Mois : octobre 2023

Introduit par le règlement européen « Foreign Subsidies Regulation » (FSR) adopté en fin d’année dernière, ce nouveau dispositif entré en vigueur le 12 octobre 2023 repose sur une obligation de notification de toutes les opérations franchissant les seuils prévus par le Règlement FSR dont les accords seront conclus à compter de cette date.

 

Les principaux points de vigilance concernant le contrôle des concentrations du Règlement FSR (qui est distinct et autonome par rapport au contrôle des concentrations « classique ») sont les suivants :

 

• Notification préalable obligatoire et suspensive à la Commission européenne des concentrations pour lesquelles :

• l’entreprise acquise, une des parties à la fusion ou l’entreprise commune (i) est établie dans l’Union européenne et (ii) a réalisé un chiffre d’affaires supérieur à 500 millions d’euros au sein de l’Union européenneau cours du dernier exercice clos

  ET

• les entreprises concernées par l’opération (le ou les acquéreurs ; l’entreprise acquise ; les parties à la fusion ; les entreprises créatrices d’un entreprise commune ; l’entreprise commune) ont reçu de pays tiers à l’Union européennedes contributions financières excédant un total de 50 millions d’euros au cours des trois années ayant précédé la conclusion de l’accord(toutes subventions étrangères et  toutes entreprises concernées confondues ; en ce incluses les subventions reçues par les groupes auxquelles elles appartiennent, sauf pour ce qui concerne la cible).

• La notion de subventions étrangères au sens du Règlement FSR recouvre toutes les subventions octroyées à des entreprises par le gouvernement d’un Etat qui n’est pas membre de l’Union européenne ou par une entité publique ou privée d’un tel Etat dont les actes peuvent être attribués à ce dernier. Cette notion est largement définie et inclut notamment les transferts de fonds ou de passifs (apports en capital, subventions, prêts…), les abandons de recettes normalement exigibles (telles que des exonérations fiscales) ainsi que la fourniture ou l’achat de biens ou services par l’entreprise à l’Etat tiers (dans ce cas, le revenu des ventes concernées est considéré comme une subvention étrangère).

• Il n’y a pas d’interdiction de principe des opérations ayant bénéficié de subventions étrangères, la Commission appréciant, au cas par cas, si les subventions étrangères reçues par les entreprises concernées d’une opération notifiée sont susceptibles de générer des distorsions de concurrence.

• Comme en contrôle des concentrations « classique », les concentrations franchissant les seuils susvisés doivent être notifiées préalablement à leur réalisation et la notification est à la charge du ou des acquéreurs (i.e. l’entreprise qui acquiert le contrôle de la cible, les entreprises qui fusionnent ou les entreprises qui acquièrent le contrôle d’une entreprise commune).

• Le règlement d’exécution du Règlement FSR prévoit un formulaire de notification, détaillant les informations à fournir obligatoirement à la Commission européenne : description de la concentration, information sur les parties, seuils de notification, contributions financières étrangères, incidences de celles-ci sur le marché intérieur, effets positifs possibles.

• L’examen de la notification comprend une phase d’examen préliminaire de 25 jours ouvrés, pouvant être prolongée d’une phase d’examen approfondi de 90 jours ouvrés supplémentaires lorsque la Commission dispose de suffisamment d’éléments indiquant que les subventions étrangères sont susceptibles de fausser le marché intérieur.

• A l’issue de son examen de l’opération notifiée, la Commission peut (i) autoriser l’opération sans conditions, (ii) assortir son autorisation d’engagements structurels ou comportementaux ou (ii) interdire l’opération.

• Concernant les sanctions, l’absence de notification d’une opération franchissant les seuils du Règlement FSR, la réalisation d’une opération notifiée avant son autorisation ainsi que la réalisation d’une concentration interdite exposent les entreprises concernées à une amende pouvant atteindre 10 % de leur chiffre d’affaires total. La fourniture de renseignements inexacts ou dénaturés dans la notification est passible d’une amende pouvant atteindre 1 % du chiffre d’affaires total réalisé au cours de l’exercice précédent.

 

En pratique, pour ce qui concerne vos prochaines opérations de concentration, il faudra tenir compte de ce nouveau dispositif :

 

 

• En amont de l’opération : vérifier si le seuil de 500 millions d’euros de chiffre d’affaires au sein de l’Union européenne est franchi et, dans cette hypothèse, identifier et calculer le montant des subventions étrangères reçues au cours des trois dernières années.
• Lors de la phase préparatoire : intégrer les contraintes de calendrier liés à la préparation de la notification et à l’examen de l’opération par la Commission.
• Pour la rédaction de la documentation contractuelle : insérer une condition suspensive spécifique au Règlement FSR.

Pour être tout à fait complet, en plus de ce dispositif de contrôle des concentrations, le Règlement FSR prévoit également un système de notification des participations à des procédures de passation de marchés publics au sein de l’Union européenne par des entreprises bénéficiant de subventions étrangères (avec des seuils spécifiques), ainsi qu’un outil permettant à la Commission européenne d’ouvrir une enquête de sa propre initiative pour toutes les autres situations de marché, lorsqu’elle soupçonne l’existence de subventions étrangères génératrices de distorsions de concurrence.

 

Article rédigé par Olivier Cavezian et Antoine Burgensis.

Téléchargez la newsletter ici. English version below.

 

1) SANCTION CNIL : LA SOCIÉTÉ SAF LOGISTICS CONDAMNEE A 200 000 EUROS D’AMENDE

Le 18 septembre 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la société de fret aérien chinoise SAF LOGISITIC  d’une amende de 200 000 euros et a publié la sanction sur son site internet.

 

La sévérité de cette sanction se justifie par la gravité des manquements commis par la société :

 

• Non-respect du principe de minimisation(article 5-1 c du RGPD) : le responsable de traitement ne doit en effet collecter que les seules données nécessaires à la finalité du traitement. Or, en l’espèce, la société collectait des données personnelles des membres de la famille des salariés (identité, coordonnées, fonction, employeur et situation maritale) qui n’avaient aucune utilité apparente.
• Collecte illicite de données sensibles (article 9 du RGPD) et de données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10) : il était en l’espèce demandé à des salariés de renseigner des données dites sensibles, à savoir le groupe sanguin, l’appartenance ethnique et l’affiliation politique. Or, par principe, la collecte de données sensibles est interdite. Elle est permise par exception, si elle apparaît légitime au regard de la finalité du traitement et que le responsable de traitement dispose d’une base légale adaptée, ce qui n’était pas le cas en l’espèce. Par ailleurs, SAF LOGISITIC collectait et conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, faisant déjà l’objet d’une habilitation par les autorités compétentes après enquête administrative. Ainsi, une telle collecte n’apparaissait pas nécessaire.
• Absence de coopération avec l’autorité de contrôle (article 31 du RGPD) : La CNIL a en outre considéré que la société avait délibérément tenté d’entraver la procédure de contrôle. Ainsi, SAF LOGISITIC n’a traduit que partiellement le formulaire qui était rédigé en langue chinoise. Ainsi les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. A noter que le manque de coopération constitue un facteur aggravant lors de la détermination du montant de la sanction par l’autorité de contrôle.

 

2) LE RESPONSABLE DE TRAITEMENT ET LE SOUS-TRAITANT SONT RESPONSABLES EN CAS DE NON-CONCLUSION D’UN ACCORD DE PROTECTION DES DONNEES

 

Le 29 septembre 2023, l’Autorité de Protection des Données belge (APD) a rendu une décision apportant des éclairages intéressants sur d’une part les obligations à la charge du responsable de traitement et du sous-traitant et d’autre part sur la correction tardive des manquements au RGPD. A cet égard, l’ADP a indiqué que :

 

• Le responsable du traitement et le sous-traitant ont tous deux violé les dispositions de l’article 28 du RGPD en ne concluant pas d’accord de protection des données (DPA) dès le début du traitement de données. L’obligation de conclure un contrat ou d’être lié par un acte juridique contraignant pèse à la fois sur le responsable du traitement et sur le sous-traitant et non sur le seul responsable du traitement.
• La clause de rétroactivité prévue au sein des DPA n’est pas de nature à pallier l’absence de contrat au moment des faits : seule la date de signature du DPA doit être prise en compte pour déterminer la conformité du traitement concerné. L’ADP rappelle que si une telle rétroactivité devait être admise, elle permettrait de facto de contourner l’application dans le temps de l’obligation de l’article 28.3. du RGPD. Or, le RGPD a lui-même prévu un délai de 2 ans séparant son entrée en vigueur de son entrée en application pour une mise en conformité progressive par toutes les entités concernées en vue de garantir la protection des droits et des personnes concernées.

 

3) UNE NOUVELLE PLAINTE VISE LA START-UP D’OPENAI A L’ORIGINE DE L’INTELLIGENCE ARTIFICIELLE GENERATIVE CHATGPT

 

L’Office polonais pour la protection des données a ouvert une enquête à la suite du dépôt de plainte du chercheur polonais, Lukasz Olejnik contre la start-up Open AI en septembre 2023. Cette plainte met en exergue les multiples manquements du chatbot au respect du Règlement général sur la protection des données (RGPD).

 

Les manquements au RGPD soulevés par la plainte

La plainte recense de nombreuses infractions au RGPD, notamment une violation des articles suivants :

 

• L’article 5 relatif à l’obligation d’exactitude des données et le traitement loyal de celles-ci (il existe une obligation de limitation des finalités) ;
• L’article 6 relatif à la base légale du traitement ;
• Les articles 12 et 14 relatifs à l’information des personnes concernées ;
• L’article 15 sur le droit d’accès pour la personne concernée aux informations sur le traitement de ses données ;
• L’article 16 sur le droit pour les personnes concernées de rectifier les données à caractère personnel qui sont inexactes.

 

Les intérêts légitimes poursuivis par OpenAI semblent difficilement contrebalancer les atteintes portées à la vie privée des utilisateurs.

 

Des plaintes répétées à l’encontre d’OpenAI 

Ce n’est pas la première fois que, depuis sa mise en ligne, le logiciel ChatGPT est visé par de telles accusations. A l’échelle mondiale, huit plaintes ont été déposées cette année en raison de manquements à la protection des données personnelles. Sont notamment relevés :

• L’absence de consentement des personnes dans le traitement de leurs données
• Le traitement inexacte des données
• L’absence de filtre permettant de vérifier l’âge des individus
• Le non-respect du droit à l’opposition.

 

La technique du « scraping », dont cette intelligence artificielle fait usage (technique qui permet une extraction automatique de nombreuses informations issues d’un ou plusieurs sites web) a été signalée par la CNIL dès 2020 dans une série de recommandations visant à encadrer ladite pratique dans le cadre de la prospection commerciale. Ces contrôles avaient mené la CNIL à soulever divers manquements à la législation sur la protection des données, tels que :

 

 

• L’absence d’information des personnes visées par le démarchage ;
• L’absence de consentement des personnes avant leur démarchage ;
• L’absence du respect de leur droit d’opposition.

 

Vers un meilleur encadrement de l’intelligence artificielle ?

En avril 2021, la Commission européenne a fait une proposition de règlement précisant de nouvelles mesures afin de veiller à ce que les systèmes d’intelligence artificielle utilisés dans l’Union Européenne soient sûrs, transparents, éthiques et sous contrôle humain. Ce règlement prévoit un classement de systèmes à haut risque, risque limité et risque minimal, en fonction de leurs caractéristiques et finalités.

En attendant l’entrée en vigueur de ce règlement, la CNIL veille à apporter des réponses concrètes aux problématiques portées par l’intelligence artificielle. A ce titre, elle a déployé en mai 2023 un plan d’action destiné à devenir un cadre de régulation dont l’objectif est de permettre le déploiement opérationnel de systèmes d’intelligence artificielle respectueux des données personnelles.

 

4) TRANSFERT DE DONNEES VERS LES ETATS-UNIS

 

La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation permettant les transferts de données transatlantiques, dénommée « Data Privacy Framework » (DPF).

Depuis le 10 juillet, il est ainsi possible pour les entreprises soumises au RGPD de transférer des données personnelles aux sociétés américaines certifiées « DPF » sans recourir aux clauses contractuelles types de la Commission européenne et aux mesures supplémentaires. Cela a été rappelé par le CEPD le 18 juillet 20231.

A noter que le Royaume-Uni a également conclu un accord avec les Etats-Unis relatif au transfert de données qui entrera en vigueur le 12 octobre prochain.

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait invalidé dans un arrêt du 16 juillet 2020 le « Privacy Shield », la précédente décision d’adéquation qui permettait le transfert des données personnelles vers les Etats-Unis.

 

1)Le contenu du « Data Privacy Framework »

La décision du 10 juillet 2023 formalise nombre de garanties contraignantes pour tenter de remédier aux faiblesses du « Privacy Shield » invalidé deux ans auparavant.

 

a)Les nouvelles obligations

Afin de se prévaloir de ce nouveau cadre et être destinataire de données personnelles de résidents européens, les entreprises américaines devront notamment :

• Déclarer adhérer aux principes de protection des données personnelles du DPF (minimisation des données, durées de conservation, sécurité…).
• Indiquer un certain nombre d’informations obligatoires : le nom de l’organisation concernée, la description des finalités pour lesquelles le transfert de données personnelles est nécessaire, les données personnelles couvertes par la certification ainsi que la méthode de vérification choisie.
• Formaliser une politique de confidentialité conforme aux principes du DPF et préciser le type de recours indépendant pertinent offert aux détenteurs premiers des données, ainsi que l’organe statutaire compétent pour assurer le respect de ces principes.

 

Le Ministère du Commerce américain (US Department of Commerce) a ouvert le lundi 17 juillet le site web du programme « Data Privacy Framework », qui offre aux entreprises un guichet unique où elles peuvent adhérer au DPF et répertorie la liste des entreprises qui y ont adhéré.

Les entreprises américaines adhérentes doivent conduire chaque année des auto-évaluations afin de démontrer leurs respects aux exigences du DPF. En cas de violation de ces principes, le Ministère du Commerce américain peut infliger des sanctions.

Il convient de noter que les entreprises déjà affiliées au Privacy Shield sont automatiquement affiliées au DPF sous réserve de mettre à jour leur politique de confidentialité avant le 10 octobre 2023.

 

1. b) La création d’une Cour de révision de la protection des données

Le DPF se montre innovant puisqu’il instaure une Cour de révision de la protection des données (Data Protection Review Court, DPRC) permettant à la fois un accès facilité, impartial et indépendant à des recours pour les résidents de l’Union européenne mais aussi une prise en charge effective des manquements aux règles issues du cadre UE-Etats-Unis. Cette Cour est en effet dotée de pouvoir d’enquête et peut ordonner des mesures correctives contraignantes, telle que, par exemple, la suppression des données importées illégalement.

 

1. c) Un nouveau mécanisme de recours pour les ressortissants de l’Union européenne

Le mécanisme de recours prévu s’effectuera à deux niveaux :

 

• Dans un premier temps, la réclamation sera portée auprès de l’autorité nationale compétente (par exemple, la CNIL en France). Cette autorité sera le point de contact du plaignant et lui transmettra toutes les informations relatives à la procédure. La réclamation est communiquée aux Etats-Unis via le Comité européen de la protection des données (CEPD) où elle est examinée par le délégué à la protection des libertés qui statue sur l’existence ou non d’une violation.
• Le plaignant pourra faire appel de la décision du délégué à la protection des libertés civiles devant la DPRC. La DPRC sélectionnera dans chaque cas un « special advocat » ayant l’expérience requise pour assister le plaignant.

D’autres voies de recours comme l’arbitrage sont également disponibles.

 

2) Les évolutions à venir : de nouvelles batailles judiciaires ?

 

Ce nouveau cadre juridique sera soumis à des examens périodiques, le premier étant prévu l’année suivant l’entrée en vigueur de la décision d’adéquation. Ces contrôles seront réalisés à la fois par la Commission européenne, les autorités américaines compétentes (U.S. Department of Commerce, Federal Trade Commission et le U.S. Department of Transportation) mais aussi par divers représentants des autorités européennes de protection des données.

Malgré la mise en place de ces nouveaux garde-fous, la riposte judiciaire a déjà eu lieu.

Le 6 septembre dernier, le député français Philippe Latombe (MoDem) a déposé deux plaintes auprès de la CJUE en vue d’obtenir l’annulation du DPF. Max Schrems, président de l’association autrichienne de défense de la vie privée « Noyb », à l’origine des recours contre les anciens accords (Safe Harbor et Privacy Shield), devrait très probablement lui emboîter le pas.

 

5) QUESTIONS AUTOUR DU CHAMP D’APPLICATION MATERIEL DU RGPD

 

Une position clivante d’un avocat général concernant le champ d’application matériel du RGPD, pourrait, si elle est suivie par la CJUE, limiter nettement l’application du RGPD à de nombreux secteurs d’activité (affaire C-115/22).

En l’espèce, les nom et prénom d’une sportive autrichienne testée positive au contrôle antidopage avait été publié sur le site Internet accessible au public de l’Agence indépendante de lutte contre le dopage autrichienne (NADA).

La sportive a saisi la Commission indépendante d’arbitrage autrichienne (l’USK) d’une demande de réexamen de cette décision. Cet organe s’interroge notamment sur la compatibilité avec le RGPD de la publication sur Internet des données à caractère personnel d’un sportif professionnel dopé. Un renvoi préjudiciel auprès de la CJUE est alors effectué.

L’avocat général considère que le RGPD n’est pas applicable en l’espèce dans la mesure où les règles antidopage réglementent essentiellement les fonctions sociales et éducatives du sport plutôt que ses aspects économiques. Or, il n’existe actuellement aucune règle de droit de l’Union relative aux politiques de lutte contre le dopage des États membres. À défaut de lien entre les politiques de lutte contre le dopage et le droit de l’Union, le RGPD ne saurait régir de telles activités de traitement.

 

Cette analyse de fonde sur l’article 2.2.a) du RGPD qui prévoit :

« Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; »

Les contours du champ d’intervention de l’Union sont variables et imprécis, entraînant en conséquence une incertitude quant à l’application du RGPD à certains secteurs.

À titre subsidiaire et si le RGPD devait s’appliquer, l’avocate générale considère en tout état de cause que la décision du législateur autrichien d’imposer la divulgation au public des données à caractère personnel des sportifs professionnels violant les règles antidopage applicables n’est pas, aux termes du règlement, subordonnée à un examen de proportionnalité.

Les conclusions de l’avocat général ne lient toutefois pas la CJUE. La décision de la juridiction européenne est en conséquence attendue avec attention, en ce qu’elle permettra de préciser les contours de l’application du RGPD.

 

---

1En mars dernier, la CNIL italienne est allée jusqu’à suspendre temporairement ChatGPT sur son territoire en raison d’une présomption de violation des règles de l’Union européenne en matière de protection des données.

OpenAI omis de mettre en place un système de vérification de l’âge des utilisateurs. Dans la continuité de cet évènement, un recours collectif américain a dénoncé le 28 juillet dernier l’accessibilité des services aux mineurs de moins de 13 ans ainsi que l’utilisation de méthodes de « scraping » auprès de plateformes telles qu’Instagram, Snapchat ou même Microsoft Teams.

2Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle

 

Cyberscore : dans le rapport du Sénat pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public du 16 février 2022, la sénatrice Mme Anne-Catherine Loisier indiquait qu’en dépit d’une augmentation croissante des cyberattaques[1], les entreprises ne modifiaient pas leur comportement face à la menace[2].

 

Partant du constat que la cybersécurité était une contrepartie indispensable à l’économie numérique et plus largement, à la numérisation de tous les pans de la société, le législateur a donc imposé de nouvelles obligations à la charge des opérateurs de plateforme.

La loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (dite « Loi Cyber-score ») a introduit dans le code de la consommation[3] une obligation d’information des consommateurs quant au niveau de sécurité des opérateurs de plateforme ainsi que celui des données qu’ils hébergent.

 

Cette loi apporte une obligation d’information des opérateurs numériques à destination des utilisateurs de leurs services sur le niveau de sécurité de leurs données, qui n’était pas prévue par le règlement général sur la protection des données (« RGPD »). Ce dernier ne prévoit en effet que la mise en place de mesures de sécurité des données personnelles, sans toutefois informer les personnes concernées quant à leur robustesse[4].

 

Le nouvel article L.111-7-3 du code de la consommation dispose ainsi que :

 

« Les opérateurs de plateformes en ligne (…)dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur (…), portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation (…) ».

L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.

(…)

 

Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. »

 

 

La loi cyber-score est entrée en vigueur le 1^er octobre 2023.

Le décret d’application et l’arrêté précisant ses modalités d’application sont en attente de publication.

 

 

1. Qui est concerné par cette obligation de communication ?

 

 

Le champ d’application est particulièrement large dès lorsqu’il concerne (i) les opérateurs de plateforme en ligne définis à l’article L111-7 du code de la consommation et (ii) les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, dont l’activité dépasse un certain seuil fixé par décret. Le projet de décret prévoit un seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024[5]. L’objectif du législateur est en effet de ne pas pénaliser les très petites entreprises (TPE), les PME ou les start-ups innovantes en matière de services en ligne.

 

 

Concrètement, les plateformes numériques (places de marché, les sites comparateurs, les moteurs de recherche, réseaux sociaux…), les services de messagerie et les logiciels de visioconférence à destination du grand public sont concernés par l’obligation de réaliser des audits de cyber-sécurité et de communiquer le résultat au public sous réserve de dépasser le seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024.  

 

 

2. Quelles sont les modalités de l’audit de cybersécurité ?

 

Les opérateurs concernés devront faire appel à un prestataire d’audit de sécurité des systèmes d’information (PASSI) qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’audit sera réalisé sur la base d’informations ouvertes, librement accessible et de manière non intrusive par le prestataire et portera sur la sécurisation et la localisation des données. A cet égard, une localisation au sein de l’Union européenne est une garantie de sécurité des données, au regard de l’application du RGPD, mais également en enjeu de souveraineté numérique.

La localisation des données n’est toutefois pas le seul critère à prendre en compte. Le projet d’arrêté prévoit les points de contrôle suivants[6] :

 

• Organisation et gouvernance (assurance cyber, certification de sécurité, …)
• Protection des données (mesures de sécurité relative à l’hébergement des données, exposition des données à des législations extraterritoriales, partage des données à des tiers)
• Connaissance et maîtrise du service numérique (cartographie des informations traitées par le service numérique et sensibilité, cartographie des prestataires, existence de mécanismes de cloisonnement réseau visant à prémunir le service numérique d’une attaque par rebond sur les environnements mutualisés)
• Niveau d’externalisation (localisation des infrastructures d’hébergement du service numérique en UE…)
• Niveau d’exposition sur internet (réalisation de scans de sécurité régulier, mise en œuvre d’une solution visant à se prémunir des dénis de service (DDoS), gestion de l’identification / authentification des utilisateurs…)
• Dispositif de traitement des incidents de sécurité
• Audits du service numérique (Réalisation d’audits de sécurité réguliers avant la mise en œuvre du service numérique (audit/Bug bounty/etc.))
• Sensibilisation aux risques cyber et lutte anti-fraude (sensibilisation aux risques de cybersécurité, Avertissement des usagers sur les risques cyber d’escroqueries et de fraudes et recommandations de précaution…)
• Développement sécurisé (prise en compte des règles OWASP…)

 

Il convient de noter que les points de contrôle suscités doivent déjà être pris en compte par les entreprises dans le cadre de leur mise en conformité au RGPD.

 

Il convient d’attendre la publication de l’arrêté pour avoir une grille exhaustive des points de vérification de l’audit de cyber-sécurité.

 

3. Comment afficher le cyber-score ?

 

A l’instar du « nutriscore », le législateur prévoit que l’opérateur économique doit publier un « cyberscore » sur son site. Le projet d’arrêté indique que le marquage devra être apposé de manière visible sur l’écran d’accueil et que le score d’audit cyberscore et sa date de réalisation devront apparaitre de manière visible dans les mentions légales du service en ligne.

 

Le résultat du cyber-audit, quel qu’il soit, devra être affiché de manière claire et accessible sur le site de l’opérateur.

L’objectif est en effet de permettre aux consommateurs usagers d’être mieux informés quant à la protection de leurs données en ligne.

 

4. Quelles sont les sanctions en cas de non-respect ?

 

En cas de manquement à cette obligation et conformément à l’article Article L131-4 du code de la consommation, l’opérateur encourt une amende administrative infligée par la DGCCRF dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.

En outre, un cyber-score faible portera nécessairement atteinte à l’image de l’opérateur concerné et diminuera la confiance des utilisateurs de son site.

 

***

 

Dans ce contexte, il est essentiel pour les entreprises concernées de mettre en place dès à présent les mesures de sécurité technique et organisationnelle adaptées.

Le département IT/Data du cabinet Joffe & Associés vous accompagne dans la mise en conformité de vos plateforme (mise en conformité RGPD, sécurisation des relations avec les tiers, sensibilisation à la cyber-sécurité…).

Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

 

---

 

[1] Selon le rapport, 54% des entreprises déclaraient avoir subi au moins une cyber-attaque en 2021 et 30% des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques.

[2] Rapport Sénat n°503 p6 https://www.senat.fr/rap/l21-503/l21-5031.pdf

[3] Article L.111-7-3 du code de la consommation

[4] Article 32 du RGPD

[5] https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-decret-cyberscore.pdf

[6]https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-arrete-cyberscore.pdf

Le Digital Service Act est entré en vigueur le 25 août 2023 pour les très grandes plateformes. Dans ce contexte, Emilie de Vaucresson a été invitée à répondre aux questions du magazine Followed. 

 

Pour télécharger l’article publié dans le n°44 du magazine Followed, cliquez ici. 

 

Pour en savoir plus sur le magazine Followed, c’est par ici.