé aux dossiers médicaux des patients. Conclusion Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Cette décision fait écho à la sanction infligée par l’Autorité Espagnole de Protection des Données (« AEPD ») à un hôpital en novembre 2022 pour défaut de précautions empêchant l’accès non autorisé aux dossiers médicaux des patients (2). De son côté, la Cnil a récemment mis en demeure plusieurs établissements de santé d’adopter des mesures pour sécuriser le dossier patient électronique (3). Elle a insisté sur la nécessité de restreindre l’accès aux données médicales aux seuls professionnels habilités et justifiant d’un besoin légitime. Notes de bas de page : Décision n° 10001279 rendue par le GPDP, du 22 février 2024 Décision de l’AEPD du 18 novembre 2022 Communiqué de la CNIL du 9 février 2024. Avec la collaboration d’Eva Deniau, stagiaire étudiante en Master 2 Droit de la santé et de la protection sociale. Created by potrace 1.16, written by Peter Selinger 2001-2019 Isabelle Chivoret Avocate, Directrice du département Santé numérique Isabelle Chivoret Avocate, Directrice du département Santé numérique Avocate à la Cour d’appel de Paris, Isabelle Chivoret est directrice du département Droit de la santé numérique. Elle intervient dans les domaines du conseil et du contentieux en Droit de la santé et des Sciences de la vie, tant auprès de laboratoires pharmaceutiques, fabricants de dispositifs médicaux, sociétés de biotechnologie, que d’établissements et professionnels de santé, de groupement de coopération sanitaire et de GHT. Phone:+33 (0)6 79 40 91 20 Email:isabelle-chivoret@lexing.law Émilie Brulon Avocate, Département Santé numérique Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Facebook
Articles, Internet conseil, Publication, Web 2.0

Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique

Le 10 avril 2024, l’Assemblée nationale donne son aval à l’adoption de la loi SREN. Elle a toutefois fait l’objet d’une saisine du Conseil constitutionnel n° 2024-866 le 17 avril 2024. Cette loi vise à sécuriser et à réguler l’espace numérique. Elle adapte le droit français au règlement européen sur les services numériques (DSA). Lire la suite Protection en ligne des mineurs à l’encontre de la pornographie Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique Les éditeurs ou les plateformes proposant du contenu pornographique en ligne devront rendre inaccessibles ces contenus aux mineurs. Cette protection passe par la mise en place de système de vérification d’âge. Dans cette optique de protection des mineurs, l’Arcom va voir ses prérogatives élargies. En effet, le DSA l’avait désigné comme « coordinateur des services numériques en France ». Il lui revient ainsi de déterminer un référentiel fixant des exigences techniques minimum à mettre en œuvre. Ces exigences s’articulent autour de la fiabilité du contrôle de l’âge et le respect de la vie privée. De plus, aucun contenu pornographique ne devra s’afficher tant que le système n’aura pas vérifié l’âge. A compter de la publication du référentiel par l’Arcom, les sites et hébergeurs auront trois mois pour s’y conformer. En cas de non-conformité, l’Arcom pourra ordonner sans concours du juge, leur blocage et déférencement sous 48 heures. La protection des mineurs passe également par la pénalisation du défaut de retrait de contenu pédopornographique. Les hébergeurs pourront recevoir une demande de retrait de contenu pédopornographiques d’une autorité administrative. Ils devront s’exécuter sous 24 heures. A défaut la loi prévoit une peine de prison d’un an et 250 000 euros d’amende. Renforcement de la protection contre les infractions de haine en ligne et de cyberharcèlement Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique La loi met également en place de nouvelles sanctions dans l’optique de condamner la haine en ligne, le cyberharcèlement. La SREN introduit en effet à l’article 131-35-1 du Code pénal une peine complémentaire. Le juge pourra en effet ordonner le bannissement des réseaux sociaux pour six mois Le réseau social qui ne bloquerait pas le compte litigieux pourra se voir infliger une sanction de 75 000 euros.  La création d’un nouveau délit d’outrage en ligne accompagne cette disposition. L’article 19 de la loi insère l’article 222-33-1-2 dans le code pénal qui sanctionnera la diffusion en ligne : « de tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit créé à son encontre une situation intimidante, hostile ou offensante ». La peine prévue s’élèvera à 3750 euros d’amende. Le juge pourra également prononcer des peines complémentaires comme un stage de sensibilisation. La SREN va également modifier l’article 226-8 du Code pénal qui condamne l’infraction de montage.  Elle va l’adapter pour inclure les deepfake. Les peines sont de deux ans d’emprisonnement et de 45 000 euros d’amende lorsque l’auteur réalise l’infraction en ligne.   De plus, la loi crée une infraction spécifique de deepfake à caractère sexuel. La peine encourue est de deux ans d’emprisonnement et de 60 000 euros d’amende. La loi prévoit une aggravation de cette peine pour l’infraction commise en ligne. Règlementation des services de cloud par l’adoption de la loi SREN Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique L’adoption de la loi SREN vise également à réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage (cloud). Une poignée de géants du numériques (Microsoft, Google, Amazon) dominent en effet ce marché. L’objectif est l’ouverture du marché des données et une concurrence juste et équitable entre les acteurs. Le législateur a ainsi prévu plusieurs mesures : • encadrement des frais de transferts des données ; • encadrement des frais de changement de fournisseur ; • obligation pour les services de cloud d’être interopérable ; • transparence envers les utilisateurs. L’Arcep sera l’autorité chargé de la mise en œuvre de ces mesures. Le législateur vise également la protection de la souveraineté numérique de la France.  Des dispositions encadrent les administrations de l’Etat et ses opérateurs qui stockent des données stratégiques et sensible sur des cloud privés. Ils doivent veiller à ce que les prestataires mettent en œuvre des critères de sécurité et de protection des données. En vertu de l’article 31 de la loi, sont des données d’une sensibilité particulière : • les données qui relèvent des secrets protégés par la loi ; • les données nécessaires à l’accomplissement des missions essentielles de l’Etat (maintien de l’ordre public, protection de la santé, …). Les dispositions visent en particulier la protection contre les accès non autorisés par des autorités d’Etats tiers à l’Union. Concernant spécifiquement les données de santé, une obligation de certification pèse sur les activités d’archivage électronique. Règlementation des jeux à objets numériques monétisables (JONUM) Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique La SREN va également s’intéresser aux JONUM (jeux à objets numériques monétisables). En effet, ceux-ci sont à l’origine de nombreux risques tel que l’addiction ou le blanchiment d’argent. Le texte de loi prévoit donc des obligations comme : • le plafonnement des récompenses ; • la transparence des opérations de jeux ; • la protection des mineurs ; • l’interdiction des activités frauduleuses ou criminelles ; • la lutte contre le blanchiment de capitaux et de financement du terrorisme. Protection des utilisateurs contre les fraudes et arnaques Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique L’adoption de la loi SREN permet la mise en œuvre d’un filtre de cybersécurité anti-arnaque pour le public. L’objectif est de protéger les utilisateurs contre les sites ayant vocation à obtenir frauduleusement des données personnelles. Il vise également à lutter contre les fraudes bancaires. Un message d’alerte s’affichera pour les utilisateurs sur les sites présentant un risque avéré d’arnaque ou d’escroquerie. L’État fixe également pour objectif l’accès à une identité numérique gratuite à 100% des français d’ici 2027. Ainsi, ces nouvelles dispositions visent à sécuriser et

Actualités, Articles, Informatique et libertés, Publication, Sécurité

Guide de la sécurité des données personnelles de 2024

La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre. Lire la suite Contenu du Guide de la sécurité des données personnelles de 2024 Guide de la sécurité des données personnelles de 2024 L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent. L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation. En effet, l’article 32 énonce que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD. En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques : • Fiche 1 : Piloter la sécurité des données ; • Fiche 22 : Cloud : Informatique en nuage ; • Fiche 23 : Applications mobiles : Conception et développement ; • Fiche 24 : Intelligence artificielle : Conception et apprentissage ; • Fiche 25 : API : interface de programmation applicative. La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD). Piloter la sécurité des données Guide de la sécurité des données personnelles de 2024 La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire. De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme. Cloud : informatique en nuage Guide de la sécurité des données personnelles de 2024 La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud.  Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité. Néanmoins, le guide rappelle que la sécurité des données appartient également au client. Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires. Ainsi des précautions sont nécessaires, tel que : Chiffrer les données ; Porter attention aux accès et autorisations ; Authentifier les utilisateurs ; Réaliser des sauvegardes. La conception et le développement d’application mobile Guide de la sécurité des données personnelles de 2024 La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs. Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques. Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données. Intelligence artificielle : conception et apprentissage Guide de la sécurité des données personnelles de 2024 Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques. La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées.  API : interface de programmation applicative Guide de la sécurité des données personnelles de 2024 La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges. Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires.  Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue. La mise à jour des recommandations existantes Guide de la sécurité des données personnelles de 2024 Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes.  Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes. La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau. Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct. Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security).  Ce guide s’adresse aussi bien aux délégués à la protection des

extension .xxx
Articles, Marques et noms de domaine, Publication

Nom de domaine en .fr : nouveau dispositif de vérification

L’Afnic souhaitant renforcer ses dispositifs visant à lutter contre les noms de domaine abusifs, a recueilli, en octobre et novembre 2023, l’avis des utilisateurs sur les modalités d’un nouveau dispositif de vérification, dit « dispositif fédéré de vérification » visant à renforcer le contrôle des données des titulaires de noms de domaine en .fr et ultramarins (.re, .pm, .tf, .wf et .yt). Lire la suite Obligation de vérification des données des titulaires Nom de domaine en .fr : nouveau dispositif de vérification L’obligation de fourniture des données exactes au moment de la création d’un nom de domaine et de les maintenir à jour n’est pas nouvelle. Elle résulte de l’article L45-5 Code des postes et des communications électroniques et de l’article 5.1 de la Charte de nommage de l’Afnic. Il incombe aux bureaux d’enregistrement de veiller à son respect par les titulaires de noms de domaine en .fr et ceux enregistrés sous les TLDs gérés par l’AFNIC (.re, .pm, .tf, .wf et .yt). L’Afnic a mis en place depuis plusieurs années un processus de qualification des données d’un titulaire en deux phases distinctes : 1. La valorisation permet sur signalement de tiers, décision de l’Afnic ou à l’initiative du bureau d’enregistrement de vérifier l’éligibilité et/ou la joignabilité d’un titulaire : – éligibilité à enregistrer ou renouveler un nom de domaine en .fr : • personne physique résidant sur le territoire d’un Etat membre de l’Union européenne ou un des pays suivants : Islande, Liechtenstein, Norvège, Suisse et • personne morale ayant son siège ou son établissement principal sur le territoire d’un Etat membre de l’Union européenne ou un des pays suivants : Islande, Liechtenstein, Norvège, Suisse, – joignabilité du titulaire par mél ou par téléphone ; 2. La justification : notification par l’Afnic au bureau d’enregistrement et au titulaire visant à solliciter des pièces justificatives, qui peut aboutir à la suppression d’un portefeuille et du contact titulaire en cas d’abus manifeste. Les tags « eligstatus » et « reachstatus », figurant sur les bases de données Whois, attestent ainsi des vérifications précitées concernant l’éligibilité et la joignabilité du titulaire d’un nom de domaine. Mise en conformité et nouveau dispositif de vérification Nom de domaine en .fr : nouveau dispositif de vérification Une analyse de l’Afnic révèle toutefois que moins de 20% des noms de domaine en .fr sont effectivement vérifiés par les procédures de qualification précitées, et ce, alors que la directive NIS 2 prévoit l’obligation pour les registres et les bureaux d’enregistrement de collecter et maintenir des données Whois exactes et complètes. Pour remédier à ces lacunes, dans un premier temps, l’Afnic a augmenté ses capacités de contrôle des données titulaires : c’est ainsi que le nombre de vérifications menées par l’Afnic est passé de 1698 en 2021, à 4331 en 2022. L’accélération s’est poursuivie en 2023 avec 4585 processus de valorisation entre janvier et août 2023. En parallèle, la mise en place du nouveau dispositif de vérification, dit dispositif fédéré de vérification, vise également à répondre à l’insuffisance de vérification des contacts titulaires dans la base Whois, via une collaboration accrue entre l’Afnic et les bureaux d’enregistrement dans le cadre de vérifications menées à l’initiative de ces derniers et post-enregistrement de noms de domaine. En effet, il ressort d’un sondage réalisé auprès des bureaux d’enregistrement que peu de vérifications ont lieu après la création des noms de domaines. De plus, les réponses des bureaux d’enregistrement révèlent qu’ils font remonter peu d’informations à l’Afnic. Établissement d’un cahier des charges Nom de domaine en .fr : nouveau dispositif de vérification L’enjeu du nouveau dispositif de vérification mis en place par l’Afnic, dit dispositif fédéré de vérification, est de définir un socle commun des procédures de vérification (valorisation), visant à améliorer la quantité et la qualité des données titulaires vérifiées. Il s’articule autour des axes suivants : 1. Augmentation du nombre de valorisations en envoyant aux bureaux d’enregistrement des listes de noms domaines suspects, en raison notamment : – de données titulaires fantaisistes ou – d’un radical faisant référence à un service public ou aux leaders du marché français ; 2. Vérification par les bureaux d’enregistrement de l’éligibilité et la joignabilité de chaque nouveau contact titulaire ; 3. Transmissions à l’Afnic du résultat dans le mois suivant la vérification du contact pour mise à jour de la base Whois. L’Afnic souhaite ainsi mieux contrôler et évaluer les vérifications mises en œuvre par les bureaux d’enregistrement, dans le cadre d’une démarche d’accompagnement des bureaux d’enregistrement qui pourront le cas échéant être sanctionnés par l’Afnic, qui en parallèle, a travaillé à la définition de sanctions graduées à l’égard des bureaux d’enregistrement défaillants (1). Pour résumer, le déploiement du nouveau dispositif de vérification est à suivre avec attention. En outre, le dispositif fédéré de vérification est à mettre en parallèle avec le Règlement eIDAS sur l’identification électronique et la transposition en droit français de la directive NIS 2. (1) Cf. notre article dédié aux sanctions : « Noms de domaine en .fr : vers une procédure de médiation pilotée par l’Afnic », Alain-Bensoussan.com, 14-03-2023. Created by potrace 1.16, written by Peter Selinger 2001-2019 Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Avocate à la Cour d’appel de Paris, Anne-Sophie Cantreau est directrice du département Propriété Industrielle Conseil au sein du pôle Propriété intellectuelle. Elle intervient en droit des marques, des dessins et modèles, des noms de domaine, des signes d’origine et de qualité, des brevets. Elle est au classement 2024 du magazine Décideurs juridiques (Leaders League) des meilleurs cabinets d’avocats, dans le secteur Innovation, Technologies & Propriété intellectuelle, pour sa pratique réputée en « Brevets contentieux » et sa forte notoriété en « Marques contentieux». Phone:+33 (0)6 42 32 15 92 Email:anne-sophie-cantreau@lexing.law Charlène Winling Avocate, département Propriété industrielle Conseil Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Articles, Internet contentieux, Publication

Data Act : la protection des données industrielles de l’IoT

Le Data Act vise la protection des données industrielles de l’IoT par la promotion de l’équité dans l’accès et l’utilisation de ces données. Lire la suite L’OBJECTIF DE PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Règlement sur les données (« Data Act ») adopté en novembre 2023 s’inscrit dans la stratégie européenne pour le numérique. Il vise la construction d’un marché intérieur de la donnée. Le Data Act s’inscrit dans la lignée du Data Governance Act auquel il reprend la définition de la donnée. Il complète également le RGPD qui a consacré le droit à la portabilité des données. Néanmoins, alors que le RGPD protège uniquement les données personnelles, le Data Act s’intéresse aux données industrielles. Elles peuvent être personnelles ou non. En effet, le Règlement vise les données de l’internet des objets (IoT) et des services de traitement des données (cloud).   En effet, au cours de la dernière décennie, le marché européen a révélé une augmentation croissante des appareils connectés. Ils constituent ce que l’on appelle l’internet des objets (« lnternet of things » ou « IoT »). L’internet des objets désigne le processus de connexion d’objet physique à internet (ampoule, montre, tablette connectées). L’utilisation de ces objets va générer une quantité importante de données.  Le problème réside en ce que ce sont des acteurs dominants qui opèrent sur les marchés IoT. De plus, les fabricants ne conçoivent pas toujours leurs produits de manière à ce que les utilisateurs puissent accéder facilement à ces données.  Ces utilisateurs sont aussi bien des consommateurs que des professionnels. La protection des donnés industrielles de l’IoT va passer par la suppression des obstacles au bon fonctionnement du marché. UN DROIT D’ACCES ET DE PORTABILITE DES DONNEES AU PROFIT DES UTILISATEURS DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Data Act protège principalement les utilisateurs. Il leur garantit notamment : • un droit d’accès aux données générées par l’objet connecté qu’il a acheté ou loué (article 3) ; • un droit à la portabilité des données vers un tiers offrant le même type de service que l’entité qui lui a vendu ou loué le bien ou le service (article 5) ; L’article 3 du Règlement renforce la sécurité juridique en garantissant un droit d’accès. Des obligations pèsent sur les fabricants pour la conception et fabrication de leurs produits et services : • rendre les données générées accessibles par défaut, facilement et de manière sécurisée ; • faire preuve de transparence quant aux données accessibles et à la manière d’y accéder ; Si les données ne sont pas directement accessibles, l’entreprise mettra à disposition ces données. Cette mise à disposition devra s’opérer dans les meilleurs délais, gratuitement et en continu. Une des principales innovations est que les utilisateurs d’objets connectés pourront partager ces données avec des tiers. Ainsi, l’utilisateur d’un appareil connecté pourra demander au constructeur de partager certaines données générées avec un service après-vente. Ces services après-vente pourront ainsi offrir des prestations similaires à celles proposées par les fabricants (réparation, entretien). Cela permettra à de nouveaux concurrents d’émerger. L’OUVERTURE DU MARCHE DU CLOUD DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Règlement a pour but la suppression des barrières mises en place par les fournisseurs. Ces derniers empêchent souvent le passage d’un service de cloud à un autre. Le Règlement pose ainsi une obligation de commutation. Cette obligation s’accompagne d’une interdiction des frais de migration des données. Les utilisateurs pourront ainsi changer de fournisseur sans frais. Le Règlement va poser comme principe l’interopérabilité des services. C’est le pendant technique de l’obligation juridique de commutation. Cela va passer par l’exigence d’équivalence fonctionnelle des services. Le but est d’éviter la dépendance à un fournisseur et les effets de verrouillage de marché. Ainsi, les entreprises pourront passer d’un service de traitement des données à un autre. Ils pourront également utiliser plusieurs services de cloud en même temps (multicloud). L’ACCES ET L’UTILISATION DES DONNEES ENTRE ENTREPRISES DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Règlement a également pour objectif de protéger les PME des déséquilibres contractuels dans les contrats de partage de données. Il vise à rééquilibrer les pouvoirs de négociation entre les différents acteurs du marché numérique. Ainsi, le Règlement dresse une liste de clauses jugées abusives. Elle va interdire ces clauses contractuelles abusives imposées unilatéralement à une autre entreprise. C’est le cas par exemple pour les clauses ayant pour effet :   • d’exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d’actes intentionnels ou de négligence grave ; • de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d’interpréter toute clause contractuelle. Néanmoins des risques existent pour le secret des affaires ou la cybersécurité. Ainsi, le Règlement laisse la possibilité de refuser le partage de données pour préserver un secret d’affaires. UN ACCES AUX DONNEES POUR LE SECTEUR PUBLIC DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Les organismes du secteur public pourront dans certains cas accéder aux données du secteur privé. Une entreprise privée devra mettre à disposition ses données en cas de situation exceptionnelle relevant de l’intérêt public.  Ce besoin exceptionnel doit avoir une portée et une durée limitée.  L’article 15 énonce trois situations : • l’urgence public (l’accès à la donnée sera gratuit) ; • la prévention de l’urgence publique (possible compensation) ; • le rétablissement à la suite de l’urgence (possible compensation). Ainsi, le Data Act va permettre la protection des données industrielles de l’IoT. Il garantit la réutilisation des données afin d’en stimuler la valeur. L’innovation ainsi permise va permettre l’émergence de nouveaux acteurs sur le marché numérique. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate, Directrice du pôle

Dépôt de plainte à distance
Articles, Contentieux informatique, Publication

Visioplainte : possibilité de dépôt de plainte à distance

Le décret du 23 févier 2024 va permettre aux victimes de certaines infractions de procéder à un dépôt de plainte à distance par visioplainte. Lire la suite MODALITES DE DEPOT DE PLAINTE EXISTANTES Visioplainte : possibilité de dépôt de plainte à distance En vertu des dispositions des articles 15-3 et 40 du code de procédure pénale, une victime peut déposer plainte : auprès d’un service de police ou de gendarmerie ; directement auprès du procureur de la République par lettre recommandée avec demande d’avis de réception ou par dépôt contre récépissé au greffe. PRE-PLAINTE EN LIGNE Visioplainte : possibilité de dépôt de plainte à distance Depuis un arrêté de 2011, les victimes peuvent choisir de déposer une pré-plainte en ligne. Elle ne concerne que le dépôt de plainte sur place et non par courrier. La pré-plainte permet de préparer via un formulaire sur internet la plainte sur place. La victime obtiendra un rendez-vous et pourra se rendre au commissariat ou dans une brigade de gendarmerie pour finaliser et signer la plainte. Cette pré-plainte concerne seulement les atteintes aux biens commis par un auteur inconnu. La pré-plainte ne joue pas pour les atteintes physiques aux personnes L’OUVERTURE DU DEPOT DE PLAINTE A DISTANCE Visioplainte : possibilité de dépôt de plainte à distance Un décret du 23 févier 2024 précise les modalités d’application du nouvel article 15-3-1-1 du code de procédure pénale.   La victime d’une infraction pourra désormais effectuer l’intégralité de son dépôt de plainte par voie de télécommunication audiovisuelle. La visioplainte se fera auprès d’un officier ou agent de police judiciaire. Ce dépôt de plainte à distance ne concerne pas toutes les infractions. Une audition en physique est obligatoire en cas d’agressions sexuelles ou d’atteintes sexuelles. De plus, si la nature ou la gravité des faits l’imposent, une audition supplémentaire en présence de la victime pourra avoir lieu. UNE VISIOPLAINTE RESPECTUEUSE DES DROITS ET LIBERTES DU PLAIGNANT Visioplainte : possibilité de dépôt de plainte à distance Cette nouvelle modalité de dépôt est facultative, le plaignant ne peut pas se la voir imposer. Il peut à tout moment et en toute circonstance décider de réaliser son dépôt de plainte auprès d’un service de police ou de gendarmerie ou directement entre les mains du procureur de la République. Des obligations pèsent sur l’officier ou l’agent de police judiciaire. Comme lors d’un dépôt de plainte sur place, il devra informer la victime de plusieurs éléments :  du caractère facultatif du dépôt de plainte à distance ; de la possibilité d’une audition ultérieure en présence de la victime ; de ses droits issus de l’article 10-2 du Code de procédure pénale comme le droit à la réparation du préjudice subi ou de se constituer partie civile ; des modalités de communication sur les suites données à la plainte et des modalités de recours contre une éventuelle décision de classement sans suite ; de la possibilité de faire l’objet d’une prise en charge psychologique. Un document énonçant ces différents droits est mis à disposition du plaignant sous un format électronique et imprimable. A cela s’ajoute que le procès-verbal doit mentionner tout incident qui a pu perturber la transmission. L’officier ou l’agent de police judiciaire adressent la plainte au plaignant par voie électronique avant la signature du procès-verbal. Le plaignant recevra les documents sous format numérique. A la suite de cela, il confirme par tout moyen ou par accord exprès qu’ils retranscrivent fidèlement ses déclarations et faits relatés.  Le cas échéant, il peut demander toute modification qu’il juge nécessaire. Le procès-verbal mentionnera son accord. L’officier ou l’agent de police judiciaire signent le récépissé et le procès-verbal, selon les modalités prévues par l’article 801-1, Le plaignant quant à lui n’a pas à signer. Si le plaignant en fait la demande, l’officier ou l’ agent lui transmet le récépissé, et la copie du procès-verbal dans les meilleurs délais. LES MODALITES DU PROCEDE DE TELECOMMUNICATION ENCORE A PRECISER Visioplainte : possibilité de dépôt de plainte à distance Une des garanties que doit prévoir ce nouveau système est l’identification sécurisée du plaignant par un téléservice. L’article pose également des exigences quant au moyen de télécommunication audiovisuelle utilisé : transmission fidèle, loyale et confidentielle des échanges entre le plaignant et l’officier ou l’agent de police judiciaire ; qualité de transmission des images permettant de s’assurer de l’identité du plaignant. Pour que cette nouvelle modalité de dépôt de plainte soit déployée, le ministre de l’Intérieur et le garde des Sceaux devront prendre un arrêté pour préciser les modalités de mise en place de ce moyen de télécommunication. La VISIOPLAINTE EN CAS DE CYBERATTAQUES Visioplainte : possibilité de dépôt de plainte à distance Cette nouvelle procédure est particulièrement intéressante en matière de cyberattaques.  L’article 5 de la loi d’orientation et de programmation du ministère intérieur (LOMPI) a en effet inséré un chapitre sur « L’assurance des risques de cyberattaques » dans le code des assurances. Ce chapitre est à ce jour composé d’un article unique, l’article L12-10-1, qui dispose : « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle ». Ainsi, en cas d’atteinte à un système de traitement automatisé des données, l’assuré doit procéder au dépôt d’une plainte dans les soixante-douze heures à compter de sa prise de connaissance de l’attaque. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en

cybermenace en 2023
Articles, Contentieux informatique, Publication

ANSSI : Publication du panorama de la cybermenace en 2023

La publication du Panorama de la cybermenace en 2023 de l’ANSSI permet de faire état des principales tendances de cybermenace en 2023. Le Panorama de la cybermenace de 2023 expose que l’espionnage informatique est la menace qui reste la plus importante. Les espions ciblent principalement les données sensibles de domaines stratégiques et industriels. Lire la suite Une diversité dans les intentions des acteurs de cybermenace ANSSI : PUBLICATION DU PANORAMA DE LA CYBERMENACE EN 2023 Parallèlement, les attaques à des fins d’extorsion ont augmenté de 30% en 2023 malgré une baisse en 2022. Cette augmentation des attaques par rançongiciel s’explique par la démocratisation d’outils accessibles même pour des acteurs limités techniquement (code source en open source). Les cybercriminels visent les entités qui sont particulièrement sensibles à des interruptions de service (santé, énergie, …). Dans le contexte géopolitique actuel, l’ANSSI a constaté une augmentation du nombre d’attaque de déstabilisation. Des activistes prorusses sont notamment à l’origine de DDoS (déni de service distribués) destinés à mettre en avant des discours politiques. Des attaques contribuent également à rendre des sites inaccessibles. Une amélioration des capacités d’attaque des cybercriminels ANSSI : PUBLICATION DU PANORAMA DE LA CYBERMENACE EN 2023 Les cybercriminels ont amélioré leur technique afin de réduire la détection et le suivi de leur activité. Ils utilisent notamment des réseaux d’anonymisation ou des moyens d’interceptions discrets (électromagnétique). Le Panorama de la cybermenace en 2023 souligne que le profil des cybercriminels se diversifie. La fuite de codes sources de rançon logiciels (notamment LockBit) permet à des acteurs moins expérimentés d’émerger.  Les cybercriminels s’appuient notamment sur des groupes privés qui distribuent des outils de vols d’information. De plus en plus, les cybercriminels visent les téléphones portables professionnels et personnels de personnes ciblées, et notamment des cadres dirigeants dans des secteurs stratégiques. De nombreuses faiblesses propices aux cyberattaques De nombreuses faiblesses propices aux cyberattaques L’ANSSI précise que même si les attaques sont parfois difficiles à prévenir, les systèmes d’information présentent souvent des faiblesses. Les cybercriminels peuvent tirer parti d’erreurs de configuration, de correctif tardif ou d’absence de mécanisme de chiffrement. L’ANSSI souligne les risques cyber lors de grands évènements comme les Jeux Olympiques et paralympiques de Paris 2024 (JOP2024). Le gouvernement a confié le pilotage de la stratégie de prévention des cyberattaques pour les JOP à l’ANSSI. Elle pourra ainsi effectuer des audits ou assurer un accompagnement technique pour les entités impliquées dans l’organisation. Note :Panorama de la cybermenace en 2023 de l’ANSSI. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Raphaël Liotier Avocat, directeur d’activité pénal numérique Raphaël Liotier Avocat, directeur d’activité pénal numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

preuve illicite
Actualités, Articles, Procédure, Publication

Acceptation de la preuve illicite ou obtenue de manière déloyale

Le 22 décembre 2023, dans l’affaire n° 20-20.648, l’Assemblée plénière de la Cour de cassation effectue un revirement de jurisprudence et reconnaît la possibilité, pour une partie, d’utiliser une preuve illicite ou obtenue de manière déloyale (1). La singularité de l’affaire réside dans le fait qu’aucune autre preuve ne permettait de démontrer la faute commise par le salarié. Lire la suite Le cas d’espèce Acceptation de la preuve illicite ou obtenue de manière déloyale Licencié pour avoir commis une faute grave, un salarié conteste ce licenciement devant le Conseil de prud’hommes puis la Cour d’appel d’Orléans (2). L’employeur verse aux débats, afin d’établir la faute du salarié, l’enregistrement sonore d’un entretien au cours duquel il tient des propos ayant motivé son licenciement. Cet enregistrement a été réalisé à l’insu du demandeur. Selon la Cour d’appel d’Orléans, cette preuve était irrecevable car l’enregistrement été réalisé de manière déloyale. Le licenciement avait par conséquent été jugé sans cause réelle et sérieuse. L’employeur forme alors un pourvoi en cassation. La question à laquelle devait répondre la Cour est celle de savoir si la preuve obtenue par l’enregistrement d’entretiens entre l’employeur et le salarié, réalisé à l’insu de ce dernier, est recevable. LA POSITION ANTÉRIEURE DE LA COUR DE CASSATION Acceptation de la preuve illicite ou obtenue de manière déloyale Depuis longtemps, la position de la Cour de cassation était fondée sur l’irrecevabilité de la production d’une preuve recueillie à l’insu de la personne ou obtenue par une manœuvre ou un stratagème. Cette solution de 2011 repose sur le fait que : « la justice doit être rendue loyalement au vu de preuves recueillies et produites d’une manière qui ne porte pas atteinte à sa dignité et à sa crédibilité » (3). La présente décision de la Cour de cassation casse et annule l’arrêt de la Cour d’appel d’Orléans au visa de l’article 6, § 1, de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales et de l’article 9 du Code de procédure civile. L’irrecevabilité de la preuve illicite ou déloyale Acceptation de la preuve illicite ou obtenue de manière déloyale La Cour de cassation rappelle que, suivant les principes dégagés par la Cour européenne des droits de l’Homme dans son arrêt du 10 octobre 2006 contre la France (4), en matière civile, un droit à la preuve permet de déclarer recevable une preuve illicite ou déloyale : lorsque cette preuve est indispensable au succès de la prétention de celui qui s’en prévaut et ; que l’atteinte portée aux droits antinomiques en présence est strictement proportionnée au but poursuivi. Le revirement de jurisprudence Acceptation de la preuve illicite ou obtenue de manière déloyale Dans son arrêt du 22 décembre 2023, la Cour de cassation admet que l’application de sa jurisprudence « peut conduire à priver une partie de tout moyen de faire la preuve de ses droits ». Or, la CEDH ne retient pas, par principe, l’irrecevabilité des preuves considérées comme déloyales. En effet, lorsque le droit à la preuve tel que garanti par l’article 6, § 1, de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales entre en conflit avec d’autres droits et libertés, notamment le droit au respect de la vie privée, il appartient au juge de mettre en balance les différents droits et intérêts en présence. L’admission de la preuve illicite ou déloyale Acceptation de la preuve illicite ou obtenue de manière déloyale La Cour de cassation rappelle la position de la CEDH (5) sur ce sujet : • « L’égalité des armes implique l’obligation d’offrir, dans les différends opposant des intérêts à caractère privé, à chaque partie une possibilité raisonnable de présenter sa cause dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son adversaire ». • L’article 6, § 1, de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales « implique notamment à la charge du juge l’obligation de se livrer à un examen effectif des moyens, arguments et offres de preuve des parties, sauf à en apprécier la pertinence pour la décision à rendre ». L’appréciation du juge Acceptation de la preuve illicite ou obtenue de manière déloyale Lorsque le droit à la preuve entre en conflit avec d’autres droits et libertés, notamment le droit au respect de la vie privée, il appartient au juge de mettre en balance les différents droits et intérêts présents. Dans un procès civil, le juge doit donc apprécier si une preuve obtenue ou produite de manière illicite ou déloyale porte une atteinte au caractère équitable de la procédure dans son ensemble. Pour cela, il doit mettre en balance le droit à la preuve et les droits antinomiques en présence. Par conséquent, le droit à la preuve peut justifier la production d’éléments portant atteinte à d’autres droits, à condition que cette production soit indispensable à son exercice et que l’atteinte soit strictement proportionnée au but poursuivi. Cass. Ass. plén. du 22-12-2023 n° 20-20648. CA Orléans du 28-07-2020 n° 18/00226. Cass. Ass. plén. du 07-01-2011 n° 09-14.316 et n° 09-14.667. CEDH du 10-10-2006 n° 7508/02 LL c/ France. CEDH du 01-12-2018 n° 65097/01 NN et TA c/ Belgique.   Created by potrace 1.16, written by Peter Selinger 2001-2019   Emmanuel Walle Avocat, Directeur du département Social numérique     Emmanuel Walle Avocat, Directeur du département Social numérique Avocat à la Cour d’appel de Paris, Emmanuel Walle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2008. Affirmant un positionnement novateur, le département Droit du travail numérique se définit comme une équipe d’avocats experts en droit du travail numérique spécialisée, tant en droit du travail qu’en droit de la protection sociale. Emmanuel Walle dirige une équipe ayant une expertise approfondie de l’impact et de l’évolution des technologies avancées en droit du travail (cybersurveillance, charte d’utilisation des systèmes d’informations, preuve fichier professionnel/personnel, etc.) Phone:+33 (0)6 21 56 42 08 Email:emmanuel-walle@lexing.law     Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir

Articles, Publication, Télécom

La surveillance et le suivi des objets spatiaux (STT)

L’utilisation de l’espace a contribué à renforcer l’économie mondiale, à apporter des avantages sociétaux, à soutenir les activités de protection de l’environnement et à garantir la souveraineté stratégique. Par conséquent, de nombreux secteurs et activités reposent sur la protection des appareils et instruments spatiaux contre les menaces telles que les débris spatiaux créés par l’homme, les phénomènes météorologiques spatiaux et les objets géocroiseurs ou NEO (Near Earth Objects). En particulier, lundi 2 octobre 2023, la Commission américaine des communications (FCC) a infligé une amende de 150 000 dollars (environ 143 000 euros) à un opérateur de satellites pour abandon de débris spatiaux sur une orbite jugée dangereuse (voir notre article à ce sujet). Ainsi, la surveillance et le suivi des objets spatiaux (ou SST pour Space Situation Tracking), qui incluent leur catalogage et leur analyse, sont nécessaires afin de se prémunir des menaces portées par leurs débris. Lire la suite L’approche de l’Union européenne en matière de surveillance et de suivi des objets spatiaux La surveillance et le suivi des objets spatiaux (STT) En 2021, le programme de surveillance et de suivi de l’espace de l’UE (EU SST) a été établi en tant que sous-composante de sécurité à part entière du programme spatial de l’UE (Space Situational Awareness ou SSA), créé par le Règlement (UE) 2021/696 du Parlement européen et du Conseil (1). Pour la mise en œuvre de ce programme, un partenariat SST de 15 États membres de l’UE (2) (SST Partnership) ainsi que l’Agence de l’Union européenne pour le programme spatial (European Union Agency for the Space Programme ou EUSPA), agissant en tant que guichet SST de l’UE, forment la coopération SST (SST Cooperation). Auparavant, le SST de l’UE a été établi en tant que cadre de soutien par la décision SST de 2014 (3), qui prévoyait la création d’un consortium SST des États membres de l’UE. Le consortium et le Centre satellitaire de l’Union européenne (SatCen) ont coopéré pour développer progressivement la « capacité SST » avec le soutien de l’UE dans le cadre de différentes lignes de financement (c’est-à-dire les programmes H2020, Galileo et Copernicus). L’EU SST est désormais financé par l’UE dans le cadre du SSA EU et des programmes Horizon Europe. La capacité SST se compose de trois fonctions principales : capter, traiter et fournir des services. Les capteurs des États membres fournissent des données qui sont analysées dans le cadre de la fonction de traitement et alimentent une base de données commune et, à terme, un catalogue ; à partir de là, des produits sont dérivés pour trois services, générés par les centres d’opérations (OC) et fournis aux utilisateurs via le portail de fourniture de services SST. Définition de la surveillance et du suivi des objets spatiaux La surveillance et le suivi des objets spatiaux (STT) La fonction capteur consiste en un réseau de capteurs permettant de surveiller et de suivre les objets spatiaux dans tous les régimes orbitaux. Le système repose début 2021 sur 51 capteurs de surveillance ou de suivi (4) pouvant être des trois types suivants : des radars (comme le radar Graves français ou le radar TIRA allemand), des télescopes optiques (par exemple le télescope OGS de l’Agence spatiale européenne) et des stations de télémétrie laser sur satellites (par exemple Matera en Italie). La fonction de traitement vise à coordonner le partage des données entre les différents centres d’observation par le biais d’une base de données commune et à traiter des milliers de mesures quotidiennes provenant des capteurs contribuant à la SST de l’UE. Ces données constituent la base d’un futur catalogue EU SST qui sera utilisé pour les services SST. L’Allemagne est chargée d’héberger la base de données SST de l’UE et de produire le futur catalogue SST de l’UE. La fonction de prestation de services est chargée de fournir trois services SST aux utilisateurs autorisés, à savoir : la prévention des collisions, l’analyse de rentrée et l’analyse de fragmentation. Ces prestations sont accessibles depuis le portail de fourniture de services SST, géré par l’EUSPA, qui joue le rôle de guichet. Actuellement, les CO français et espagnol sont responsables du service de prévention des collisions, tandis que le CO italien est chargé des services d’analyse de rentrée et d’analyse de fragmentation. Ainsi, plus de 190 organisations bénéficient de ces services et plus de 400 satellites sont protégés contre le risque de collision. En moyenne, plus d’un évènement d’importance majeure, incluant les collisions entre objets spatiaux, est évité par jour par l’EU STT (5).   L’émergence d’un marché commercial de la surveillance des objets spatiaux La surveillance et le suivi des objets spatiaux (STT) Diverses organisations privées ont élaboré leurs propres compétences pour offrir des services de SST des objets spatiaux. Cependant, la dimension stratégique liée à la surveillance de l’espace reste une préoccupation persistante pour les États. C’est la raison pour laquelle ces entités privées bénéficient du soutien et collaborent avec les acteurs publics. Pour résoudre les problèmes de gestion du trafic spatial et développer de futurs moyens de surveillance, il est essentiel de mettre en place un écosystème et une structure de gouvernance assurant la précision et l’efficacité des services, favorisant la coopération internationale, et établissant une gestion transparente des données générées par ces moyens. Il est impératif, pour ces programmes, de concevoir des structures de gouvernance appropriées et d’évaluer leur efficacité organisationnelle et opérationnelle. De même, les parties prenantes de ces initiatives doivent élaborer une stratégie fondée sur une évaluation des opportunités de marché pour le déploiement de solutions de surveillance spatiale, ainsi que sur des prévisions fiables de l’évolution du trafic spatial. Enfin, il est essentiel que toutes ces actions soient menées en conformité avec la réglementation, en particulier celle liée aux données relatives aux informations de surveillance de l’espace. A ce titre, tout exploitant primaire de données d’origine spatiale exerçant en France doit, sous certaines réserves, « préalablement en faire la déclaration à l’autorité administrative compétente » (6). Le Sénat a d’ailleurs pu rappeler à ce sujet que « les informations issues de la surveillance de l’espace sont des informations à

désignation de six contrôleurs d’accès
Actualités, Articles, Economie numérique, Internet conseil, Publication

DMA : désignation de six contrôleurs d’accès par la Commission européenne

Le 6 septembre 2023, la Commission a procédé à la désignation de six contrôleurs d’accès qui seront soumis au Digital Market Act (DMA). Lire la suite Le DMA, un nouveau cadre de règlementation du numérique en Europe DMA : désignation de six contrôleurs d’accès Le 14 septembre 2022, l’Union adopte le règlement sur les marchés numériques (DMA), pour réguler l’activité des géants du numérique. Depuis son entrée en vigueur le 11 novembre 2022, il constitue avec le Digital Services Act (DSA) l’un des deux piliers de la nouvelle règlementation européenne sur le numérique. Le DMA vise les plateformes en ligne, qualifiées de « contrôleur d’accès ». Ces contrôleurs d’accès jouent désormais un rôle central car ils proposent des services de plateforme essentiels. Ils mettent en effet en relation des entreprises utilisatrices avec des utilisateurs finaux (ex : magasins d’applications). Le DMA vise à lutter contre les pratiques anticoncurrentielles de ces géants du numérique et limiter leur position dominante sur le marché européen. Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) dominent à eux seuls le marché numérique avec 1544 milliards de chiffre d’affaires en 2023. Le DMA vient compléter le droit de la concurrence qui intervient en sanctionnant uniquement ex post les ententes ou abus de position dominante. En effet, le DMA est une régulation ex ante qui est spécifique au secteur du numérique. Il veille à ce que les marchés soient contestables et équitables. Il a pour objectif de favoriser l’émergence de nouveaux opérateurs économiques. Le DMA va ainsi protéger leur capacité à surmonter les barrières à l’entrée et à l’expansion des marchés. Il vise également à lutter contre les déséquilibres de droits et obligations des utilisateurs professionnels. La désignation de six contrôleurs d’accès par la Commission DMA : désignation de six contrôleurs d’accès Le DMA ne s’applique pas à toutes les entreprises du numérique mais seulement aux plus grandes, qualifiées de « contrôleurs d’accès ». Ces entreprises ont un poids économique important et constituent une barrière à l’entrée du marché intérieur. Une des singularités du règlement est qu’il vise des entreprises, établies ou non dans l’Union. L’article 3 du Règlement qualifie ces entreprises de contrôleurs d’accès lorsqu’elles remplissent trois critères cumulatifs : un poids important sur le marché : au moins 75 milliards d’euros de chiffre d’affaires au cours de chacun des trois derniers exercices ou 75 millions de capitalisation boursière au cours du dernier exercice et ce dans au moins trois Etats membres ; l’essentialité:  fournir un service de plateforme essentiel qui constitue un point d’accès majeur : enregistrer un nombre d’utilisateur de plus de 45 millions d’européens par mois et au moins 10 000 entreprises utilisatrices par an ; une position solide et durable sur le marché : fournir un service de plateforme essentiel dans au moins trois Etats membres. Les entreprises disposent de deux moins à partir de l’entrée en vigueur du règlement pour notifier à la Commission européenne si elles dépassent les seuils. Pour la première fois, le 6 septembre 2023, la commission a procédé à la désignation de six contrôleurs d’accès. On y retrouve les GAFAM avec Alphabet (Google), Amazon, Apple, Meta (Facebook) et Microsoft. Vient s’ajouter le groupe chinois ByteDance (Tik Tok). La Commission n’a finalement pas désigné Samsung qui était notifiante.  Suite à la désignation de ces six contrôleurs d’accès, les entreprises disposent d’un délai de 6 mois à pour se mettre en conformité avec le DMA. Les activités concernées par le DMA DMA : désignation de six contrôleurs d’accès La qualification de contrôleur d’accès nécessite la fourniture de « services de plateformes essentiels ». Dans le cas contraire, le DMA ne s’appliquera pas à ces entreprises. Ces services constituent des points d’entrée permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux.  Le DMA vise dix services de plateforme essentiel : les services d’intermédiation en ligne ; les services de recherche en ligne ; les services de réseaux sociaux en ligne ; les services de plateforme de partage de vidéos ; les services de communications interpersonnelles non fondés sur la numérotation ; les systèmes d’exploitation ; les navigateurs internet ; les assistants virtuels ; les services d’informatique en nuage (cloud) ; les services de publicité en ligne. Cette liste pourra être mise à jour. Il convient de noter qu’elle ne vise pas encore les plateformes de jeux vidéo ou les services d’intelligence artificielle générative. Lors de la désignation des six contrôleurs d’accès, la Commission vise vingt-deux de leurs services de plateforme essentiel (Google maps, Amazon marketplace). Les obligations et interdictions imposées par le DMA DMA : désignation de six contrôleurs d’accès La qualification de contrôle d’accès entraine le respect d’obligations et interdictions. En effet, la Commission n’a pas opté pour un système de vigilance ou de politique structurelle. Elle a posé une liste d’obligations et interdictions à respecter en tant que tel.  Les contrôleurs d’accès auront jusqu’au 6 mars 2024 pour se mettre en conformité sous peine de sanctions. Les contrôleurs d’accès devront notamment : rendre aussi facile l’abonnement que le désabonnement à leur service ; permettre de désinstaller facilement une application préinstallée ; permettre l’interopérabilité des fonctionnalités de leur service de messagerie instantanée avec d’autres concurrents. Les contrôleurs d’accès ne pourront plus : imposer par défaut des logiciels à l’installation (moteur de recherche par exemple) ; réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite ; favoriser leurs services et produits par rapport à ceux des autres vendeurs qui utilisent leur plateforme (auto-préférence). Ainsi, un utilisateur s’estimant lésé par un contrôleur d’accès pourra s’appuyer sur ces obligations et interdictions devant le juge national pour demander des dommages et intérêts. En cas de non-respect du DMA, la Commission pourra prononcer des sanctions de 10% du chiffre d’affaires mondial. Cette sanction pourra monter jusqu’à 20 % en cas de récidive. Une astreinte allant jusqu’à 5% du chiffre d’affaires journalier mondial pourra s’ajouter. En cas d’infraction systématique, la Commission pourra ordonner des mesures correctives comportementales ou structurelles. Le contrôleur d’accès pourra se voir contraindre de céder une part de son activité (vente d’actif, de droit de propriété intellectuelle). Il pourra également se voir interdire d’acquérir une autre entreprise qui fournit des services numériques. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace

Retour en haut