Newsletter DPO octobre 2024

🚨 Nouvelle newsletter DPO ! 🚨

Notre dernier numéro est disponible, avec les actualités sur le RGPD et les évolutions réglementaires. 🏛️📜

À retenir :
📈 Augmentation des sanctions simplifiées par la CNIL : 28 cas en 9 mois
🏥 800 000 € d’amende pour violation des données de santé
🧑‍⚖️ Décisions de la CJUE sur l’application du RGPD
📜 Lignes directrices de l’EDPB sur les cookies, l’intérêt légitime et la sous-traitance

 

Club Digital & Droit – IA act : la révolution juridique à l’épreuve de la réalité économique

Emilie de Vaucresson, avocate associée de l’équipe IT du cabinet, animait en ce mois de juin la masterclass « IA act : la révolution juridique à l’épreuve de la réalité économique »  dans le cadre du Club digital de l’ESSEC Alumni.

 

Retrouvez l’intégralité de son intervention en cliquant juste ci-dessous.

 

 

Détournements et deepfakes, les enjeux de la protection du droit à l’image face à l’IA

L’intelligence artificielle (IA) représente un défi désormais bien connu en matière de droit d’auteur[1] ; mais de nouveaux enjeux se dessinent également en termes de droit à l’image, un des composants du droit au respect de la vie privée. Qu’en est-il, à l’aube de l’adoption de l’IA Act ?

 

Par Véronique Dahan, avocate associée, et Jérémie Leroy-Ringuet, avocat, Joffe & Associés[2] pour le magazine Edition Multimedia n°313.

 

Malgré une entrée tardive dans le droit positif français, par la loi du 17 juillet 1970 n° 70-643, dans l’article 9 du code civil[3], le droit au respect de la vie privée est un pilier des droits de la personnalité. Le droit à l’image, qui protège le droit de s’opposer à sa reproduction par des tiers[4] en fait également partie. Parmi les composantes de l’image figurent non seulement l’aspect physique mais aussi, notamment, la voix. Le tribunal de grande instance de Paris avait ainsi considéré, en 1982, lors d’un procès relatif à des enregistrements de Maria Callas, que « la voix est un attribut de la personnalité, une sorte d’image sonore dont la diffusion sans autorisation expresse et spéciale, est fautive ».

 

Or, de même que les outils de l’IA utilisent des œuvres protégées et s’exposent à des risques de contrefaçon, leur utilisation peut consister à reproduire l’image ou la voix de personnes existantes ou décédées, par exemple en réalisant la fausse interview d’une personne défunte ou en faisant tenir à une personnalité politique un discours à l’encontre des opinions qu’elle défend. Ces usages sont-ils licites ? Quels sont les droits des personnes concernées ?

 

 

Angèle, Scarlett Johansson et les autres

 

Les exemples sont légion. A l’été 2023, un beatmaker nancéen nommé Lnkhey a remixé, au moyen de l’IA, une chanson des rappeurs Heuss l’Enfoiré et Gazo avec la voix de la chanteuse Angèle, dont les œuvres sont bien évidemment très éloignées de celles de ces rappeurs. Le remix a eu un succès tel qu’Angèle l’a elle-même repris en public lors de la Fête de l’Humanité en septembre 2023.

La même année, l’éditeur d’une application (Lisa AI) a utilisé la voix de l’actrice Scarlett Johansson dans un spot publicitaire. La publicité précisait avoir été créée par un procédé d’intelligence artificielle. Scarlett Johansson a annoncé avoir porté plainte. Le même type de mésaventure est arrivé, entre autres, à Tom Hanks et Bruce Willis.

 

D’autres images ont fait le tour du monde : celles du Pape François en doudoune blanche, d’Emmanuel Macron manifestant dans les rues de Paris ou de Barack Obama et Angela Merkel construisant un château de sable ou tendrement enlacés à la plage, par exemple

Les images de nombreuses stars de cinéma ont même été réutilisées en mars 2023 dans des vidéos à caractère pornographique diffusées sur les réseaux sociaux pour la promotion de Face Mega, un logiciel de deepfake (ou encore « hypertrucage »).

 

Une autre vidéo diffusée sur la chaine d’informations Ukraine 24 a montré Volodymyr Zelensky tenant un discours en faveur de la reddition du pays.

Ces différents exemples sont intéressants à rapprocher car ils montrent que l’usage de l’image d’une personnalité peut être totalement inoffensif, voire relever de la liberté d’expression ; être approuvés implicitement ou explicitement par la « victime » ; ou porter une atteinte grave à la victime, voire présenter un danger pour la démocratie.

Les photographies de Barack Obama et Angela Merkel sont humoristiques et ne portent aucun tort aux intéressés. Elles pourraient relever de la parodie ou de la satire légitime appliquées à des dirigeants politiques, dès lors que les images sont clairement identifiées comme ayant été créées par IA.

 

La reprise par Angèle elle-même, en concert, de la chanson créée avec sa voix et sans son autorisation peut faire penser qu’elle aurait avalisé a posteriori cette atteinte à ses droits. Mais les propos qu’elle a tenu par ailleurs dénotent une certaine gêne et une pression pesant sur elle : « Et pourquoi je ne ferais pas ce que les gens me demandent depuis des semaines ? » ; « Je sais pas quoi penser de l’intelligence artificielle. J’trouve c’est une dinguerie mais en même temps j’ai peur pour mon métier »[1]. Il est en tout cas significatif qu’elle ait préféré « surfer » sur le succès du remix plutôt que de faire valoir judiciairement une atteinte à son droit à l’image, comme le droit français lui en donne la possibilité.

 

C’est une attitude différente qu’a choisie Scarlett Johansson. La violation de son image par la reprise de sa voix dans un cadre commercial, et non artistique, est en effet moins « excusable » dans la mesure où les célébrités monnayent fréquemment l’utilisation de leur image et de leur voix par des marques, et sont en droit de refuser d’être associées à tel ou tel annonceur, même de manière rémunérée. Utiliser la voix de Scarlett Johansson sans autorisation n’est motivé par aucune prétention artistique ou satirique mais par la volonté de profiter de sa notoriété pour en tirer un avantage économique indu. Le droit français offre, bien sûr, des fondements (articles 9 et 1240 du code civil) pour faire sanctionner ce type d’atteinte.

 

La France dispose également, depuis 1994, d’un texte qui condamne d’un an d’emprisonnement et de 15 000 euros d’amende « le montage réalisé avec les paroles ou l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention »[2]. Pour que ce texte couvre mieux les deepfakes, il a fait l’objet d’un amendement du gouvernement adopté au Sénat et modifié par un autre amendement toujours discuté à l’Assemblée nationale dans le cadre du projet de loi visant à sécuriser et réguler l’espace numérique[3]. Le projet prévoit que sera « assimilé à l’infraction mentionnée au présent alinéa et puni des mêmes peines le fait de publier, par quelque voie que ce soit, un contenu visuel ou sonore généré par un traitement algorithmique et reproduisant l’image ou les paroles d’une personne, sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un contenu généré algorithmiquement ou s’il n’en est pas expressément fait mention ». Une circonstance aggravante serait caractérisée lorsque le contenu deepfake est publié sur les réseaux sociaux (ou tout service de communication en ligne) : en ce cas, les peines pourraient être portées à deux ans d’emprisonnement et 45 000 euros d’amende.

 

A aussi été proposée l’introduction d’un nouvel article 226-8-1 dans le code pénal, permettant la condamnation de la diffusion non consentie d’un hypertrucage à caractère sexuel, avec une peine de deux ans d’emprisonnement et de 60.000 euros d’amende (article 5 ter du projet de loi).

 

 

Quid de l’image « resuscitée » de personnes décédées ?

 

L’émission de télévision « L’Hôtel du Temps » diffusée sur France 3 a « ressuscité » différentes personnalités (Dalida, François Mitterrand ou encore Lady Di) grâce à des procédés d’IA tels que Face Retriever et Voice Cloning. Ces « résurrections » ont suscité de vifs débats : la personne dont on reproduit l’image et la voix aurait-elle réellement tenu ces propos ? Les héritiers disposent-ils de recours et d’un droit de regard sur les réponses de leurs ascendants ? Les archives utilisées aux fins de création de deepfake[1] sont-elles toutes utilisées légalement ?

 

Une « démocratisation » de cette pratique semble se dessiner. Lors de sa conférence « re:Mars » du 22 juin 2022[2], Amazon a annoncé une nouvelle fonctionnalité d’IA dont serait dotée son logiciel Alexa, à savoir la capacité de reproduire la parole d’un défunt, à partir d’un très court extrait d’enregistrement de sa voix, ce qui pourrait aider les personnes survivantes à faire leur deuil.

 

Mais dans le cas d’un usage non sollicité par les survivants, le fondement de l’article 9 du code civil n’est pas disponible car les droits de la personnalité sont intransmissibles aux héritiers. Ces derniers ne pourraient guère que se prévaloir d’un préjudice personnel résultant de l’atteinte à la mémoire d’un défunt. Par exemple, l’utilisation de l’image du défunt ne doit pas porter atteinte à la vie privée de ses héritiers.

 

 

Que propose le projet d’AI Act européen pour protéger les droits de la personnalité ?  

 

En avril 2021, la Commission européenne a proposé d’encadrer l’IA juridiquement. Ce n’est que le 9 décembre 2023 que les institutions européennes se sont accordées provisoirement sur un premier texte.

 

Ce texte prévoit notamment une quasi-interdiction de pratiques présentant un « risque inacceptable », notamment en matière de droit à l’image et de protection des données personnelles : extractions non ciblées d’images faciales sur Internet à des fins de création de bases de données de reconnaissance faciale, systèmes de reconnaissance des émotions sur le lieu de travail ou d’études ou encore systèmes de catégorisation biométrique. Le projet prévoit également que « les utilisateurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçus à tort comme authentiques ou véridiques (« hypertrucage ») précisent que les contenus ont été générés ou manipulés artificiellement » (article 52).

 

La difficulté est que le processus législatif ne progresse pas aussi rapidement que les outils d’IA et qu’il existe un risque d’obsolescence avant même l’adoption du texte final. D’autre part, la négociation a révélé des tensions non dissipées entre Etats membres. Ainsi, Emmanuel Macron a plaidé lundi 11 décembre 2023, lors du premier bilan du plan d’investissement France 2030, en faveur d’une accélération de l’innovation, en affirmant que l’« on peut décider de réguler beaucoup plus vite et plus fort, mais on régulera ce qu’on n’inventera pas ». La France, dont la position consistant à faire primer l’innovation sur le droit d’auteur et sur la protection des droits humains est inhabituelle, est allée jusqu’à considérer que le projet sur lequel les institutions européennes se sont accordées n’était pas définitif et pourrait encore être amendé dans le sens de moins de régulation[3].

 


[1] https://www.joffeassocies.com/intelligence-artificielle-quel-droit-dauteur-sur-les-creations-des-ia/

[2] Article rédigé avec l’aide de Bérénice Leg

[3] L’article 9 du code civil énonce que « chacun a droit au respect de sa vie privée. Les juges peuvent sans préjudice de la réparation du dommage subi prescrire toutes mesures telles que séquestres, saisies et autres, propres à empêcher ou à faire cesser une atteinte à la vie privée ; ces mesures peuvent, s’il y a urgence, être ordonnées en référé »

[4] Cass. Civ. 1re, 27 février 2007, n° 06-10393 « toute personne dispose sur son image, partie intégrante de sa personnalité, d’un droit exclusif qui lui permet de s’opposer à sa reproduction »

[5] https://www.radiofrance.fr/franceinter/a-la-fete-de-l-huma-angele-interprete-saiyan-une-reprise-generee-par-l-intelligence-artificielle-1051846

[6] Article 226-8 du code pénal

[7] https://www.assemblee-nationale.fr/dyn/16/amendements/1674/AN/880

[8] Selon la définition de l’Organisation mondiale de la Propriété intellectuelle (OMPI), « le terme “deepfake” fait référence à une technique de synthèse multimédia reposant sur l’intelligence artificielle. Elle consiste notamment à superposer des traits humains sur le corps d’une autre personne, ou à manipuler les sons, pour générer une expérience humaine réaliste ».

[9] https://remars.amazonevents.com/

[10] Le Monde, 17 et 18 décembre 2023, « Intelligence artificielle : la France n’a pas renoncé à assouplir l’AI Act »

LA COUR SUPRÊME DU ROYAUME-UNI CONFIRME QU’UNE IA NE PEUT PAS ÊTRE DÉSIGNÉE COMME INVENTEUR D’UN BREVET

Téléchargez notre article en cliquant ici.

 

La Cour Suprême du Royaume-Uni vient de confirmer ce 20 décembre, qu’une IA ne peut pas être désignée comme inventeur d’un brevet.

 

Stephen Thaler, un informaticien américain cherchait à obtenir deux brevets au Royaume-Uni pour des inventions réalisées par son système d’intelligence artificielle appelé DABUS.

 

Selon M. Thaler, DABUS serait l’inventeur d’un contenant alimentaire et d’un dispositif lumineux d’alerte innovants mettant en œuvre des principes de géométrie fractale.

 

Sa tentative d’enregistrement des brevets a été refusée en décembre 2019 par l’Office britannique de la propriété intellectuelle au motif que l’inventeur doit être un être humain et non une machine.

 

L’informaticien a fait appel de cette décision. Après plusieurs années de procédure, la Cour suprême du Royaume-Uni vient de confirmer la position de la Cour d’appel qui avait rejeté sa demande de brevets. En vertu de la législation britannique sur les brevets, « l’inventeur doit être une personne physique ».

 

Il est important de noter que le juge David Kitchin précise que « ce recours ne porte pas sur la question plus large de savoir si les avancées techniques générées par des machines agissant de manière autonome et alimentées par l’IA devraient être brevetables  (…). Il ne porte pas non plus sur la question de savoir si la signification du terme « inventeur » doit être élargie … pour inclure les machines dotées d’une intelligence artificielle qui génèrent des produits et des processus nouveaux et non évidents dont on peut penser qu’ils offrent des avantages par rapport à des produits et des processus déjà connus ».

 

Au début de l’année, Stephen Thaler avait également perdu une requête similaire aux États-Unis, où la Cour suprême avait refusé de délivrer des brevets pour des inventions créées par son système d’intelligence artificielle.

 

Cette décision n’aura a priori et à ce stade pas de conséquences significatives sur le système des brevets mais elle pose question. Déjà parce que cette décision contraste avec celle de l’Afrique du Sud qui a procédé à la délivrance du premier brevet qui mentionne une intelligence artificielle comme inventeur. Ensuite, si les tribunaux et les gouvernements décident que les inventions créées par l’IA ne peuvent pas être brevetées, les implications pourraient être importantes en matière de progrès et de retour sur investissement.

 

 

Article rédigé par Véronique Dahan, Jérémie Leroy-Ringuet et Charlotte Gauvin.

 

NEWSLETTER DECEMBRE 2023 – PROPRIETE INTELLECTUELLE & DIGITAL MARKETING

Notre équipe spécialisée en droit de la Propriété Intellectuelle (Véronique DahanJérémie Leroy-Ringuet et Charlotte Gauvin) revient sur les dernières actualités en la matière.

 

Téléchargez notre newsletter en cliquant ici.

 

  1. Droit d’auteur : le point de départ du délai de prescription de l’action civile en contrefaçon(1)

 

La Cour de cassation a récemment confirmé l’application de l’article 2224 du code civil à la prescription des actions civiles en contrefaçon de droit d’auteur, indépendamment du caractère continu de la contrefaçon. Le délai quinquennal de prescription court à compter de la commission de l’acte contrefaisant ou du jour où le titulaire du droit en a eu (ou aurait dû en avoir) connaissance.

En l’espèce, un artiste dont l’une des œuvres, une sculpture réalisée en 1985, avait été reproduite à plusieurs reprises sans son autorisation, avait obtenu la reconnaissance du caractère contrefaisant de ces reproductions par un arrêt de la cour d’appel de Paris du 17 décembre 2008.

Constatant que l’une de ces reproductions contrefaisantes était exposée dans un jardin botanique, l’artiste a proposé au directeur du jardin, par lettre du 5 mai 2020, d’engager des discussions amiables afin de convenir des contours d’une réparation de la violation de ses droits d’auteur. En l’absence de réponse, il l’a assigné le 5 mars 2021 devant le juge des référés du tribunal judiciaire de Lille en contrefaçon de droit d’auteur, afin de faire cesser le trouble manifestement illicite résultant de l’atteinte à ses droits.

La cour d’appel, faisant droit à la demande du défendeur, déclare l’artiste irrecevable en ses demandes en considérant l’action prescrite depuis le 17 décembre 2013. L’artiste se pourvoit alors en cassation et le débat porte sur la détermination du point de départ du délai de prescription en présence d’une infraction continue.

La Cour de cassation, au visa de l’article 2224 du code civil(2), confirme l’arrêt d’appel : le caractère contrefaisant ayant été reconnu par un arrêt du 17 décembre 2008, l’action intentée le 5 mars 2021 était prescrite, et cela même si la contrefaçon s’inscrivait dans la durée.

 

  1. Droit des marques : la renommée de la marque muséale « Louvre »(3)

 

Le droit des marques a toute son importance dans le secteur culturel puisque les marques offrent aux musées une source importante de revenus à travers, par exemple, la mise en place de partenariats ou le développement de produits dérivés, et en leur garantissant une visibilité accrue.

L’établissement public du Musée du Louvre a récemment formé opposition à l’encontre d’une demande de marque française portant sur le signe verbal « LE LOUVRE AUTOMOBILE », déposée par un spécialiste des voitures de luxe, la société Delage Automobiles, pour désigner des véhicules et des services de publicité, assurances, transport, location de places de garages pour le stationnement et la location de véhicules. L’établissement public du Musée du Louvre a fondé son opposition sur sa marque antérieure de l’Union européenne semi-figurative « LOUVRE », invoquant à la fois (i) le risque de confusion et (ii) l’atteinte à sa renommée.

I. L’opposition est accueillie pour les services de publicité sur le fondement du risque de confusion entre le dépôt contesté et la marque antérieure en raison de l’identité des services et de la similarité des signes. Les signes ont en commun visuellement, phonétiquement et intellectuellement, le terme « LOUVRE », élément distinctif et dominant du dépôt contesté et élément essentiel de la marque antérieure. Sont rejetés les arguments du déposant tenant à l’usage généralisé du terme « Louvre » ou à son emploi pour une rue et de nombreux commerces sans être rattachés au Musée du Louvre.

 

II. Pour les véhicules et les services de transport, location de places de garages pour le stationnement et la location de véhicules, l’opposition est accueillie sur le fondement de l’atteinte à la renommée de la marque antérieure. Il ressort des pièces produites par la société opposante un usage intensif de la marque antérieure, sa connaissance sur le marché pertinent français et son positionnement de premier plan parmi les musées nationaux et mondiaux à l’échelle de l’Europe et à l’international. La société opposante invoque l’existence d’un partenariat entre sa marque antérieure et une société automobile pour établir le risque d’association dans l’esprit du public avec le dépôt contesté. En outre, le consommateur pourra penser être confronté à des prestations en lien avec la marque antérieure, telles que des facilités de transport et de stationnement pour se rendre au musée. L’examinateur de l’INPI considère que l’usage du dépôt « LE LOUVRE AUTOMOBILE » est susceptible de tirer indûment profit du caractère distinctif ou de la renommée de la marque antérieure « LOUVRE ». La demande de marque contestée sera seulement enregistrée pour les services d’assurances.

 

  1. Parasitisme : une nouvelle affaire de parasitisme pour le parfum « La petite Robe noire »(4)

 

Les affaires de parasitisme dans le domaine de la parfumerie sont nombreuses. Ces créations olfactives sont très souvent rattachées à une identité visuelle forte construite autour de campagnes publicitaires.

La Maison Guerlain a, à nouveau, été confrontée à la reprise de son parfum « La petite Robe noire ». En 2013, Guerlain avait déjà obtenu la condamnation d’une société de parfums et cosmétiques qui commercialisait une gamme de cinq eaux de toilettes reprenant l’univers et les éléments caractéristiques de son célèbre parfum.

L’identité visuelle du parfum « La petite Robe noire » repose sur une silhouette féminine dessinée sans visage, portant une petite robe dans un univers parisien, et sur les couleurs rose/violet faisant écho à cette féminité. Dans une nouvelle affaire portant sur un parfum « La petite Fleur noire » reprenant l’ensemble de ces éléments, la cour considère que ces choix ne s’imposaient par pour cette collection « qui aurait pu être associée à beaucoup d’autres visuels notamment floraux autres qu’une silhouette ».

 

En outre, la société s’est inspirée du nom « La petite Robe noire » en remplaçant uniquement le terme « Robe » par « Fleur » tout en conservant la majuscule et les termes « La petite » et « noire ».

La société s’est également inspirée d’un deuxième parfum de Guerlain, « La Coque d’Or », en reprenant les caractéristiques essentielles de sa forme à savoir « une même démarcation centrale, quatre pans inclinés vers le bas du flacon, chaque côté reprenant un pan plus haut que l’autre et un nœud papillon sur le dessus avec une légère courbe ».

 

La cour d’appel de Paris en a conclu que « ces similitudes, qui résultent de deux parfums notoires de la société Guerlain, ne sont pas fortuites et caractérisent le caractère intentionnel des captations » de la société parasitaire de se placer dans le sillage de la Maison Guerlain et de profiter de son savoir-faire, de son image, de sa notoriété et de ses investissements pour commercialiser son parfum « La petite Fleur noire » et ses déclinaisons.

 

La cour d’appel a prononcé à l’encontre de la société parasite une mesure d’interdiction des actes de commercialisation et de promotion des produits en France, des dommages-intérêts à hauteur de 594 000 € au titre du préjudice matériel et de 100 000 € au titre du préjudice moral causé par la dilution   du prestige de Guerlain.

 

 

  1. Digital Marketing : la législation française relative à l’influence commerciale serait-elle trop stricte pour le législateur européen ?

 

L’arrêt « Google Ireland Limited »(5) du 9 novembre 2023, rendu par la Cour de Justice de l’Union européenne (CJUE), a ravivé les tensions présentes entre la législation européenne et la loi française. Par cette décision, la CJUE a jugé contraire au droit de l’Union une loi autrichienne imposant aux fournisseurs de plateformes de communication, nationaux ou étrangers, des obligations générales et abstraites de contrôle de contenus potentiellement illicites.

 

Trois plateformes établies en Irlande faisaient valoir que cette législation, issue de l’Etat membre de destination, ne respectait pas le principe du contrôle de l’Etat membre d’origine.

 

La critique adressée à la loi autrichienne fait écho aux récentes réactions de la Commission européenne à l’égard des lois françaises suivantes :

-La loi n° 2023-451 du 9 juin 2023 venant encadrer le milieu de l’influence commerciale(6) ;

-La loi n° 2023-566 du 7 juillet 2023 fixant la majorité numérique à 15 ans(7) ;

-Le projet de loi visant à sécuriser l’espace numérique (SREN).(8)

 

Selon la Commission européenne, certaines dispositions applicables aux plateformes en ligne de la loi du 9 juin 2023 surpasseraient les dispositions du règlement européen Digital Services Act (9) entré en vigueur le 25 août 2023. M. Thierry Breton, commissaire européen au marché intérieur, avait d’ailleurs annoncé devant le Parlement européen que « les États membres devraient s’abstenir d’adopter des législations nationales qui feraient double emploi ».

 

Les démarches françaises soulevaient notamment deux problématiques :

 

-La possible violation du principe d’origine : les entreprises du net sont, en principe, censées respecter les règles du pays dans lequel se trouve leur siège social et non celles du pays dans lequel leur service est accessible ;

-Le non-respect de la procédure de notification : le législateur français aurait dû attendre une période de trois mois afin que la Commission achève l’examen de la loi relative à l’influence commerciale.

 

Face aux remontrances de Bruxelles, l’article 3 du projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière d’économie, de finances, de transition écologique, de droit pénal, de droit social et en matière agricole(10) a été introduit mercredi 15 novembre dernier afin de permettre au gouvernement d’apporter, par voie d’ordonnances, diverses modifications à la loi encadrant les activités des influenceurs.

 

 

 

  1. Digital Marketing : les avancées en matière de publicité éco-responsable

 

Fin septembre 2023, le Parlement et le Conseil se sont accordés provisoirement sur les règles interdisant les publicités trompeuses et favorisant la transparence de l’information aux consommateurs dans le cadre de la proposition de directive visant à donner aux consommateurs les moyens d’agir en faveur de la transition écologique. Cette proposition a été présentée par la Commission européenne le 30 mars 2022.(11)

 

Cet accord entre le Parlement et le Conseil permet de compléter la liste des pratiques commerciales interdites. Apparaissent, en particulier, les problématiques liées à l’écoblanchiment ainsi qu’à l’obsolescence programmée des marchandises. Les pratiques suivantes seront désormais prohibées (liste non exhaustive) :

-Les mentions environnementales imprécises telles que « respectueux de l’environnement », « naturel », « biodégradable », etc. ;

-Les labels de durabilités attribués par un système de certification autre que ceux établis par les autorités publiques ;

-Les incitations aux consommateurs à remplacer inutilement leurs produits encore en bon état de fonctionnement.

 

Par ailleurs, les députés ont prévu la mise en place d’un label ayant pour objectif de promouvoir les produits bénéficiant d’une garantie étendue, afin de faciliter l’achat de produits durables.

 

 

 

 

 


 

 

  1. Cour de cassation, 15 novembre 2023, pourvoi n° 22-23.266
  2. Article 2224 du code civil : « Les actions personnelles ou mobilières se prescrivent par cinq ans à compter du jour où le titulaire d’un droit a connu ou aurait dû connaître les faits lui permettant de l’exercer. »
  3. Décision d’opposition INPI du 10 octobre 2023 n° OP22-4385
  4. Cour d’appel de Paris, Pôle 5, Chambre 1, 20 septembre 2023, RG n° 21/19365
  5. CJUE, affaire C‑376/22, « Google Ireland e.a. »
  6. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047663185
  7. https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047663185
  8. https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000047533100/
  9. https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2065
  10. 10. https://www.senat.fr/dossier-legislatif/pjl23-112.html
  11. https://eur-lex.europa.eu/legal-content/FR/HIS/?uri=CELEX:52022PC0143

 

Délégation de service public Transports/Mobilités. Précisions sur la méthode d’analyse des offres

Attribution d’une délégation de service public en matière de mobilités. Sanction d’une méthode d’analyse des offres structurellement irrégulière dès lors qu’elle intègre un paramètre extérieur à leur valeur réelle, tenant au nombre d’offres déposées. Annulation corrélative de l’entière procédure de mise en concurrence. Keolis, délégataire sortant, était conseillé par Joffe & Associés (Mathieu Gaudemet & Marie-Alix Mallet).

 

Retrouvez l’ordonnance du 31 octobre 2023 en cliquant ici.

ENTREE EN VIGUEUR DU NOUVEAU DISPOSITIF DE CONTRÔLE DES CONCENTRATIONS EUROPEEN IMPLIQUANT DES SUBVENTIONS ETRANGERES

Introduit par le règlement européen « Foreign Subsidies Regulation » (FSR) adopté en fin d’année dernière, ce nouveau dispositif entré en vigueur le 12 octobre 2023 repose sur une obligation de notification de toutes les opérations franchissant les seuils prévus par le Règlement FSR dont les accords seront conclus à compter de cette date.

 

Les principaux points de vigilance concernant le contrôle des concentrations du Règlement FSR (qui est distinct et autonome par rapport au contrôle des concentrations « classique ») sont les suivants :

 

  • Notification préalable obligatoire et suspensive à la Commission européenne des concentrations pour lesquelles :
  • l’entreprise acquise, une des parties à la fusion ou l’entreprise commune (i) est établie dans l’Union européenne et (ii) a réalisé un chiffre d’affaires supérieur à 500 millions d’euros au sein de l’Union européenneau cours du dernier exercice clos

  ET

  • les entreprises concernées par l’opération (le ou les acquéreurs ; l’entreprise acquise ; les parties à la fusion ; les entreprises créatrices d’un entreprise commune ; l’entreprise commune) ont reçu de pays tiers à l’Union européennedes contributions financières excédant un total de 50 millions d’euros au cours des trois années ayant précédé la conclusion de l’accord(toutes subventions étrangères et  toutes entreprises concernées confondues ; en ce incluses les subventions reçues par les groupes auxquelles elles appartiennent, sauf pour ce qui concerne la cible).
  • La notion de subventions étrangères au sens du Règlement FSR recouvre toutes les subventions octroyées à des entreprises par le gouvernement d’un Etat qui n’est pas membre de l’Union européenne ou par une entité publique ou privée d’un tel Etat dont les actes peuvent être attribués à ce dernier. Cette notion est largement définie et inclut notamment les transferts de fonds ou de passifs (apports en capital, subventions, prêts…), les abandons de recettes normalement exigibles (telles que des exonérations fiscales) ainsi que la fourniture ou l’achat de biens ou services par l’entreprise à l’Etat tiers (dans ce cas, le revenu des ventes concernées est considéré comme une subvention étrangère).
  • Il n’y a pas d’interdiction de principe des opérations ayant bénéficié de subventions étrangères, la Commission appréciant, au cas par cas, si les subventions étrangères reçues par les entreprises concernées d’une opération notifiée sont susceptibles de générer des distorsions de concurrence.
  • Comme en contrôle des concentrations « classique », les concentrations franchissant les seuils susvisés doivent être notifiées préalablement à leur réalisation et la notification est à la charge du ou des acquéreurs (i.e. l’entreprise qui acquiert le contrôle de la cible, les entreprises qui fusionnent ou les entreprises qui acquièrent le contrôle d’une entreprise commune).
  • Le règlement d’exécution du Règlement FSR prévoit un formulaire de notification, détaillant les informations à fournir obligatoirement à la Commission européenne : description de la concentration, information sur les parties, seuils de notification, contributions financières étrangères, incidences de celles-ci sur le marché intérieur, effets positifs possibles.
  • L’examen de la notification comprend une phase d’examen préliminaire de 25 jours ouvrés, pouvant être prolongée d’une phase d’examen approfondi de 90 jours ouvrés supplémentaires lorsque la Commission dispose de suffisamment d’éléments indiquant que les subventions étrangères sont susceptibles de fausser le marché intérieur.
  • A l’issue de son examen de l’opération notifiée, la Commission peut (i) autoriser l’opération sans conditions, (ii) assortir son autorisation d’engagements structurels ou comportementaux ou (ii) interdire l’opération.
  • Concernant les sanctions, l’absence de notification d’une opération franchissant les seuils du Règlement FSR, la réalisation d’une opération notifiée avant son autorisation ainsi que la réalisation d’une concentration interdite exposent les entreprises concernées à une amende pouvant atteindre 10 % de leur chiffre d’affaires total. La fourniture de renseignements inexacts ou dénaturés dans la notification est passible d’une amende pouvant atteindre 1 % du chiffre d’affaires total réalisé au cours de l’exercice précédent.

 

En pratique, pour ce qui concerne vos prochaines opérations de concentration, il faudra tenir compte de ce nouveau dispositif :

 

 

  • En amont de l’opération : vérifier si le seuil de 500 millions d’euros de chiffre d’affaires au sein de l’Union européenne est franchi et, dans cette hypothèse, identifier et calculer le montant des subventions étrangères reçues au cours des trois dernières années.
  • Lors de la phase préparatoire : intégrer les contraintes de calendrier liés à la préparation de la notification et à l’examen de l’opération par la Commission.
  • Pour la rédaction de la documentation contractuelle : insérer une condition suspensive spécifique au Règlement FSR.

Pour être tout à fait complet, en plus de ce dispositif de contrôle des concentrations, le Règlement FSR prévoit également un système de notification des participations à des procédures de passation de marchés publics au sein de l’Union européenne par des entreprises bénéficiant de subventions étrangères (avec des seuils spécifiques), ainsi qu’un outil permettant à la Commission européenne d’ouvrir une enquête de sa propre initiative pour toutes les autres situations de marché, lorsqu’elle soupçonne l’existence de subventions étrangères génératrices de distorsions de concurrence.

 

Article rédigé par Olivier Cavezian et Antoine Burgensis.

Newsletter DPO : le point par l’équipe IT du cabinet

Téléchargez la newsletter ici. English version below.

 

1) SANCTION CNIL : LA SOCIÉTÉ SAF LOGISTICS CONDAMNEE A 200 000 EUROS D’AMENDE

Le 18 septembre 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la société de fret aérien chinoise SAF LOGISITIC  d’une amende de 200 000 euros et a publié la sanction sur son site internet.

 

La sévérité de cette sanction se justifie par la gravité des manquements commis par la société :

 

  • Non-respect du principe de minimisation(article 5-1 c du RGPD) : le responsable de traitement ne doit en effet collecter que les seules données nécessaires à la finalité du traitement. Or, en l’espèce, la société collectait des données personnelles des membres de la famille des salariés (identité, coordonnées, fonction, employeur et situation maritale) qui n’avaient aucune utilité apparente.
  • Collecte illicite de données sensibles (article 9 du RGPD) et de données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10) : il était en l’espèce demandé à des salariés de renseigner des données dites sensibles, à savoir le groupe sanguin, l’appartenance ethnique et l’affiliation politique. Or, par principe, la collecte de données sensibles est interdite. Elle est permise par exception, si elle apparaît légitime au regard de la finalité du traitement et que le responsable de traitement dispose d’une base légale adaptée, ce qui n’était pas le cas en l’espèce. Par ailleurs, SAF LOGISITIC collectait et conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, faisant déjà l’objet d’une habilitation par les autorités compétentes après enquête administrative. Ainsi, une telle collecte n’apparaissait pas nécessaire.
  • Absence de coopération avec l’autorité de contrôle (article 31 du RGPD) : La CNIL a en outre considéré que la société avait délibérément tenté d’entraver la procédure de contrôle. Ainsi, SAF LOGISITIC n’a traduit que partiellement le formulaire qui était rédigé en langue chinoise. Ainsi les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. A noter que le manque de coopération constitue un facteur aggravant lors de la détermination du montant de la sanction par l’autorité de contrôle.

 

2) LE RESPONSABLE DE TRAITEMENT ET LE SOUS-TRAITANT SONT RESPONSABLES EN CAS DE NON-CONCLUSION D’UN ACCORD DE PROTECTION DES DONNEES

 

Le 29 septembre 2023, l’Autorité de Protection des Données belge (APD) a rendu une décision apportant des éclairages intéressants sur d’une part les obligations à la charge du responsable de traitement et du sous-traitant et d’autre part sur la correction tardive des manquements au RGPD. A cet égard, l’ADP a indiqué que :

 

  • Le responsable du traitement et le sous-traitant ont tous deux violé les dispositions de l’article 28 du RGPD en ne concluant pas d’accord de protection des données (DPA) dès le début du traitement de données. L’obligation de conclure un contrat ou d’être lié par un acte juridique contraignant pèse à la fois sur le responsable du traitement et sur le sous-traitant et non sur le seul responsable du traitement.
  • La clause de rétroactivité prévue au sein des DPA n’est pas de nature à pallier l’absence de contrat au moment des faits : seule la date de signature du DPA doit être prise en compte pour déterminer la conformité du traitement concerné. L’ADP rappelle que si une telle rétroactivité devait être admise, elle permettrait de facto de contourner l’application dans le temps de l’obligation de l’article 28.3. du RGPD. Or, le RGPD a lui-même prévu un délai de 2 ans séparant son entrée en vigueur de son entrée en application pour une mise en conformité progressive par toutes les entités concernées en vue de garantir la protection des droits et des personnes concernées.

 

3) UNE NOUVELLE PLAINTE VISE LA START-UP D’OPENAI A L’ORIGINE DE L’INTELLIGENCE ARTIFICIELLE GENERATIVE CHATGPT

 

L’Office polonais pour la protection des données a ouvert une enquête à la suite du dépôt de plainte du chercheur polonais, Lukasz Olejnik contre la start-up Open AI en septembre 2023. Cette plainte met en exergue les multiples manquements du chatbot au respect du Règlement général sur la protection des données (RGPD).

 

Les manquements au RGPD soulevés par la plainte

La plainte recense de nombreuses infractions au RGPD, notamment une violation des articles suivants :

 

  • L’article 5 relatif à l’obligation d’exactitude des données et le traitement loyal de celles-ci (il existe une obligation de limitation des finalités) ;
  • L’article 6 relatif à la base légale du traitement ;
  • Les articles 12 et 14 relatifs à l’information des personnes concernées ;
  • L’article 15 sur le droit d’accès pour la personne concernée aux informations sur le traitement de ses données ;
  • L’article 16 sur le droit pour les personnes concernées de rectifier les données à caractère personnel qui sont inexactes.

 

Les intérêts légitimes poursuivis par OpenAI semblent difficilement contrebalancer les atteintes portées à la vie privée des utilisateurs.

 

Des plaintes répétées à l’encontre d’OpenAI 

Ce n’est pas la première fois que, depuis sa mise en ligne, le logiciel ChatGPT est visé par de telles accusations. A l’échelle mondiale, huit plaintes ont été déposées cette année en raison de manquements à la protection des données personnelles. Sont notamment relevés :

  • L’absence de consentement des personnes dans le traitement de leurs données
  • Le traitement inexacte des données
  • L’absence de filtre permettant de vérifier l’âge des individus
  • Le non-respect du droit à l’opposition.

 

La technique du « scraping », dont cette intelligence artificielle fait usage (technique qui permet une extraction automatique de nombreuses informations issues d’un ou plusieurs sites web) a été signalée par la CNIL dès 2020 dans une série de recommandations visant à encadrer ladite pratique dans le cadre de la prospection commerciale. Ces contrôles avaient mené la CNIL à soulever divers manquements à la législation sur la protection des données, tels que :

 

 

  • L’absence d’information des personnes visées par le démarchage ;
  • L’absence de consentement des personnes avant leur démarchage ;
  • L’absence du respect de leur droit d’opposition.

 

Vers un meilleur encadrement de l’intelligence artificielle ?

En avril 2021, la Commission européenne a fait une proposition de règlement précisant de nouvelles mesures afin de veiller à ce que les systèmes d’intelligence artificielle utilisés dans l’Union Européenne soient sûrs, transparents, éthiques et sous contrôle humain. Ce règlement prévoit un classement de systèmes à haut risque, risque limité et risque minimal, en fonction de leurs caractéristiques et finalités.

En attendant l’entrée en vigueur de ce règlement, la CNIL veille à apporter des réponses concrètes aux problématiques portées par l’intelligence artificielle. A ce titre, elle a déployé en mai 2023 un plan d’action destiné à devenir un cadre de régulation dont l’objectif est de permettre le déploiement opérationnel de systèmes d’intelligence artificielle respectueux des données personnelles.

 

4) TRANSFERT DE DONNEES VERS LES ETATS-UNIS

 

La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation permettant les transferts de données transatlantiques, dénommée « Data Privacy Framework » (DPF).

Depuis le 10 juillet, il est ainsi possible pour les entreprises soumises au RGPD de transférer des données personnelles aux sociétés américaines certifiées « DPF » sans recourir aux clauses contractuelles types de la Commission européenne et aux mesures supplémentaires. Cela a été rappelé par le CEPD le 18 juillet 20231.

A noter que le Royaume-Uni a également conclu un accord avec les Etats-Unis relatif au transfert de données qui entrera en vigueur le 12 octobre prochain.

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait invalidé dans un arrêt du 16 juillet 2020 le « Privacy Shield », la précédente décision d’adéquation qui permettait le transfert des données personnelles vers les Etats-Unis.

 

1)Le contenu du « Data Privacy Framework »

La décision du 10 juillet 2023 formalise nombre de garanties contraignantes pour tenter de remédier aux faiblesses du « Privacy Shield » invalidé deux ans auparavant.

 

a)Les nouvelles obligations

Afin de se prévaloir de ce nouveau cadre et être destinataire de données personnelles de résidents européens, les entreprises américaines devront notamment :

  • Déclarer adhérer aux principes de protection des données personnelles du DPF (minimisation des données, durées de conservation, sécurité…).
  • Indiquer un certain nombre d’informations obligatoires : le nom de l’organisation concernée, la description des finalités pour lesquelles le transfert de données personnelles est nécessaire, les données personnelles couvertes par la certification ainsi que la méthode de vérification choisie.
  • Formaliser une politique de confidentialité conforme aux principes du DPF et préciser le type de recours indépendant pertinent offert aux détenteurs premiers des données, ainsi que l’organe statutaire compétent pour assurer le respect de ces principes.

 

Le Ministère du Commerce américain (US Department of Commerce) a ouvert le lundi 17 juillet le site web du programme « Data Privacy Framework », qui offre aux entreprises un guichet unique où elles peuvent adhérer au DPF et répertorie la liste des entreprises qui y ont adhéré.

Les entreprises américaines adhérentes doivent conduire chaque année des auto-évaluations afin de démontrer leurs respects aux exigences du DPF. En cas de violation de ces principes, le Ministère du Commerce américain peut infliger des sanctions.

Il convient de noter que les entreprises déjà affiliées au Privacy Shield sont automatiquement affiliées au DPF sous réserve de mettre à jour leur politique de confidentialité avant le 10 octobre 2023.

 

  1. b) La création d’une Cour de révision de la protection des données

Le DPF se montre innovant puisqu’il instaure une Cour de révision de la protection des données (Data Protection Review Court, DPRC) permettant à la fois un accès facilité, impartial et indépendant à des recours pour les résidents de l’Union européenne mais aussi une prise en charge effective des manquements aux règles issues du cadre UE-Etats-Unis. Cette Cour est en effet dotée de pouvoir d’enquête et peut ordonner des mesures correctives contraignantes, telle que, par exemple, la suppression des données importées illégalement.

 

  1. c) Un nouveau mécanisme de recours pour les ressortissants de l’Union européenne

Le mécanisme de recours prévu s’effectuera à deux niveaux :

 

  • Dans un premier temps, la réclamation sera portée auprès de l’autorité nationale compétente (par exemple, la CNIL en France). Cette autorité sera le point de contact du plaignant et lui transmettra toutes les informations relatives à la procédure. La réclamation est communiquée aux Etats-Unis via le Comité européen de la protection des données (CEPD) où elle est examinée par le délégué à la protection des libertés qui statue sur l’existence ou non d’une violation.
  • Le plaignant pourra faire appel de la décision du délégué à la protection des libertés civiles devant la DPRC. La DPRC sélectionnera dans chaque cas un « special advocat » ayant l’expérience requise pour assister le plaignant.

D’autres voies de recours comme l’arbitrage sont également disponibles.

 

2) Les évolutions à venir : de nouvelles batailles judiciaires ?

 

Ce nouveau cadre juridique sera soumis à des examens périodiques, le premier étant prévu l’année suivant l’entrée en vigueur de la décision d’adéquation. Ces contrôles seront réalisés à la fois par la Commission européenne, les autorités américaines compétentes (U.S. Department of Commerce, Federal Trade Commission et le U.S. Department of Transportation) mais aussi par divers représentants des autorités européennes de protection des données.

Malgré la mise en place de ces nouveaux garde-fous, la riposte judiciaire a déjà eu lieu.

Le 6 septembre dernier, le député français Philippe Latombe (MoDem) a déposé deux plaintes auprès de la CJUE en vue d’obtenir l’annulation du DPF. Max Schrems, président de l’association autrichienne de défense de la vie privée « Noyb », à l’origine des recours contre les anciens accords (Safe Harbor et Privacy Shield), devrait très probablement lui emboîter le pas.

 

5) QUESTIONS AUTOUR DU CHAMP D’APPLICATION MATERIEL DU RGPD

 

Une position clivante d’un avocat général concernant le champ d’application matériel du RGPD, pourrait, si elle est suivie par la CJUE, limiter nettement l’application du RGPD à de nombreux secteurs d’activité (affaire C-115/22).

En l’espèce, les nom et prénom d’une sportive autrichienne testée positive au contrôle antidopage avait été publié sur le site Internet accessible au public de l’Agence indépendante de lutte contre le dopage autrichienne (NADA).

La sportive a saisi la Commission indépendante d’arbitrage autrichienne (l’USK) d’une demande de réexamen de cette décision. Cet organe s’interroge notamment sur la compatibilité avec le RGPD de la publication sur Internet des données à caractère personnel d’un sportif professionnel dopé. Un renvoi préjudiciel auprès de la CJUE est alors effectué.

L’avocat général considère que le RGPD n’est pas applicable en l’espèce dans la mesure où les règles antidopage réglementent essentiellement les fonctions sociales et éducatives du sport plutôt que ses aspects économiques. Or, il n’existe actuellement aucune règle de droit de l’Union relative aux politiques de lutte contre le dopage des États membres. À défaut de lien entre les politiques de lutte contre le dopage et le droit de l’Union, le RGPD ne saurait régir de telles activités de traitement.

 

Cette analyse de fonde sur l’article 2.2.a) du RGPD qui prévoit :

« Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; »

Les contours du champ d’intervention de l’Union sont variables et imprécis, entraînant en conséquence une incertitude quant à l’application du RGPD à certains secteurs.

À titre subsidiaire et si le RGPD devait s’appliquer, l’avocate générale considère en tout état de cause que la décision du législateur autrichien d’imposer la divulgation au public des données à caractère personnel des sportifs professionnels violant les règles antidopage applicables n’est pas, aux termes du règlement, subordonnée à un examen de proportionnalité.

Les conclusions de l’avocat général ne lient toutefois pas la CJUE. La décision de la juridiction européenne est en conséquence attendue avec attention, en ce qu’elle permettra de préciser les contours de l’application du RGPD.

 


1En mars dernier, la CNIL italienne est allée jusqu’à suspendre temporairement ChatGPT sur son territoire en raison d’une présomption de violation des règles de l’Union européenne en matière de protection des données.

OpenAI omis de mettre en place un système de vérification de l’âge des utilisateurs. Dans la continuité de cet évènement, un recours collectif américain a dénoncé le 28 juillet dernier l’accessibilité des services aux mineurs de moins de 13 ans ainsi que l’utilisation de méthodes de « scraping » auprès de plateformes telles qu’Instagram, Snapchat ou même Microsoft Teams.

2Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle

 

Entrée en vigueur de la loi « cyber-score » : quelles sont les nouvelles obligations à la charge des opérateurs de plateforme ?

Cyberscore : dans le rapport du Sénat pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public du 16 février 2022, la sénatrice Mme Anne-Catherine Loisier indiquait qu’en dépit d’une augmentation croissante des cyberattaques[1], les entreprises ne modifiaient pas leur comportement face à la menace[2].

 

Partant du constat que la cybersécurité était une contrepartie indispensable à l’économie numérique et plus largement, à la numérisation de tous les pans de la société, le législateur a donc imposé de nouvelles obligations à la charge des opérateurs de plateforme.

La loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (dite « Loi Cyber-score ») a introduit dans le code de la consommation[3] une obligation d’information des consommateurs quant au niveau de sécurité des opérateurs de plateforme ainsi que celui des données qu’ils hébergent.

 

Cette loi apporte une obligation d’information des opérateurs numériques à destination des utilisateurs de leurs services sur le niveau de sécurité de leurs données, qui n’était pas prévue par le règlement général sur la protection des données (« RGPD »). Ce dernier ne prévoit en effet que la mise en place de mesures de sécurité des données personnelles, sans toutefois informer les personnes concernées quant à leur robustesse[4].

 

Le nouvel article L.111-7-3 du code de la consommation dispose ainsi que :

 

« Les opérateurs de plateformes en ligne (…)dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur (…), portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation (…) ».

L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.

(…)

 

Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. »

 

 

La loi cyber-score est entrée en vigueur le 1er octobre 2023.

Le décret d’application et l’arrêté précisant ses modalités d’application sont en attente de publication.

 

 

1. Qui est concerné par cette obligation de communication ?

 

 

Le champ d’application est particulièrement large dès lorsqu’il concerne (i) les opérateurs de plateforme en ligne définis à l’article L111-7 du code de la consommation et (ii) les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, dont l’activité dépasse un certain seuil fixé par décret. Le projet de décret prévoit un seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024[5]. L’objectif du législateur est en effet de ne pas pénaliser les très petites entreprises (TPE), les PME ou les start-ups innovantes en matière de services en ligne.

 

 

Concrètement, les plateformes numériques (places de marché, les sites comparateurs, les moteurs de recherche, réseaux sociaux…), les services de messagerie et les logiciels de visioconférence à destination du grand public sont concernés par l’obligation de réaliser des audits de cyber-sécurité et de communiquer le résultat au public sous réserve de dépasser le seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024.  

 

 

2. Quelles sont les modalités de l’audit de cybersécurité ?

 

Les opérateurs concernés devront faire appel à un prestataire d’audit de sécurité des systèmes d’information (PASSI) qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’audit sera réalisé sur la base d’informations ouvertes, librement accessible et de manière non intrusive par le prestataire et portera sur la sécurisation et la localisation des données. A cet égard, une localisation au sein de l’Union européenne est une garantie de sécurité des données, au regard de l’application du RGPD, mais également en enjeu de souveraineté numérique.

La localisation des données n’est toutefois pas le seul critère à prendre en compte. Le projet d’arrêté prévoit les points de contrôle suivants[6] :

 

  • Organisation et gouvernance (assurance cyber, certification de sécurité, …)
  • Protection des données (mesures de sécurité relative à l’hébergement des données, exposition des données à des législations extraterritoriales, partage des données à des tiers)
  • Connaissance et maîtrise du service numérique (cartographie des informations traitées par le service numérique et sensibilité, cartographie des prestataires, existence de mécanismes de cloisonnement réseau visant à prémunir le service numérique d’une attaque par rebond sur les environnements mutualisés)
  • Niveau d’externalisation (localisation des infrastructures d’hébergement du service numérique en UE…)
  • Niveau d’exposition sur internet (réalisation de scans de sécurité régulier, mise en œuvre d’une solution visant à se prémunir des dénis de service (DDoS), gestion de l’identification / authentification des utilisateurs…)
  • Dispositif de traitement des incidents de sécurité
  • Audits du service numérique (Réalisation d’audits de sécurité réguliers avant la mise en œuvre du service numérique (audit/Bug bounty/etc.))
  • Sensibilisation aux risques cyber et lutte anti-fraude (sensibilisation aux risques de cybersécurité, Avertissement des usagers sur les risques cyber d’escroqueries et de fraudes et recommandations de précaution…)
  • Développement sécurisé (prise en compte des règles OWASP…)

 

Il convient de noter que les points de contrôle suscités doivent déjà être pris en compte par les entreprises dans le cadre de leur mise en conformité au RGPD.

 

Il convient d’attendre la publication de l’arrêté pour avoir une grille exhaustive des points de vérification de l’audit de cyber-sécurité.

 

3. Comment afficher le cyber-score ?

 

A l’instar du « nutriscore », le législateur prévoit que l’opérateur économique doit publier un « cyberscore » sur son site. Le projet d’arrêté indique que le marquage devra être apposé de manière visible sur l’écran d’accueil et que le score d’audit cyberscore et sa date de réalisation devront apparaitre de manière visible dans les mentions légales du service en ligne.

 

Capture écran issue du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand publicCapture écran issue du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public
Capture écran issue du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public

Le résultat du cyber-audit, quel qu’il soit, devra être affiché de manière claire et accessible sur le site de l’opérateur.

L’objectif est en effet de permettre aux consommateurs usagers d’être mieux informés quant à la protection de leurs données en ligne.

 

4. Quelles sont les sanctions en cas de non-respect ?

 

En cas de manquement à cette obligation et conformément à l’article Article L131-4 du code de la consommation, l’opérateur encourt une amende administrative infligée par la DGCCRF dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.

En outre, un cyber-score faible portera nécessairement atteinte à l’image de l’opérateur concerné et diminuera la confiance des utilisateurs de son site.

 

***

 

Dans ce contexte, il est essentiel pour les entreprises concernées de mettre en place dès à présent les mesures de sécurité technique et organisationnelle adaptées.

Le département IT/Data du cabinet Joffe & Associés vous accompagne dans la mise en conformité de vos plateforme (mise en conformité RGPD, sécurisation des relations avec les tiers, sensibilisation à la cyber-sécurité…).

Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

 


 

[1] Selon le rapport, 54% des entreprises déclaraient avoir subi au moins une cyber-attaque en 2021 et 30% des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques.

[2] Rapport Sénat n°503 p6 https://www.senat.fr/rap/l21-503/l21-5031.pdf

[3] Article L.111-7-3 du code de la consommation

[4] Article 32 du RGPD

[5] https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-decret-cyberscore.pdf

[6]https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-arrete-cyberscore.pdf