Catégorie : Newsletter

Téléchargez notre article en cliquant ici.

 

La Cour Suprême du Royaume-Uni vient de confirmer ce 20 décembre, qu’une IA ne peut pas être désignée comme inventeur d’un brevet.

 

Stephen Thaler, un informaticien américain cherchait à obtenir deux brevets au Royaume-Uni pour des inventions réalisées par son système d’intelligence artificielle appelé DABUS.

 

Selon M. Thaler, DABUS serait l’inventeur d’un contenant alimentaire et d’un dispositif lumineux d’alerte innovants mettant en œuvre des principes de géométrie fractale.

 

Sa tentative d’enregistrement des brevets a été refusée en décembre 2019 par l’Office britannique de la propriété intellectuelle au motif que l’inventeur doit être un être humain et non une machine.

 

L’informaticien a fait appel de cette décision. Après plusieurs années de procédure, la Cour suprême du Royaume-Uni vient de confirmer la position de la Cour d’appel qui avait rejeté sa demande de brevets. En vertu de la législation britannique sur les brevets, « l’inventeur doit être une personne physique ».

 

Il est important de noter que le juge David Kitchin précise que « ce recours ne porte pas sur la question plus large de savoir si les avancées techniques générées par des machines agissant de manière autonome et alimentées par l’IA devraient être brevetables  (…). Il ne porte pas non plus sur la question de savoir si la signification du terme « inventeur » doit être élargie … pour inclure les machines dotées d’une intelligence artificielle qui génèrent des produits et des processus nouveaux et non évidents dont on peut penser qu’ils offrent des avantages par rapport à des produits et des processus déjà connus ».

 

Au début de l’année, Stephen Thaler avait également perdu une requête similaire aux États-Unis, où la Cour suprême avait refusé de délivrer des brevets pour des inventions créées par son système d’intelligence artificielle.

 

Cette décision n’aura a priori et à ce stade pas de conséquences significatives sur le système des brevets mais elle pose question. Déjà parce que cette décision contraste avec celle de l’Afrique du Sud qui a procédé à la délivrance du premier brevet qui mentionne une intelligence artificielle comme inventeur. Ensuite, si les tribunaux et les gouvernements décident que les inventions créées par l’IA ne peuvent pas être brevetées, les implications pourraient être importantes en matière de progrès et de retour sur investissement.

 

 

Article rédigé par Véronique Dahan, Jérémie Leroy-Ringuet et Charlotte Gauvin.

 

Notre équipe spécialisée en droit de la Propriété Intellectuelle (Véronique Dahan, Jérémie Leroy-Ringuet et Charlotte Gauvin) revient sur les dernières actualités en la matière.

 

Téléchargez notre newsletter en cliquant ici.

 

1. Droit d’auteur : le point de départ du délai de prescription de l’action civile en contrefaçon(1)

 

La Cour de cassation a récemment confirmé l’application de l’article 2224 du code civil à la prescription des actions civiles en contrefaçon de droit d’auteur, indépendamment du caractère continu de la contrefaçon. Le délai quinquennal de prescription court à compter de la commission de l’acte contrefaisant ou du jour où le titulaire du droit en a eu (ou aurait dû en avoir) connaissance.

En l’espèce, un artiste dont l’une des œuvres, une sculpture réalisée en 1985, avait été reproduite à plusieurs reprises sans son autorisation, avait obtenu la reconnaissance du caractère contrefaisant de ces reproductions par un arrêt de la cour d’appel de Paris du 17 décembre 2008.

Constatant que l’une de ces reproductions contrefaisantes était exposée dans un jardin botanique, l’artiste a proposé au directeur du jardin, par lettre du 5 mai 2020, d’engager des discussions amiables afin de convenir des contours d’une réparation de la violation de ses droits d’auteur. En l’absence de réponse, il l’a assigné le 5 mars 2021 devant le juge des référés du tribunal judiciaire de Lille en contrefaçon de droit d’auteur, afin de faire cesser le trouble manifestement illicite résultant de l’atteinte à ses droits.

La cour d’appel, faisant droit à la demande du défendeur, déclare l’artiste irrecevable en ses demandes en considérant l’action prescrite depuis le 17 décembre 2013. L’artiste se pourvoit alors en cassation et le débat porte sur la détermination du point de départ du délai de prescription en présence d’une infraction continue.

La Cour de cassation, au visa de l’article 2224 du code civil(2), confirme l’arrêt d’appel : le caractère contrefaisant ayant été reconnu par un arrêt du 17 décembre 2008, l’action intentée le 5 mars 2021 était prescrite, et cela même si la contrefaçon s’inscrivait dans la durée.

 

2. Droit des marques : la renommée de la marque muséale « Louvre »(3)

 

Le droit des marques a toute son importance dans le secteur culturel puisque les marques offrent aux musées une source importante de revenus à travers, par exemple, la mise en place de partenariats ou le développement de produits dérivés, et en leur garantissant une visibilité accrue.

L’établissement public du Musée du Louvre a récemment formé opposition à l’encontre d’une demande de marque française portant sur le signe verbal « LE LOUVRE AUTOMOBILE », déposée par un spécialiste des voitures de luxe, la société Delage Automobiles, pour désigner des véhicules et des services de publicité, assurances, transport, location de places de garages pour le stationnement et la location de véhicules. L’établissement public du Musée du Louvre a fondé son opposition sur sa marque antérieure de l’Union européenne semi-figurative « LOUVRE », invoquant à la fois (i) le risque de confusion et (ii) l’atteinte à sa renommée.

I. L’opposition est accueillie pour les services de publicité sur le fondement du risque de confusion entre le dépôt contesté et la marque antérieure en raison de l’identité des services et de la similarité des signes. Les signes ont en commun visuellement, phonétiquement et intellectuellement, le terme « LOUVRE », élément distinctif et dominant du dépôt contesté et élément essentiel de la marque antérieure. Sont rejetés les arguments du déposant tenant à l’usage généralisé du terme « Louvre » ou à son emploi pour une rue et de nombreux commerces sans être rattachés au Musée du Louvre.

 

II. Pour les véhicules et les services de transport, location de places de garages pour le stationnement et la location de véhicules, l’opposition est accueillie sur le fondement de l’atteinte à la renommée de la marque antérieure. Il ressort des pièces produites par la société opposante un usage intensif de la marque antérieure, sa connaissance sur le marché pertinent français et son positionnement de premier plan parmi les musées nationaux et mondiaux à l’échelle de l’Europe et à l’international. La société opposante invoque l’existence d’un partenariat entre sa marque antérieure et une société automobile pour établir le risque d’association dans l’esprit du public avec le dépôt contesté. En outre, le consommateur pourra penser être confronté à des prestations en lien avec la marque antérieure, telles que des facilités de transport et de stationnement pour se rendre au musée. L’examinateur de l’INPI considère que l’usage du dépôt « LE LOUVRE AUTOMOBILE » est susceptible de tirer indûment profit du caractère distinctif ou de la renommée de la marque antérieure « LOUVRE ». La demande de marque contestée sera seulement enregistrée pour les services d’assurances.

 

3. Parasitisme : une nouvelle affaire de parasitisme pour le parfum « La petite Robe noire »(4)

 

Les affaires de parasitisme dans le domaine de la parfumerie sont nombreuses. Ces créations olfactives sont très souvent rattachées à une identité visuelle forte construite autour de campagnes publicitaires.

La Maison Guerlain a, à nouveau, été confrontée à la reprise de son parfum « La petite Robe noire ». En 2013, Guerlain avait déjà obtenu la condamnation d’une société de parfums et cosmétiques qui commercialisait une gamme de cinq eaux de toilettes reprenant l’univers et les éléments caractéristiques de son célèbre parfum.

L’identité visuelle du parfum « La petite Robe noire » repose sur une silhouette féminine dessinée sans visage, portant une petite robe dans un univers parisien, et sur les couleurs rose/violet faisant écho à cette féminité. Dans une nouvelle affaire portant sur un parfum « La petite Fleur noire » reprenant l’ensemble de ces éléments, la cour considère que ces choix ne s’imposaient par pour cette collection « qui aurait pu être associée à beaucoup d’autres visuels notamment floraux autres qu’une silhouette ».

 

En outre, la société s’est inspirée du nom « La petite Robe noire » en remplaçant uniquement le terme « Robe » par « Fleur » tout en conservant la majuscule et les termes « La petite » et « noire ».

La société s’est également inspirée d’un deuxième parfum de Guerlain, « La Coque d’Or », en reprenant les caractéristiques essentielles de sa forme à savoir « une même démarcation centrale, quatre pans inclinés vers le bas du flacon, chaque côté reprenant un pan plus haut que l’autre et un nœud papillon sur le dessus avec une légère courbe ».

 

La cour d’appel de Paris en a conclu que « ces similitudes, qui résultent de deux parfums notoires de la société Guerlain, ne sont pas fortuites et caractérisent le caractère intentionnel des captations » de la société parasitaire de se placer dans le sillage de la Maison Guerlain et de profiter de son savoir-faire, de son image, de sa notoriété et de ses investissements pour commercialiser son parfum « La petite Fleur noire » et ses déclinaisons.

 

La cour d’appel a prononcé à l’encontre de la société parasite une mesure d’interdiction des actes de commercialisation et de promotion des produits en France, des dommages-intérêts à hauteur de 594 000 € au titre du préjudice matériel et de 100 000 € au titre du préjudice moral causé par la dilution   du prestige de Guerlain.

 

 

4. Digital Marketing : la législation française relative à l’influence commerciale serait-elle trop stricte pour le législateur européen ?

 

L’arrêt « Google Ireland Limited »(5) du 9 novembre 2023, rendu par la Cour de Justice de l’Union européenne (CJUE), a ravivé les tensions présentes entre la législation européenne et la loi française. Par cette décision, la CJUE a jugé contraire au droit de l’Union une loi autrichienne imposant aux fournisseurs de plateformes de communication, nationaux ou étrangers, des obligations générales et abstraites de contrôle de contenus potentiellement illicites.

 

Trois plateformes établies en Irlande faisaient valoir que cette législation, issue de l’Etat membre de destination, ne respectait pas le principe du contrôle de l’Etat membre d’origine.

 

La critique adressée à la loi autrichienne fait écho aux récentes réactions de la Commission européenne à l’égard des lois françaises suivantes :

-La loi n° 2023-451 du 9 juin 2023 venant encadrer le milieu de l’influence commerciale(6) ;

-La loi n° 2023-566 du 7 juillet 2023 fixant la majorité numérique à 15 ans(7) ;

-Le projet de loi visant à sécuriser l’espace numérique (SREN).(8)

 

Selon la Commission européenne, certaines dispositions applicables aux plateformes en ligne de la loi du 9 juin 2023 surpasseraient les dispositions du règlement européen Digital Services Act (9) entré en vigueur le 25 août 2023. M. Thierry Breton, commissaire européen au marché intérieur, avait d’ailleurs annoncé devant le Parlement européen que « les États membres devraient s’abstenir d’adopter des législations nationales qui feraient double emploi ».

 

Les démarches françaises soulevaient notamment deux problématiques :

 

-La possible violation du principe d’origine : les entreprises du net sont, en principe, censées respecter les règles du pays dans lequel se trouve leur siège social et non celles du pays dans lequel leur service est accessible ;

-Le non-respect de la procédure de notification : le législateur français aurait dû attendre une période de trois mois afin que la Commission achève l’examen de la loi relative à l’influence commerciale.

 

Face aux remontrances de Bruxelles, l’article 3 du projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière d’économie, de finances, de transition écologique, de droit pénal, de droit social et en matière agricole(10) a été introduit mercredi 15 novembre dernier afin de permettre au gouvernement d’apporter, par voie d’ordonnances, diverses modifications à la loi encadrant les activités des influenceurs.

 

 

 

5. Digital Marketing : les avancées en matière de publicité éco-responsable

 

Fin septembre 2023, le Parlement et le Conseil se sont accordés provisoirement sur les règles interdisant les publicités trompeuses et favorisant la transparence de l’information aux consommateurs dans le cadre de la proposition de directive visant à donner aux consommateurs les moyens d’agir en faveur de la transition écologique. Cette proposition a été présentée par la Commission européenne le 30 mars 2022.(11)

 

Cet accord entre le Parlement et le Conseil permet de compléter la liste des pratiques commerciales interdites. Apparaissent, en particulier, les problématiques liées à l’écoblanchiment ainsi qu’à l’obsolescence programmée des marchandises. Les pratiques suivantes seront désormais prohibées (liste non exhaustive) :

-Les mentions environnementales imprécises telles que « respectueux de l’environnement », « naturel », « biodégradable », etc. ;

-Les labels de durabilités attribués par un système de certification autre que ceux établis par les autorités publiques ;

-Les incitations aux consommateurs à remplacer inutilement leurs produits encore en bon état de fonctionnement.

 

Par ailleurs, les députés ont prévu la mise en place d’un label ayant pour objectif de promouvoir les produits bénéficiant d’une garantie étendue, afin de faciliter l’achat de produits durables.

 

 

 

 

 

---

 

 

1. Cour de cassation, 15 novembre 2023, pourvoi n° 22-23.266
2. Article 2224 du code civil : « Les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer. »
3. Décision d’opposition INPI du 10 octobre 2023 n° OP22-4385
4. Cour d’appel de Paris, Pôle 5, Chambre 1, 20 septembre 2023, RG n° 21/19365
5. CJUE, affaire C‑376/22, « Google Ireland e.a. »
6. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047663185
7. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047663185
8. https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000047533100/
9. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2065
10. 10. https://www.senat.fr/dossier-legislatif/pjl23-112.html
11. https://eur-lex.europa.eu/legal-content/FR/HIS/?uri=CELEX:52022PC0143

 

Attribution d’une délégation de service public en matière de mobilités. Sanction d’une méthode d’analyse des offres structurellement irrégulière dès lors qu’elle intègre un paramètre extérieur à leur valeur réelle, tenant au nombre d’offres déposées. Annulation corrélative de l’entière procédure de mise en concurrence. Keolis, délégataire sortant, était conseillé par Joffe & Associés (Mathieu Gaudemet & Marie-Alix Mallet).

 

Retrouvez l’ordonnance du 31 octobre 2023 en cliquant ici.

Introduit par le règlement européen « Foreign Subsidies Regulation » (FSR) adopté en fin d’année dernière, ce nouveau dispositif entré en vigueur le 12 octobre 2023 repose sur une obligation de notification de toutes les opérations franchissant les seuils prévus par le Règlement FSR dont les accords seront conclus à compter de cette date.

 

Les principaux points de vigilance concernant le contrôle des concentrations du Règlement FSR (qui est distinct et autonome par rapport au contrôle des concentrations « classique ») sont les suivants :

 

• Notification préalable obligatoire et suspensive à la Commission européenne des concentrations pour lesquelles :

• l’entreprise acquise, une des parties à la fusion ou l’entreprise commune (i) est établie dans l’Union européenne et (ii) a réalisé un chiffre d’affaires supérieur à 500 millions d’euros au sein de l’Union européenneau cours du dernier exercice clos

  ET

• les entreprises concernées par l’opération (le ou les acquéreurs ; l’entreprise acquise ; les parties à la fusion ; les entreprises créatrices d’un entreprise commune ; l’entreprise commune) ont reçu de pays tiers à l’Union européennedes contributions financières excédant un total de 50 millions d’euros au cours des trois années ayant précédé la conclusion de l’accord(toutes subventions étrangères et  toutes entreprises concernées confondues ; en ce incluses les subventions reçues par les groupes auxquelles elles appartiennent, sauf pour ce qui concerne la cible).

• La notion de subventions étrangères au sens du Règlement FSR recouvre toutes les subventions octroyées à des entreprises par le gouvernement d’un Etat qui n’est pas membre de l’Union européenne ou par une entité publique ou privée d’un tel Etat dont les actes peuvent être attribués à ce dernier. Cette notion est largement définie et inclut notamment les transferts de fonds ou de passifs (apports en capital, subventions, prêts…), les abandons de recettes normalement exigibles (telles que des exonérations fiscales) ainsi que la fourniture ou l’achat de biens ou services par l’entreprise à l’Etat tiers (dans ce cas, le revenu des ventes concernées est considéré comme une subvention étrangère).

• Il n’y a pas d’interdiction de principe des opérations ayant bénéficié de subventions étrangères, la Commission appréciant, au cas par cas, si les subventions étrangères reçues par les entreprises concernées d’une opération notifiée sont susceptibles de générer des distorsions de concurrence.

• Comme en contrôle des concentrations « classique », les concentrations franchissant les seuils susvisés doivent être notifiées préalablement à leur réalisation et la notification est à la charge du ou des acquéreurs (i.e. l’entreprise qui acquiert le contrôle de la cible, les entreprises qui fusionnent ou les entreprises qui acquièrent le contrôle d’une entreprise commune).

• Le règlement d’exécution du Règlement FSR prévoit un formulaire de notification, détaillant les informations à fournir obligatoirement à la Commission européenne : description de la concentration, information sur les parties, seuils de notification, contributions financières étrangères, incidences de celles-ci sur le marché intérieur, effets positifs possibles.

• L’examen de la notification comprend une phase d’examen préliminaire de 25 jours ouvrés, pouvant être prolongée d’une phase d’examen approfondi de 90 jours ouvrés supplémentaires lorsque la Commission dispose de suffisamment d’éléments indiquant que les subventions étrangères sont susceptibles de fausser le marché intérieur.

• A l’issue de son examen de l’opération notifiée, la Commission peut (i) autoriser l’opération sans conditions, (ii) assortir son autorisation d’engagements structurels ou comportementaux ou (ii) interdire l’opération.

• Concernant les sanctions, l’absence de notification d’une opération franchissant les seuils du Règlement FSR, la réalisation d’une opération notifiée avant son autorisation ainsi que la réalisation d’une concentration interdite exposent les entreprises concernées à une amende pouvant atteindre 10 % de leur chiffre d’affaires total. La fourniture de renseignements inexacts ou dénaturés dans la notification est passible d’une amende pouvant atteindre 1 % du chiffre d’affaires total réalisé au cours de l’exercice précédent.

 

En pratique, pour ce qui concerne vos prochaines opérations de concentration, il faudra tenir compte de ce nouveau dispositif :

 

 

• En amont de l’opération : vérifier si le seuil de 500 millions d’euros de chiffre d’affaires au sein de l’Union européenne est franchi et, dans cette hypothèse, identifier et calculer le montant des subventions étrangères reçues au cours des trois dernières années.
• Lors de la phase préparatoire : intégrer les contraintes de calendrier liés à la préparation de la notification et à l’examen de l’opération par la Commission.
• Pour la rédaction de la documentation contractuelle : insérer une condition suspensive spécifique au Règlement FSR.

Pour être tout à fait complet, en plus de ce dispositif de contrôle des concentrations, le Règlement FSR prévoit également un système de notification des participations à des procédures de passation de marchés publics au sein de l’Union européenne par des entreprises bénéficiant de subventions étrangères (avec des seuils spécifiques), ainsi qu’un outil permettant à la Commission européenne d’ouvrir une enquête de sa propre initiative pour toutes les autres situations de marché, lorsqu’elle soupçonne l’existence de subventions étrangères génératrices de distorsions de concurrence.

 

Article rédigé par Olivier Cavezian et Antoine Burgensis.

Téléchargez la newsletter ici. English version below.

 

1) SANCTION CNIL : LA SOCIÉTÉ SAF LOGISTICS CONDAMNEE A 200 000 EUROS D’AMENDE

Le 18 septembre 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la société de fret aérien chinoise SAF LOGISITIC  d’une amende de 200 000 euros et a publié la sanction sur son site internet.

 

La sévérité de cette sanction se justifie par la gravité des manquements commis par la société :

 

• Non-respect du principe de minimisation(article 5-1 c du RGPD) : le responsable de traitement ne doit en effet collecter que les seules données nécessaires à la finalité du traitement. Or, en l’espèce, la société collectait des données personnelles des membres de la famille des salariés (identité, coordonnées, fonction, employeur et situation maritale) qui n’avaient aucune utilité apparente.
• Collecte illicite de données sensibles (article 9 du RGPD) et de données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10) : il était en l’espèce demandé à des salariés de renseigner des données dites sensibles, à savoir le groupe sanguin, l’appartenance ethnique et l’affiliation politique. Or, par principe, la collecte de données sensibles est interdite. Elle est permise par exception, si elle apparaît légitime au regard de la finalité du traitement et que le responsable de traitement dispose d’une base légale adaptée, ce qui n’était pas le cas en l’espèce. Par ailleurs, SAF LOGISITIC collectait et conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, faisant déjà l’objet d’une habilitation par les autorités compétentes après enquête administrative. Ainsi, une telle collecte n’apparaissait pas nécessaire.
• Absence de coopération avec l’autorité de contrôle (article 31 du RGPD) : La CNIL a en outre considéré que la société avait délibérément tenté d’entraver la procédure de contrôle. Ainsi, SAF LOGISITIC n’a traduit que partiellement le formulaire qui était rédigé en langue chinoise. Ainsi les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. A noter que le manque de coopération constitue un facteur aggravant lors de la détermination du montant de la sanction par l’autorité de contrôle.

 

2) LE RESPONSABLE DE TRAITEMENT ET LE SOUS-TRAITANT SONT RESPONSABLES EN CAS DE NON-CONCLUSION D’UN ACCORD DE PROTECTION DES DONNEES

 

Le 29 septembre 2023, l’Autorité de Protection des Données belge (APD) a rendu une décision apportant des éclairages intéressants sur d’une part les obligations à la charge du responsable de traitement et du sous-traitant et d’autre part sur la correction tardive des manquements au RGPD. A cet égard, l’ADP a indiqué que :

 

• Le responsable du traitement et le sous-traitant ont tous deux violé les dispositions de l’article 28 du RGPD en ne concluant pas d’accord de protection des données (DPA) dès le début du traitement de données. L’obligation de conclure un contrat ou d’être lié par un acte juridique contraignant pèse à la fois sur le responsable du traitement et sur le sous-traitant et non sur le seul responsable du traitement.
• La clause de rétroactivité prévue au sein des DPA n’est pas de nature à pallier l’absence de contrat au moment des faits : seule la date de signature du DPA doit être prise en compte pour déterminer la conformité du traitement concerné. L’ADP rappelle que si une telle rétroactivité devait être admise, elle permettrait de facto de contourner l’application dans le temps de l’obligation de l’article 28.3. du RGPD. Or, le RGPD a lui-même prévu un délai de 2 ans séparant son entrée en vigueur de son entrée en application pour une mise en conformité progressive par toutes les entités concernées en vue de garantir la protection des droits et des personnes concernées.

 

3) UNE NOUVELLE PLAINTE VISE LA START-UP D’OPENAI A L’ORIGINE DE L’INTELLIGENCE ARTIFICIELLE GENERATIVE CHATGPT

 

L’Office polonais pour la protection des données a ouvert une enquête à la suite du dépôt de plainte du chercheur polonais, Lukasz Olejnik contre la start-up Open AI en septembre 2023. Cette plainte met en exergue les multiples manquements du chatbot au respect du Règlement général sur la protection des données (RGPD).

 

Les manquements au RGPD soulevés par la plainte

La plainte recense de nombreuses infractions au RGPD, notamment une violation des articles suivants :

 

• L’article 5 relatif à l’obligation d’exactitude des données et le traitement loyal de celles-ci (il existe une obligation de limitation des finalités) ;
• L’article 6 relatif à la base légale du traitement ;
• Les articles 12 et 14 relatifs à l’information des personnes concernées ;
• L’article 15 sur le droit d’accès pour la personne concernée aux informations sur le traitement de ses données ;
• L’article 16 sur le droit pour les personnes concernées de rectifier les données à caractère personnel qui sont inexactes.

 

Les intérêts légitimes poursuivis par OpenAI semblent difficilement contrebalancer les atteintes portées à la vie privée des utilisateurs.

 

Des plaintes répétées à l’encontre d’OpenAI 

Ce n’est pas la première fois que, depuis sa mise en ligne, le logiciel ChatGPT est visé par de telles accusations. A l’échelle mondiale, huit plaintes ont été déposées cette année en raison de manquements à la protection des données personnelles. Sont notamment relevés :

• L’absence de consentement des personnes dans le traitement de leurs données
• Le traitement inexacte des données
• L’absence de filtre permettant de vérifier l’âge des individus
• Le non-respect du droit à l’opposition.

 

La technique du « scraping », dont cette intelligence artificielle fait usage (technique qui permet une extraction automatique de nombreuses informations issues d’un ou plusieurs sites web) a été signalée par la CNIL dès 2020 dans une série de recommandations visant à encadrer ladite pratique dans le cadre de la prospection commerciale. Ces contrôles avaient mené la CNIL à soulever divers manquements à la législation sur la protection des données, tels que :

 

 

• L’absence d’information des personnes visées par le démarchage ;
• L’absence de consentement des personnes avant leur démarchage ;
• L’absence du respect de leur droit d’opposition.

 

Vers un meilleur encadrement de l’intelligence artificielle ?

En avril 2021, la Commission européenne a fait une proposition de règlement précisant de nouvelles mesures afin de veiller à ce que les systèmes d’intelligence artificielle utilisés dans l’Union Européenne soient sûrs, transparents, éthiques et sous contrôle humain. Ce règlement prévoit un classement de systèmes à haut risque, risque limité et risque minimal, en fonction de leurs caractéristiques et finalités.

En attendant l’entrée en vigueur de ce règlement, la CNIL veille à apporter des réponses concrètes aux problématiques portées par l’intelligence artificielle. A ce titre, elle a déployé en mai 2023 un plan d’action destiné à devenir un cadre de régulation dont l’objectif est de permettre le déploiement opérationnel de systèmes d’intelligence artificielle respectueux des données personnelles.

 

4) TRANSFERT DE DONNEES VERS LES ETATS-UNIS

 

La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation permettant les transferts de données transatlantiques, dénommée « Data Privacy Framework » (DPF).

Depuis le 10 juillet, il est ainsi possible pour les entreprises soumises au RGPD de transférer des données personnelles aux sociétés américaines certifiées « DPF » sans recourir aux clauses contractuelles types de la Commission européenne et aux mesures supplémentaires. Cela a été rappelé par le CEPD le 18 juillet 20231.

A noter que le Royaume-Uni a également conclu un accord avec les Etats-Unis relatif au transfert de données qui entrera en vigueur le 12 octobre prochain.

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait invalidé dans un arrêt du 16 juillet 2020 le « Privacy Shield », la précédente décision d’adéquation qui permettait le transfert des données personnelles vers les Etats-Unis.

 

1)Le contenu du « Data Privacy Framework »

La décision du 10 juillet 2023 formalise nombre de garanties contraignantes pour tenter de remédier aux faiblesses du « Privacy Shield » invalidé deux ans auparavant.

 

a)Les nouvelles obligations

Afin de se prévaloir de ce nouveau cadre et être destinataire de données personnelles de résidents européens, les entreprises américaines devront notamment :

• Déclarer adhérer aux principes de protection des données personnelles du DPF (minimisation des données, durées de conservation, sécurité…).
• Indiquer un certain nombre d’informations obligatoires : le nom de l’organisation concernée, la description des finalités pour lesquelles le transfert de données personnelles est nécessaire, les données personnelles couvertes par la certification ainsi que la méthode de vérification choisie.
• Formaliser une politique de confidentialité conforme aux principes du DPF et préciser le type de recours indépendant pertinent offert aux détenteurs premiers des données, ainsi que l’organe statutaire compétent pour assurer le respect de ces principes.

 

Le Ministère du Commerce américain (US Department of Commerce) a ouvert le lundi 17 juillet le site web du programme « Data Privacy Framework », qui offre aux entreprises un guichet unique où elles peuvent adhérer au DPF et répertorie la liste des entreprises qui y ont adhéré.

Les entreprises américaines adhérentes doivent conduire chaque année des auto-évaluations afin de démontrer leurs respects aux exigences du DPF. En cas de violation de ces principes, le Ministère du Commerce américain peut infliger des sanctions.

Il convient de noter que les entreprises déjà affiliées au Privacy Shield sont automatiquement affiliées au DPF sous réserve de mettre à jour leur politique de confidentialité avant le 10 octobre 2023.

 

1. b) La création d’une Cour de révision de la protection des données

Le DPF se montre innovant puisqu’il instaure une Cour de révision de la protection des données (Data Protection Review Court, DPRC) permettant à la fois un accès facilité, impartial et indépendant à des recours pour les résidents de l’Union européenne mais aussi une prise en charge effective des manquements aux règles issues du cadre UE-Etats-Unis. Cette Cour est en effet dotée de pouvoir d’enquête et peut ordonner des mesures correctives contraignantes, telle que, par exemple, la suppression des données importées illégalement.

 

1. c) Un nouveau mécanisme de recours pour les ressortissants de l’Union européenne

Le mécanisme de recours prévu s’effectuera à deux niveaux :

 

• Dans un premier temps, la réclamation sera portée auprès de l’autorité nationale compétente (par exemple, la CNIL en France). Cette autorité sera le point de contact du plaignant et lui transmettra toutes les informations relatives à la procédure. La réclamation est communiquée aux Etats-Unis via le Comité européen de la protection des données (CEPD) où elle est examinée par le délégué à la protection des libertés qui statue sur l’existence ou non d’une violation.
• Le plaignant pourra faire appel de la décision du délégué à la protection des libertés civiles devant la DPRC. La DPRC sélectionnera dans chaque cas un « special advocat » ayant l’expérience requise pour assister le plaignant.

D’autres voies de recours comme l’arbitrage sont également disponibles.

 

2) Les évolutions à venir : de nouvelles batailles judiciaires ?

 

Ce nouveau cadre juridique sera soumis à des examens périodiques, le premier étant prévu l’année suivant l’entrée en vigueur de la décision d’adéquation. Ces contrôles seront réalisés à la fois par la Commission européenne, les autorités américaines compétentes (U.S. Department of Commerce, Federal Trade Commission et le U.S. Department of Transportation) mais aussi par divers représentants des autorités européennes de protection des données.

Malgré la mise en place de ces nouveaux garde-fous, la riposte judiciaire a déjà eu lieu.

Le 6 septembre dernier, le député français Philippe Latombe (MoDem) a déposé deux plaintes auprès de la CJUE en vue d’obtenir l’annulation du DPF. Max Schrems, président de l’association autrichienne de défense de la vie privée « Noyb », à l’origine des recours contre les anciens accords (Safe Harbor et Privacy Shield), devrait très probablement lui emboîter le pas.

 

5) QUESTIONS AUTOUR DU CHAMP D’APPLICATION MATERIEL DU RGPD

 

Une position clivante d’un avocat général concernant le champ d’application matériel du RGPD, pourrait, si elle est suivie par la CJUE, limiter nettement l’application du RGPD à de nombreux secteurs d’activité (affaire C-115/22).

En l’espèce, les nom et prénom d’une sportive autrichienne testée positive au contrôle antidopage avait été publié sur le site Internet accessible au public de l’Agence indépendante de lutte contre le dopage autrichienne (NADA).

La sportive a saisi la Commission indépendante d’arbitrage autrichienne (l’USK) d’une demande de réexamen de cette décision. Cet organe s’interroge notamment sur la compatibilité avec le RGPD de la publication sur Internet des données à caractère personnel d’un sportif professionnel dopé. Un renvoi préjudiciel auprès de la CJUE est alors effectué.

L’avocat général considère que le RGPD n’est pas applicable en l’espèce dans la mesure où les règles antidopage réglementent essentiellement les fonctions sociales et éducatives du sport plutôt que ses aspects économiques. Or, il n’existe actuellement aucune règle de droit de l’Union relative aux politiques de lutte contre le dopage des États membres. À défaut de lien entre les politiques de lutte contre le dopage et le droit de l’Union, le RGPD ne saurait régir de telles activités de traitement.

 

Cette analyse de fonde sur l’article 2.2.a) du RGPD qui prévoit :

« Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; »

Les contours du champ d’intervention de l’Union sont variables et imprécis, entraînant en conséquence une incertitude quant à l’application du RGPD à certains secteurs.

À titre subsidiaire et si le RGPD devait s’appliquer, l’avocate générale considère en tout état de cause que la décision du législateur autrichien d’imposer la divulgation au public des données à caractère personnel des sportifs professionnels violant les règles antidopage applicables n’est pas, aux termes du règlement, subordonnée à un examen de proportionnalité.

Les conclusions de l’avocat général ne lient toutefois pas la CJUE. La décision de la juridiction européenne est en conséquence attendue avec attention, en ce qu’elle permettra de préciser les contours de l’application du RGPD.

 

---

1En mars dernier, la CNIL italienne est allée jusqu’à suspendre temporairement ChatGPT sur son territoire en raison d’une présomption de violation des règles de l’Union européenne en matière de protection des données.

OpenAI omis de mettre en place un système de vérification de l’âge des utilisateurs. Dans la continuité de cet évènement, un recours collectif américain a dénoncé le 28 juillet dernier l’accessibilité des services aux mineurs de moins de 13 ans ainsi que l’utilisation de méthodes de « scraping » auprès de plateformes telles qu’Instagram, Snapchat ou même Microsoft Teams.

2Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle

 

Cyberscore : dans le rapport du Sénat pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public du 16 février 2022, la sénatrice Mme Anne-Catherine Loisier indiquait qu’en dépit d’une augmentation croissante des cyberattaques[1], les entreprises ne modifiaient pas leur comportement face à la menace[2].

 

Partant du constat que la cybersécurité était une contrepartie indispensable à l’économie numérique et plus largement, à la numérisation de tous les pans de la société, le législateur a donc imposé de nouvelles obligations à la charge des opérateurs de plateforme.

La loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (dite « Loi Cyber-score ») a introduit dans le code de la consommation[3] une obligation d’information des consommateurs quant au niveau de sécurité des opérateurs de plateforme ainsi que celui des données qu’ils hébergent.

 

Cette loi apporte une obligation d’information des opérateurs numériques à destination des utilisateurs de leurs services sur le niveau de sécurité de leurs données, qui n’était pas prévue par le règlement général sur la protection des données (« RGPD »). Ce dernier ne prévoit en effet que la mise en place de mesures de sécurité des données personnelles, sans toutefois informer les personnes concernées quant à leur robustesse[4].

 

Le nouvel article L.111-7-3 du code de la consommation dispose ainsi que :

 

« Les opérateurs de plateformes en ligne (…)dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur (…), portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation (…) ».

L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.

(…)

 

Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. »

 

 

La loi cyber-score est entrée en vigueur le 1^er octobre 2023.

Le décret d’application et l’arrêté précisant ses modalités d’application sont en attente de publication.

 

 

1. Qui est concerné par cette obligation de communication ?

 

 

Le champ d’application est particulièrement large dès lorsqu’il concerne (i) les opérateurs de plateforme en ligne définis à l’article L111-7 du code de la consommation et (ii) les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, dont l’activité dépasse un certain seuil fixé par décret. Le projet de décret prévoit un seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024[5]. L’objectif du législateur est en effet de ne pas pénaliser les très petites entreprises (TPE), les PME ou les start-ups innovantes en matière de services en ligne.

 

 

Concrètement, les plateformes numériques (places de marché, les sites comparateurs, les moteurs de recherche, réseaux sociaux…), les services de messagerie et les logiciels de visioconférence à destination du grand public sont concernés par l’obligation de réaliser des audits de cyber-sécurité et de communiquer le résultat au public sous réserve de dépasser le seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024.  

 

 

2. Quelles sont les modalités de l’audit de cybersécurité ?

 

Les opérateurs concernés devront faire appel à un prestataire d’audit de sécurité des systèmes d’information (PASSI) qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’audit sera réalisé sur la base d’informations ouvertes, librement accessible et de manière non intrusive par le prestataire et portera sur la sécurisation et la localisation des données. A cet égard, une localisation au sein de l’Union européenne est une garantie de sécurité des données, au regard de l’application du RGPD, mais également en enjeu de souveraineté numérique.

La localisation des données n’est toutefois pas le seul critère à prendre en compte. Le projet d’arrêté prévoit les points de contrôle suivants[6] :

 

• Organisation et gouvernance (assurance cyber, certification de sécurité, …)
• Protection des données (mesures de sécurité relative à l’hébergement des données, exposition des données à des législations extraterritoriales, partage des données à des tiers)
• Connaissance et maîtrise du service numérique (cartographie des informations traitées par le service numérique et sensibilité, cartographie des prestataires, existence de mécanismes de cloisonnement réseau visant à prémunir le service numérique d’une attaque par rebond sur les environnements mutualisés)
• Niveau d’externalisation (localisation des infrastructures d’hébergement du service numérique en UE…)
• Niveau d’exposition sur internet (réalisation de scans de sécurité régulier, mise en œuvre d’une solution visant à se prémunir des dénis de service (DDoS), gestion de l’identification / authentification des utilisateurs…)
• Dispositif de traitement des incidents de sécurité
• Audits du service numérique (Réalisation d’audits de sécurité réguliers avant la mise en œuvre du service numérique (audit/Bug bounty/etc.))
• Sensibilisation aux risques cyber et lutte anti-fraude (sensibilisation aux risques de cybersécurité, Avertissement des usagers sur les risques cyber d’escroqueries et de fraudes et recommandations de précaution…)
• Développement sécurisé (prise en compte des règles OWASP…)

 

Il convient de noter que les points de contrôle suscités doivent déjà être pris en compte par les entreprises dans le cadre de leur mise en conformité au RGPD.

 

Il convient d’attendre la publication de l’arrêté pour avoir une grille exhaustive des points de vérification de l’audit de cyber-sécurité.

 

3. Comment afficher le cyber-score ?

 

A l’instar du « nutriscore », le législateur prévoit que l’opérateur économique doit publier un « cyberscore » sur son site. Le projet d’arrêté indique que le marquage devra être apposé de manière visible sur l’écran d’accueil et que le score d’audit cyberscore et sa date de réalisation devront apparaitre de manière visible dans les mentions légales du service en ligne.

 

Le résultat du cyber-audit, quel qu’il soit, devra être affiché de manière claire et accessible sur le site de l’opérateur.

L’objectif est en effet de permettre aux consommateurs usagers d’être mieux informés quant à la protection de leurs données en ligne.

 

4. Quelles sont les sanctions en cas de non-respect ?

 

En cas de manquement à cette obligation et conformément à l’article Article L131-4 du code de la consommation, l’opérateur encourt une amende administrative infligée par la DGCCRF dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.

En outre, un cyber-score faible portera nécessairement atteinte à l’image de l’opérateur concerné et diminuera la confiance des utilisateurs de son site.

 

***

 

Dans ce contexte, il est essentiel pour les entreprises concernées de mettre en place dès à présent les mesures de sécurité technique et organisationnelle adaptées.

Le département IT/Data du cabinet Joffe & Associés vous accompagne dans la mise en conformité de vos plateforme (mise en conformité RGPD, sécurisation des relations avec les tiers, sensibilisation à la cyber-sécurité…).

Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

 

---

 

[1] Selon le rapport, 54% des entreprises déclaraient avoir subi au moins une cyber-attaque en 2021 et 30% des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques.

[2] Rapport Sénat n°503 p6 https://www.senat.fr/rap/l21-503/l21-5031.pdf

[3] Article L.111-7-3 du code de la consommation

[4] Article 32 du RGPD

[5] https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-decret-cyberscore.pdf

[6]https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-arrete-cyberscore.pdf

Le Digital Service Act est entré en vigueur le 25 août 2023 pour les très grandes plateformes. Dans ce contexte, Emilie de Vaucresson a été invitée à répondre aux questions du magazine Followed. 

 

Pour télécharger l’article publié dans le n°44 du magazine Followed, cliquez ici. 

 

Pour en savoir plus sur le magazine Followed, c’est par ici. 

 

 

 

 

 

 

Téléchargez notre newsletter ici.

 

Actions en réparation du préjudice causé par une pratique anticoncurrentielle : la Cour de cassation confirme un courant jurisprudentiel initié par les juges du fond en précisant que le délai de prescription quinquennal ne saurait courir tant que la victime n’a pas connaissance des faits « de nature à manifester l’existence d’un comportement fautif »

 

La Chambre commerciale de la Cour de cassation a rendu, le 30 août 2023 (pourvoi n°22-14.94), un arrêt très attendu sur la question du point de départ du délai de prescription de l’action indemnitaire consécutive à des pratiques anticoncurrentielles (abus de position dominante – dénigrement de médicaments) sanctionnées par l’Autorité de la concurrence.

 

La Haute juridiction a rejeté le pourvoi formé par les sociétés Sanofi contre l’arrêt rendu le 9 février 2022 par la Cour d’appel de Paris (RG n°19/19969), qui avait jugé que seule la lecture de la décision de sanction de l’Autorité de la concurrence avait pu révéler au demandeur – la Caisse Nationale d’Assurance Maladie (CNAM) – « l’existence d’un dommage réparable », « rattachable à une faute commise par les sociétés Sanofi », lui permettant « d’agir utilement devant une juridiction commerciale ».

 

La Cour de cassation confirme : la Cour d’appel, dont les constatations et appréciations sont souveraines, a exactement décidé que « seule la décision de l’Autorité avait donné connaissance à la CNAM des faits et de leur portée lui permettant d’agir en réparation de son préjudice » (soulignement ajouté).

La Cour de cassation précise : il résulte des constatations et appréciations de la Cour d’appel qu’avant cette décision la CNAM n’était pas en mesure de déterminer si les faits dont elle avait connaissance « étaient de nature à manifester l’existence d’un comportement fautif » (soulignement ajouté).

L’existence d’un comportement fautif n’avait pu être établie, en l’occurrence et comme dans bien des actions indemnitaires consécutives à des décisions de sanction de l’Autorité de la concurrence, qu’en rapportant ces faits dont la CNAM avait connaissance aux « autres éléments matériels issus de l’instruction » menée par l’Autorité de la concurrence, puis en les examinant « dans leur globalité et à la lumière d’une analyse concurrentielle ».

 

Autrement dit : le délai de prescription quinquennal de l’article 2224 du Code civil ne court qu’à compter de la date à laquelle la victime a connaissance d’un dommage rattachable à un comportement fautif (i.e. un dommage réparable). De simples soupçons ne suffisent pas. En matière d’actions en réparation du préjudice causé par une pratique anticoncurrentielle, la spécificité de la faute civile et sa délicate caractérisation expliquent que ce délai ne court habituellement qu’à compter de la décision de sanction.

 

La connaissance d’une pratique qui serait « susceptible » d’enfreindre le droit de la concurrence n’est pas suffisante pour permettre à la victime d’agir utilement et donc pour faire courir le délai de prescription de son action. Il faut encore que la pratique anticoncurrentielle soit établie, dans ses éléments factuels et juridiques, conférant à la victime une connaissance « utile » des faits lui permettant d’agir en justice.

 

Dans cette affaire, la défense de la CNAM était assurée en première instance et en appel par Joffe & Associés (Olivier Cavézian, Tehani Goy et Fanny Callède) et devant la Cour de cassation par la SCP Foussard-Frogier (Régis Frogier).

Finance numerique : le règlement européen n°2022/2554 sur la résilience opérationnelle informatique du secteur financier (« DORA » pour Digital Operational Resilience Act) a été adopté le 14 décembre 2022 et s’appliquera à compter du 17 janvier 2025.

 

Ce règlement a pour objectif de renforcer la sureté technologique et le bon fonctionnement du secteur financier. Il fixe des exigences de sécurité de sorte que les services financiers puissent résister et se remettre des perturbations et menaces liées aux technologies de l’information et de la communication (« TIC ») dans toute l’Union européenne.

Il s’applique à un large éventail d’acteurs évoluant dans le secteur financier ainsi que leurs partenaires technologiques, tels que notamment les établissements de crédit, entreprises d’investissement, établissements de paiement, sociétés de gestion, entreprises d’assurance et prestataires tiers de services TIC opérant dans les services financiers.

 

Le règlement DORA s’articule autour de cinq chapitres qui fixent un ensemble de règles ayant un impact majeur sur les procédures de sécurités internes et les relations contractuelles des acteurs du secteur financier.

 

Les principales mesures sont les suivantes :

 

1° La gestion des risques informatiques

Le règlement DORA impose l’adoption de cadres de gouvernance et contrôle internes afin de garantir une gestion efficace et prudente de tous les risques informatiques.

Les entités financières devront également mettre en place un cadre de gestion des risques informatiques adapté à leurs activités leur permettant de parer aux risques informatiques de manière rapide et efficiente.

 

Ainsi, à titre préventif, elles devront :

• Utiliser et tenir à jour des systèmes, protocoles et outils de TIC adaptés, fiables et suffisamment résilients sur le plan technologique ;
• Identifier toutes formes de risques informatiques ;
• Assurer un suivi et un contrôle permanent du fonctionnement des systèmes et outils TIC ;
• Mettre en place des mécanismes de détection d’activités anormales ;
• Définir des processus et mesures d’amélioration continus, une politique de continuité des activités, une politique de sauvegarde et des procédures et méthodes de restauration et rétablissement.

 

Les entreprises concernées devront disposer de capacités et effectifs pour recueillir des informations sur les vulnérabilités, les cybermenaces et les incidents liés au TIC. A ce titre, elles devront réaliser des examens post-incidents à la suite d’incidents majeurs ayant perturbé leurs activités principales.

Cette nouvelle règlementation impose également la formalisation de plans de communication en situation de crise afin de favoriser une divulgation responsable des incidents majeurs liés au TIC.

 

Il convient de relever que le règlement prévoit un cadre simplifié de gestion du risque lié aux TIC pour certains acteurs de petites tailles comme les petites entreprises d’investissements non interconnectées.

2° Les notifications d’incidents informatiques

 

 

Les entités financières devront formaliser et mettre en œuvre un processus de gestion des incidents informatiques encadrant leur gestion, détection et notification. La règlementation DORA introduit une méthodologie standard de classification des incidents de sécurité selon des critères spécifiques (durée de l’incident, gravité des effets sur les SI, nombres d’utilisateurs touchés, …).

 

Les entités financières seront soumises à une obligation de notification des incidents informatiques classés comme majeurs auprès d’autorités compétentes nationales désignées en fonction du type d’entité financière (notamment l’ACPR et l’AMF en France) et devront leur communiquer un rapport intermédiaire et un rapport final. Ces notifications devront intervenir dans des délais fixés ultérieurement par les autorités européennes de surveillance.

 

Dans le cas où un incident qualifié de « majeur » a une incidence sur les intérêts financiers de clients, les entités financières devront également informer ces derniers, dès qu’elles en ont connaissance, de l’incident et des mesures prises pour en atténuer les effets.

 

3° Les tests de résilience opérationnelle informatique

 

Afin d’évaluer leur état de préparation en cas d’incidents informatiques et de mettre en œuvre le cas échéant des mesures correctrices, les acteurs du secteur financier devront formaliser un programme solide de tests de résilience opérationnelle numérique comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.

 

Tous les trois ans, ils devront également effectuer des tests de pénétration fondés sur la menace, réalisés par des testeurs indépendants et certifiés.

 

4° La gestion des risques liés aux tiers prestataires de services informatiques

 

Le règlement DORA introduit des principes généraux devant être respectés par les entités financières dans le cadre de leurs relations avec des tiers prestataires de services informatiques.

 

Celles-ci devront adopter une stratégie en matière de risques liés à ces tiers et tenir un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers.

 

Les entités financières devront communiquer au moins une fois par an aux autorités compétentes des informations sur les nouveaux accords relatifs à l’utilisation de services informatiques et devront les informer de tout projet d’accord contractuels portant sur l’utilisation de tels services soutenant des fonctions critiques.

Ce texte impose également aux entreprises visées de ne conclure des contrats avec ces tiers uniquement s’ils respectent des normes adéquates en matière de sécurité de l’information.

 

Les droits et obligations entre les entités financières et les prestataires de services informatiques devront être définies au sein d’un contrat écrit qui devra inclure notamment les conditions suivantes :

• Une description claire et exhaustive des services fournis ;
• Les lieux où les services seront fournis et les données traitées ;
• Des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données personnelles ;
• Des descriptions des niveaux de service ;
• L’obligation pour le prestataire de fournir à l’entité financière, sans frais supplémentaires ou à un cout déterminé ex ante, une assistance en cas d’incident informatique ;
• L’obligation pour le tiers de coopérer pleinement avec les autorités compétentes ;
• Le droit de résiliation et le délai de préavis minimal.

 

Lorsque les prestataires tiers fournissent des services informatiques soutenant des fonctions critiques ou importantes, les contrats devront définir des conditions additionnelles parmi lesquelles :

 

• L’obligation pour le prestataire de coopérer lors des tests de pénétration fondés sur la menace ;
• L’obligation pour le prestataire de mettre en œuvre des plans d’urgence et de mettre en place des mesures de sécurité fournissant un niveau approprié de sécurité ;
• Des droits illimités d’accès d’inspection et d’audit par l’entité financière ;
• Les stratégies de sorties, telles que la fixation d’une période de transition adéquate obligatoire.

 

En outre, la règlementation introduit un cadre de surveillance pour les prestataires de services informatiques tiers critiques pour les entités financières selon une série de critères (effet systémique sur la fourniture des services en cas de défaillance, importance systémique des entités financières qui dépendent de ce prestataire, degré de substituabilité du prestataire, …). Les « prestataires critiques de services informatiques » se verront imposer un cadre de surveillance au regard d’un ensemble de critères : exigences de sécurité, processus de gestion des risques, disponibilité, continuité, modalités de gouvernance, …

 

Ces prestataires feront l’objet d’évaluations effectuées par les entités de supervision qui seront dotées de prérogatives leur permettant d’effectuer des demandes d’information, de procéder à des inspections générales et des contrôles sur place et de formuler des recommandations.

 

5° Le partage d’informations et de renseignements  

 

Le règlement DORA introduit des directives sur les échanges d’information entre entités financières sur les cybermenaces. Ces échanges devront viser à améliorer la résilience opérationnelle numérique des entités financières notamment et s’opérer dans le plein respect de la confidentialité des affaires.  De plus, les entités financières se verront imposer une obligation de notification aux autorités compétentes lors de la participation à des dispositifs d’échanges d’information.

 

Enfin, ce règlement prévoit que les différentes autorités compétentes disposeront de pouvoir de surveillance, d’enquête et de sanctions en cas de non-conformité aux dispositions de ce texte.

 

Ce sont les États Membres qui auront la charge d’arrêter les règles prévoyant les sanctions administratives et les mesures correctives appropriées en cas de violation du règlement et qui veilleront à leur mise en œuvre effective. Il convient de relever que, contrairement au RGPD, ce règlement ne prévoit pas un plafond en cas de sanction pécuniaire mais impose que les sanctions soient « effectives, proportionnées et dissuasives ».

 

Notre équipe IT-Digital et Data de Joffe & Associés se tient à votre disposition pour vous accompagner dans votre démarche de mise en conformité afin d’anticiper au mieux la mise en application de ce règlement, notamment lors de la négociation des contrats avec les prestataires TIC mais aussi pour auditer les contrats en cours. A noter que le règlement DORA a une portée plus large que l’arrêté du 3 novembre 2014.

Retrouvez l’article original publié au « Village de la Justice » ici.

 

Depuis quelques années, les cyber-attaques représentent une menace réelle et croissante pour tous les professionnels dotés d’un système d’information. Les avocats, quelle que soit leur structure d’exercice, ne font pas exception à la règle et doivent en conséquence se saisir rapidement de ces questions.

 

Les risques d’attaques par rançongiciel [1] ciblant les cabinets d’avocats sont en effet d’autant plus élevés du fait qu’ils détiennent des données sensibles et hautement confidentielles sur leurs clients.

 

Or, les conséquences d’une telle attaque peuvent être dramatiques tant pour le client que pour l’avocat.

Si le premier pourrait voir tout ou partie de son dossier divulgué et ses données utilisées à des fins malveillantes (usurpation d’identité, chantage…), le second pourrait subir une suspension de son activité, sans compter les coûts liés à la remédiation de l’incident ainsi que l’atteinte au secret professionnel et à sa réputation.

 

C’est la raison pour laquelle l’ANSSI a publié le 27 juin 2023 un guide [2] relatif à l’état de la menace informatique contre les cabinets d’avocats. Ce guide a pour objectif de sensibiliser les professionnels sur ces questions et leur livrer les mesures de sécurité technique et organisationnelle à mettre en place.

 

Ces mesures de sécurité sont indispensables à la prévention du risque d’attaque ; toutefois comme le risque zéro n’existe pas, il est essentiel de disposer des bons réflexes pour réagir efficacement à une cyberattaque.

Les avocats victimes d’une cyber-attaque devraient donc suivre le plan d’action suivant :

 

1. Prendre une assurance cyber-risque.

 

L’assurance de l’Ordre des avocats du Barreau de Paris ne couvre pas à ce jour les risques liés aux cyber-attaques (vol de données, rançongiciel, etc.). Les cabinets ne doivent pas faire l’économie de souscrire à une assurance cyber-risque qui leur permettra non seulement de bénéficier d’une aide pendant la crise (mise à disposition d’experts en cybersécurité, analyse forensique, définition d’un plan de gestion, etc.) mais également de couvrir les frais liés à la remédiation et à la perte d’exploitation.

 

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’avocat doit contacter son assurance cyber-risque.

 

2. Respecter les obligations de notification et de communication issues du RGPD.

 

Les cabinets d’avocats sont eux aussi soumis au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

Le RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

 

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant un cabinet d’avocats, la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

 

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

 

L’avocat victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

 

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’avocat doit compléter son registre de violation des incidents [3].

 

3. Déposer plainte.

 

L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber. En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques [4].

 

Cette plainte peut être réalisée :
– Soit par écrit, directement auprès du procureur de la République [5] ;
– Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

 

Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent être les suivants, selon les faits de l’espèce :

 

• Atteinte à un système de traitement automatisé de données (« STAD ») [6] :

• Accès et maintien frauduleux dans un STAD
• Entrave au fonctionnement d’un STAD
• Introduction frauduleuse de données dans un STAD
• Extraction, détention, reproduction, transmission illégitime de données
• Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
• Participation à un groupe formé ou à une entente établie en vue de commettre des fraudes informatiques

 

• Escroquerie [7]
• Vol de données / recel [8]
• Usurpation d’identité numérique [9]
• Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté » [10].
• Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

 

4. Engager la responsabilité civile du prestataire.

 

Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité.

 

5. Mettre en place des actions de remédiation.

 

La sortie de crise est l’occasion de tirer les enseignements de l’incident et de repartir sur de bonnes bases.

Il peut être opportun de formaliser ou d’actualiser la politique de gestion des incidents du cabinet. La mise en place d’une politique de gestion des incidents au sein des cabinets d’avocats est non seulement indispensable à la garantie du secret professionnel mais constitue également un gage de confiance vis-à-vis des clients.

 

De même, et plus particulièrement dans le cas où l’incident est le fait du prestataire informatique agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

A défaut de réaliser ces diligences, la responsabilité du cabinet d’avocats pourrait être engagée pour manquement à son obligation de s’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.

 

Les conclusions du rapport de l’expert en sécurité permettront également de mettre à jour ou de renforcer le système d’information du cabinet pour contenir tout nouveau risque d’attaque.

Enfin, la sensibilisation des collaborateurs aux risques cyber ne doit pas être sous-estimée lorsqu’il est notoire que la grande majorité des failles de sécurité sont le fait d’une erreur humaine.

 

 

---