Newsletter Archives

Newsletter DPO : le point par l’équipe IT du cabinet

Posted on 10 octobre 202317 avril 2024 by Valentin Poitou

Téléchargez la newsletter ici. English version below.

1) SANCTION CNIL : LA SOCIÉTÉ SAF LOGISTICS CONDAMNEE A 200 000 EUROS D’AMENDE

Le 18 septembre 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a sanctionné la société de fret aérien chinoise SAF LOGISITIC d’une amende de 200 000 euros et a publié la sanction sur son site internet.

La sévérité de cette sanction se justifie par la gravité des manquements commis par la société :

Non-respect du principe de minimisation(article 5-1 c du RGPD) : le responsable de traitement ne doit en effet collecter que les seules données nécessaires à la finalité du traitement. Or, en l’espèce, la société collectait des données personnelles des membres de la famille des salariés (identité, coordonnées, fonction, employeur et situation maritale) qui n’avaient aucune utilité apparente.
Collecte illicite de données sensibles (article 9 du RGPD) et de données relatives aux infractions, aux condamnations et aux mesures de sûreté (article 10) : il était en l’espèce demandé à des salariés de renseigner des données dites sensibles, à savoir le groupe sanguin, l’appartenance ethnique et l’affiliation politique. Or, par principe, la collecte de données sensibles est interdite. Elle est permise par exception, si elle apparaît légitime au regard de la finalité du traitement et que le responsable de traitement dispose d’une base légale adaptée, ce qui n’était pas le cas en l’espèce. Par ailleurs, SAF LOGISITIC collectait et conservait des extraits de casiers judiciaires de salariés travaillant dans le fret aérien, faisant déjà l’objet d’une habilitation par les autorités compétentes après enquête administrative. Ainsi, une telle collecte n’apparaissait pas nécessaire.
Absence de coopération avec l’autorité de contrôle (article 31 du RGPD) : La CNIL a en outre considéré que la société avait délibérément tenté d’entraver la procédure de contrôle. Ainsi, SAF LOGISITIC n’a traduit que partiellement le formulaire qui était rédigé en langue chinoise. Ainsi les champs relatifs à l’appartenance ethnique ou l’affiliation politique étaient manquants. A noter que le manque de coopération constitue un facteur aggravant lors de la détermination du montant de la sanction par l’autorité de contrôle.

2) LE RESPONSABLE DE TRAITEMENT ET LE SOUS-TRAITANT SONT RESPONSABLES EN CAS DE NON-CONCLUSION D’UN ACCORD DE PROTECTION DES DONNEES

Le 29 septembre 2023, l’Autorité de Protection des Données belge (APD) a rendu une décision apportant des éclairages intéressants sur d’une part les obligations à la charge du responsable de traitement et du sous-traitant et d’autre part sur la correction tardive des manquements au RGPD. A cet égard, l’ADP a indiqué que :

Le responsable du traitement et le sous-traitant ont tous deux violé les dispositions de l’article 28 du RGPD en ne concluant pas d’accord de protection des données (DPA) dès le début du traitement de données. L’obligation de conclure un contrat ou d’être lié par un acte juridique contraignant pèse à la fois sur le responsable du traitement et sur le sous-traitant et non sur le seul responsable du traitement.
La clause de rétroactivité prévue au sein des DPA n’est pas de nature à pallier l’absence de contrat au moment des faits : seule la date de signature du DPA doit être prise en compte pour déterminer la conformité du traitement concerné. L’ADP rappelle que si une telle rétroactivité devait être admise, elle permettrait de facto de contourner l’application dans le temps de l’obligation de l’article 28.3. du RGPD. Or, le RGPD a lui-même prévu un délai de 2 ans séparant son entrée en vigueur de son entrée en application pour une mise en conformité progressive par toutes les entités concernées en vue de garantir la protection des droits et des personnes concernées.

3) UNE NOUVELLE PLAINTE VISE LA START-UP D’OPENAI A L’ORIGINE DE L’INTELLIGENCE ARTIFICIELLE GENERATIVE CHATGPT

L’Office polonais pour la protection des données a ouvert une enquête à la suite du dépôt de plainte du chercheur polonais, Lukasz Olejnik contre la start-up Open AI en septembre 2023. Cette plainte met en exergue les multiples manquements du chatbot au respect du Règlement général sur la protection des données (RGPD).

Les manquements au RGPD soulevés par la plainte

La plainte recense de nombreuses infractions au RGPD, notamment une violation des articles suivants :

L’article 5 relatif à l’obligation d’exactitude des données et le traitement loyal de celles-ci (il existe une obligation de limitation des finalités) ;
L’article 6 relatif à la base légale du traitement ;
Les articles 12 et 14 relatifs à l’information des personnes concernées ;
L’article 15 sur le droit d’accès pour la personne concernée aux informations sur le traitement de ses données ;
L’article 16 sur le droit pour les personnes concernées de rectifier les données à caractère personnel qui sont inexactes.

Les intérêts légitimes poursuivis par OpenAI semblent difficilement contrebalancer les atteintes portées à la vie privée des utilisateurs.

Des plaintes répétées à l’encontre d’OpenAI

Ce n’est pas la première fois que, depuis sa mise en ligne, le logiciel ChatGPT est visé par de telles accusations. A l’échelle mondiale, huit plaintes ont été déposées cette année en raison de manquements à la protection des données personnelles. Sont notamment relevés :

L’absence de consentement des personnes dans le traitement de leurs données
Le traitement inexacte des données
L’absence de filtre permettant de vérifier l’âge des individus
Le non-respect du droit à l’opposition.

La technique du « scraping », dont cette intelligence artificielle fait usage (technique qui permet une extraction automatique de nombreuses informations issues d’un ou plusieurs sites web) a été signalée par la CNIL dès 2020 dans une série de recommandations visant à encadrer ladite pratique dans le cadre de la prospection commerciale. Ces contrôles avaient mené la CNIL à soulever divers manquements à la législation sur la protection des données, tels que :

L’absence d’information des personnes visées par le démarchage ;
L’absence de consentement des personnes avant leur démarchage ;
L’absence du respect de leur droit d’opposition.

Vers un meilleur encadrement de l’intelligence artificielle ?

En avril 2021, la Commission européenne a fait une proposition de règlement précisant de nouvelles mesures afin de veiller à ce que les systèmes d’intelligence artificielle utilisés dans l’Union Européenne soient sûrs, transparents, éthiques et sous contrôle humain. Ce règlement prévoit un classement de systèmes à haut risque, risque limité et risque minimal, en fonction de leurs caractéristiques et finalités.

En attendant l’entrée en vigueur de ce règlement, la CNIL veille à apporter des réponses concrètes aux problématiques portées par l’intelligence artificielle. A ce titre, elle a déployé en mai 2023 un plan d’action destiné à devenir un cadre de régulation dont l’objectif est de permettre le déploiement opérationnel de systèmes d’intelligence artificielle respectueux des données personnelles.

4) TRANSFERT DE DONNEES VERS LES ETATS-UNIS

La Commission européenne a adopté le 10 juillet 2023 une nouvelle décision d’adéquation permettant les transferts de données transatlantiques, dénommée « Data Privacy Framework » (DPF).

Depuis le 10 juillet, il est ainsi possible pour les entreprises soumises au RGPD de transférer des données personnelles aux sociétés américaines certifiées « DPF » sans recourir aux clauses contractuelles types de la Commission européenne et aux mesures supplémentaires. Cela a été rappelé par le CEPD le 18 juillet 20231.

A noter que le Royaume-Uni a également conclu un accord avec les Etats-Unis relatif au transfert de données qui entrera en vigueur le 12 octobre prochain.

Pour rappel, la Cour de justice de l’Union européenne (CJUE) avait invalidé dans un arrêt du 16 juillet 2020 le « Privacy Shield », la précédente décision d’adéquation qui permettait le transfert des données personnelles vers les Etats-Unis.

1)Le contenu du « Data Privacy Framework »

La décision du 10 juillet 2023 formalise nombre de garanties contraignantes pour tenter de remédier aux faiblesses du « Privacy Shield » invalidé deux ans auparavant.

a)Les nouvelles obligations

Afin de se prévaloir de ce nouveau cadre et être destinataire de données personnelles de résidents européens, les entreprises américaines devront notamment :

Déclarer adhérer aux principes de protection des données personnelles du DPF (minimisation des données, durées de conservation, sécurité…).
Indiquer un certain nombre d’informations obligatoires : le nom de l’organisation concernée, la description des finalités pour lesquelles le transfert de données personnelles est nécessaire, les données personnelles couvertes par la certification ainsi que la méthode de vérification choisie.
Formaliser une politique de confidentialité conforme aux principes du DPF et préciser le type de recours indépendant pertinent offert aux détenteurs premiers des données, ainsi que l’organe statutaire compétent pour assurer le respect de ces principes.

Le Ministère du Commerce américain (US Department of Commerce) a ouvert le lundi 17 juillet le site web du programme « Data Privacy Framework », qui offre aux entreprises un guichet unique où elles peuvent adhérer au DPF et répertorie la liste des entreprises qui y ont adhéré.

Les entreprises américaines adhérentes doivent conduire chaque année des auto-évaluations afin de démontrer leurs respects aux exigences du DPF. En cas de violation de ces principes, le Ministère du Commerce américain peut infliger des sanctions.

Il convient de noter que les entreprises déjà affiliées au Privacy Shield sont automatiquement affiliées au DPF sous réserve de mettre à jour leur politique de confidentialité avant le 10 octobre 2023.

b) La création d’une Cour de révision de la protection des données

Le DPF se montre innovant puisqu’il instaure une Cour de révision de la protection des données (Data Protection Review Court, DPRC) permettant à la fois un accès facilité, impartial et indépendant à des recours pour les résidents de l’Union européenne mais aussi une prise en charge effective des manquements aux règles issues du cadre UE-Etats-Unis. Cette Cour est en effet dotée de pouvoir d’enquête et peut ordonner des mesures correctives contraignantes, telle que, par exemple, la suppression des données importées illégalement.

c) Un nouveau mécanisme de recours pour les ressortissants de l’Union européenne

Le mécanisme de recours prévu s’effectuera à deux niveaux :

Dans un premier temps, la réclamation sera portée auprès de l’autorité nationale compétente (par exemple, la CNIL en France). Cette autorité sera le point de contact du plaignant et lui transmettra toutes les informations relatives à la procédure. La réclamation est communiquée aux Etats-Unis via le Comité européen de la protection des données (CEPD) où elle est examinée par le délégué à la protection des libertés qui statue sur l’existence ou non d’une violation.
Le plaignant pourra faire appel de la décision du délégué à la protection des libertés civiles devant la DPRC. La DPRC sélectionnera dans chaque cas un « special advocat » ayant l’expérience requise pour assister le plaignant.

D’autres voies de recours comme l’arbitrage sont également disponibles.

2) Les évolutions à venir : de nouvelles batailles judiciaires ?

Ce nouveau cadre juridique sera soumis à des examens périodiques, le premier étant prévu l’année suivant l’entrée en vigueur de la décision d’adéquation. Ces contrôles seront réalisés à la fois par la Commission européenne, les autorités américaines compétentes (U.S. Department of Commerce, Federal Trade Commission et le U.S. Department of Transportation) mais aussi par divers représentants des autorités européennes de protection des données.

Malgré la mise en place de ces nouveaux garde-fous, la riposte judiciaire a déjà eu lieu.

Le 6 septembre dernier, le député français Philippe Latombe (MoDem) a déposé deux plaintes auprès de la CJUE en vue d’obtenir l’annulation du DPF. Max Schrems, président de l’association autrichienne de défense de la vie privée « Noyb », à l’origine des recours contre les anciens accords (Safe Harbor et Privacy Shield), devrait très probablement lui emboîter le pas.

5) QUESTIONS AUTOUR DU CHAMP D’APPLICATION MATERIEL DU RGPD

Une position clivante d’un avocat général concernant le champ d’application matériel du RGPD, pourrait, si elle est suivie par la CJUE, limiter nettement l’application du RGPD à de nombreux secteurs d’activité (affaire C-115/22).

En l’espèce, les nom et prénom d’une sportive autrichienne testée positive au contrôle antidopage avait été publié sur le site Internet accessible au public de l’Agence indépendante de lutte contre le dopage autrichienne (NADA).

La sportive a saisi la Commission indépendante d’arbitrage autrichienne (l’USK) d’une demande de réexamen de cette décision. Cet organe s’interroge notamment sur la compatibilité avec le RGPD de la publication sur Internet des données à caractère personnel d’un sportif professionnel dopé. Un renvoi préjudiciel auprès de la CJUE est alors effectué.

L’avocat général considère que le RGPD n’est pas applicable en l’espèce dans la mesure où les règles antidopage réglementent essentiellement les fonctions sociales et éducatives du sport plutôt que ses aspects économiques. Or, il n’existe actuellement aucune règle de droit de l’Union relative aux politiques de lutte contre le dopage des États membres. À défaut de lien entre les politiques de lutte contre le dopage et le droit de l’Union, le RGPD ne saurait régir de telles activités de traitement.

Cette analyse de fonde sur l’article 2.2.a) du RGPD qui prévoit :

« Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué :

a)dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union; »

Les contours du champ d’intervention de l’Union sont variables et imprécis, entraînant en conséquence une incertitude quant à l’application du RGPD à certains secteurs.

À titre subsidiaire et si le RGPD devait s’appliquer, l’avocate générale considère en tout état de cause que la décision du législateur autrichien d’imposer la divulgation au public des données à caractère personnel des sportifs professionnels violant les règles antidopage applicables n’est pas, aux termes du règlement, subordonnée à un examen de proportionnalité.

Les conclusions de l’avocat général ne lient toutefois pas la CJUE. La décision de la juridiction européenne est en conséquence attendue avec attention, en ce qu’elle permettra de préciser les contours de l’application du RGPD.

1En mars dernier, la CNIL italienne est allée jusqu’à suspendre temporairement ChatGPT sur son territoire en raison d’une présomption de violation des règles de l’Union européenne en matière de protection des données.

OpenAI omis de mettre en place un système de vérification de l’âge des utilisateurs. Dans la continuité de cet évènement, un recours collectif américain a dénoncé le 28 juillet dernier l’accessibilité des services aux mineurs de moins de 13 ans ainsi que l’utilisation de méthodes de « scraping » auprès de plateformes telles qu’Instagram, Snapchat ou même Microsoft Teams.

2 Proposition de règlement établissant des règles harmonisées concernant l’intelligence artificielle

Entrée en vigueur de la loi « cyber-score » : quelles sont les nouvelles obligations à la charge des opérateurs de plateforme ?

Posted on 5 octobre 202317 avril 2024 by Valentin Poitou

Cyberscore : dans le rapport du Sénat pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public du 16 février 2022, la sénatrice Mme Anne-Catherine Loisier indiquait qu’en dépit d’une augmentation croissante des cyberattaques[1], les entreprises ne modifiaient pas leur comportement face à la menace[2].

Partant du constat que la cybersécurité était une contrepartie indispensable à l’économie numérique et plus largement, à la numérisation de tous les pans de la société, le législateur a donc imposé de nouvelles obligations à la charge des opérateurs de plateforme.

La loi n°2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (dite « Loi Cyber-score ») a introduit dans le code de la consommation[3] une obligation d’information des consommateurs quant au niveau de sécurité des opérateurs de plateforme ainsi que celui des données qu’ils hébergent.

Cette loi apporte une obligation d’information des opérateurs numériques à destination des utilisateurs de leurs services sur le niveau de sécurité de leurs données, qui n’était pas prévue par le règlement général sur la protection des données (« RGPD »). Ce dernier ne prévoit en effet que la mise en place de mesures de sécurité des données personnelles, sans toutefois informer les personnes concernées quant à leur robustesse[4].

Le nouvel article L.111-7-3 du code de la consommation dispose ainsi que :

« Les opérateurs de plateformes en ligne (…)dont l’activité dépasse un ou plusieurs seuils définis par décret réalisent un audit de cybersécurité, dont les résultats sont présentés au consommateur (…), portant sur la sécurisation et la localisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, et sur leur propre sécurisation (…) ».

L’audit mentionné au premier alinéa est effectué par des prestataires d’audit qualifiés par l’Agence nationale de la sécurité des systèmes d’information.

(…)

Le résultat de l’audit est présenté au consommateur de façon lisible, claire et compréhensible et est accompagné d’une présentation ou d’une expression complémentaire, au moyen d’un système d’information coloriel. »

La loi cyber-score est entrée en vigueur le 1^er octobre 2023.

Le décret d’application et l’arrêté précisant ses modalités d’application sont en attente de publication.

1. Qui est concerné par cette obligation de communication ?

Le champ d’application est particulièrement large dès lorsqu’il concerne (i) les opérateurs de plateforme en ligne définis à l’article L111-7 du code de la consommation et (ii) les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation, dont l’activité dépasse un certain seuil fixé par décret. Le projet de décret prévoit un seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024[5]. L’objectif du législateur est en effet de ne pas pénaliser les très petites entreprises (TPE), les PME ou les start-ups innovantes en matière de services en ligne.

Concrètement, les plateformes numériques (places de marché, les sites comparateurs, les moteurs de recherche, réseaux sociaux…), les services de messagerie et les logiciels de visioconférence à destination du grand public sont concernés par l’obligation de réaliser des audits de cyber-sécurité et de communiquer le résultat au public sous réserve de dépasser le seuil de 25 millions de visiteurs uniques par mois depuis le territoire français pour 2024.

2. Quelles sont les modalités de l’audit de cybersécurité ?

Les opérateurs concernés devront faire appel à un prestataire d’audit de sécurité des systèmes d’information (PASSI) qualifié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

L’audit sera réalisé sur la base d’informations ouvertes, librement accessible et de manière non intrusive par le prestataire et portera sur la sécurisation et la localisation des données. A cet égard, une localisation au sein de l’Union européenne est une garantie de sécurité des données, au regard de l’application du RGPD, mais également en enjeu de souveraineté numérique.

La localisation des données n’est toutefois pas le seul critère à prendre en compte. Le projet d’arrêté prévoit les points de contrôle suivants[6] :

Organisation et gouvernance (assurance cyber, certification de sécurité, …)
Protection des données (mesures de sécurité relative à l’hébergement des données, exposition des données à des législations extraterritoriales, partage des données à des tiers)
Connaissance et maîtrise du service numérique (cartographie des informations traitées par le service numérique et sensibilité, cartographie des prestataires, existence de mécanismes de cloisonnement réseau visant à prémunir le service numérique d’une attaque par rebond sur les environnements mutualisés)
Niveau d’externalisation (localisation des infrastructures d’hébergement du service numérique en UE…)
Niveau d’exposition sur internet (réalisation de scans de sécurité régulier, mise en œuvre d’une solution visant à se prémunir des dénis de service (DDoS), gestion de l’identification / authentification des utilisateurs…)
Dispositif de traitement des incidents de sécurité
Audits du service numérique (Réalisation d’audits de sécurité réguliers avant la mise en œuvre du service numérique (audit/Bug bounty/etc.))
Sensibilisation aux risques cyber et lutte anti-fraude (sensibilisation aux risques de cybersécurité, Avertissement des usagers sur les risques cyber d’escroqueries et de fraudes et recommandations de précaution…)
Développement sécurisé (prise en compte des règles OWASP…)

Il convient de noter que les points de contrôle suscités doivent déjà être pris en compte par les entreprises dans le cadre de leur mise en conformité au RGPD.

Il convient d’attendre la publication de l’arrêté pour avoir une grille exhaustive des points de vérification de l’audit de cyber-sécurité.

3. Comment afficher le cyber-score ?

A l’instar du « nutriscore », le législateur prévoit que l’opérateur économique doit publier un « cyberscore » sur son site. Le projet d’arrêté indique que le marquage devra être apposé de manière visible sur l’écran d’accueil et que le score d’audit cyberscore et sa date de réalisation devront apparaitre de manière visible dans les mentions légales du service en ligne.

Capture écran issue du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand publicCapture écran issue du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public — Capture écran issue du projet d’arrêté fixant les critères pour l’application de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public

Le résultat du cyber-audit, quel qu’il soit, devra être affiché de manière claire et accessible sur le site de l’opérateur.

L’objectif est en effet de permettre aux consommateurs usagers d’être mieux informés quant à la protection de leurs données en ligne.

4. Quelles sont les sanctions en cas de non-respect ?

En cas de manquement à cette obligation et conformément à l’article Article L131-4 du code de la consommation, l’opérateur encourt une amende administrative infligée par la DGCCRF dont le montant peut atteindre 75 000 euros pour une personne physique et 375 000 euros pour une personne morale.

En outre, un cyber-score faible portera nécessairement atteinte à l’image de l’opérateur concerné et diminuera la confiance des utilisateurs de son site.

***

Dans ce contexte, il est essentiel pour les entreprises concernées de mettre en place dès à présent les mesures de sécurité technique et organisationnelle adaptées.

Le département IT/Data du cabinet Joffe & Associés vous accompagne dans la mise en conformité de vos plateforme (mise en conformité RGPD, sécurisation des relations avec les tiers, sensibilisation à la cyber-sécurité…).

Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

[1] Selon le rapport, 54% des entreprises déclaraient avoir subi au moins une cyber-attaque en 2021 et 30% des cyberattaques ont conduit à des vols de données personnelles, stratégiques ou techniques.

[2] Rapport Sénat n°503 p6 https://www.senat.fr/rap/l21-503/l21-5031.pdf

[3] Article L.111-7-3 du code de la consommation

[4] Article 32 du RGPD

[5] https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-decret-cyberscore.pdf

[6]https://www.entreprises.gouv.fr/files/files/secteurs-d-activite/numerique/ressources/consultations/projet-arrete-cyberscore.pdf

Actions en réparation du préjudice causé par une pratique anti-concurrentielle

Posted on 7 septembre 202317 avril 2024 by Valentin Poitou

Téléchargez notre newsletter ici.

Actions en réparation du préjudice causé par une pratique anticoncurrentielle : la Cour de cassation confirme un courant jurisprudentiel initié par les juges du fond en précisant que le délai de prescription quinquennal ne saurait courir tant que la victime n’a pas connaissance des faits « de nature à manifester l’existence d’un comportement fautif »

La Chambre commerciale de la Cour de cassation a rendu, le 30 août 2023 (pourvoi n°22-14.94), un arrêt très attendu sur la question du point de départ du délai de prescription de l’action indemnitaire consécutive à des pratiques anticoncurrentielles (abus de position dominante – dénigrement de médicaments) sanctionnées par l’Autorité de la concurrence.

La Haute juridiction a rejeté le pourvoi formé par les sociétés Sanofi contre l’arrêt rendu le 9 février 2022 par la Cour d’appel de Paris (RG n°19/19969), qui avait jugé que seule la lecture de la décision de sanction de l’Autorité de la concurrence avait pu révéler au demandeur – la Caisse Nationale d’Assurance Maladie (CNAM) – « l’existence d’un dommage réparable », « rattachable à une faute commise par les sociétés Sanofi », lui permettant « d’agir utilement devant une juridiction commerciale ».

La Cour de cassation confirme : la Cour d’appel, dont les constatations et appréciations sont souveraines, a exactement décidé que « seule la décision de l’Autorité avait donné connaissance à la CNAM des faits et de leur portée lui permettant d’agir en réparation de son préjudice » (soulignement ajouté).

La Cour de cassation précise : il résulte des constatations et appréciations de la Cour d’appel qu’avant cette décision la CNAM n’était pas en mesure de déterminer si les faits dont elle avait connaissance « étaient de nature à manifester l’existence d’un comportement fautif » (soulignement ajouté).

L’existence d’un comportement fautif n’avait pu être établie, en l’occurrence et comme dans bien des actions indemnitaires consécutives à des décisions de sanction de l’Autorité de la concurrence, qu’en rapportant ces faits dont la CNAM avait connaissance aux « autres éléments matériels issus de l’instruction » menée par l’Autorité de la concurrence, puis en les examinant « dans leur globalité et à la lumière d’une analyse concurrentielle ».

Autrement dit : le délai de prescription quinquennal de l’article 2224 du Code civil ne court qu’à compter de la date à laquelle la victime a connaissance d’un dommage rattachable à un comportement fautif (i.e. un dommage réparable). De simples soupçons ne suffisent pas. En matière d’actions en réparation du préjudice causé par une pratique anticoncurrentielle, la spécificité de la faute civile et sa délicate caractérisation expliquent que ce délai ne court habituellement qu’à compter de la décision de sanction.

La connaissance d’une pratique qui serait « susceptible » d’enfreindre le droit de la concurrence n’est pas suffisante pour permettre à la victime d’agir utilement et donc pour faire courir le délai de prescription de son action. Il faut encore que la pratique anticoncurrentielle soit établie, dans ses éléments factuels et juridiques, conférant à la victime une connaissance « utile » des faits lui permettant d’agir en justice.

Dans cette affaire, la défense de la CNAM était assurée en première instance et en appel par Joffe & Associés (Olivier Cavézian, Tehani Goy et Fanny Callède) et devant la Cour de cassation par la SCP Foussard-Frogier (Régis Frogier).

FINANCE NUMERIQUE : LES ACTEURS DU SECTEUR FINANCIER DOIVENT ANTICIPER DES MAINTENANT LE NOUVEAU REGLEMENT DORA

Posted on 18 juillet 202318 avril 2024 by Valentin Poitou

Finance numerique : le règlement européen n°2022/2554 sur la résilience opérationnelle informatique du secteur financier (« DORA » pour Digital Operational Resilience Act) a été adopté le 14 décembre 2022 et s’appliquera à compter du 17 janvier 2025.

Ce règlement a pour objectif de renforcer la sureté technologique et le bon fonctionnement du secteur financier. Il fixe des exigences de sécurité de sorte que les services financiers puissent résister et se remettre des perturbations et menaces liées aux technologies de l’information et de la communication (« TIC ») dans toute l’Union européenne.

Il s’applique à un large éventail d’acteurs évoluant dans le secteur financier ainsi que leurs partenaires technologiques, tels que notamment les établissements de crédit, entreprises d’investissement, établissements de paiement, sociétés de gestion, entreprises d’assurance et prestataires tiers de services TIC opérant dans les services financiers.

Le règlement DORA s’articule autour de cinq chapitres qui fixent un ensemble de règles ayant un impact majeur sur les procédures de sécurités internes et les relations contractuelles des acteurs du secteur financier.

Les principales mesures sont les suivantes :

1° La gestion des risques informatiques

Le règlement DORA impose l’adoption de cadres de gouvernance et contrôle internes afin de garantir une gestion efficace et prudente de tous les risques informatiques.

Les entités financières devront également mettre en place un cadre de gestion des risques informatiques adapté à leurs activités leur permettant de parer aux risques informatiques de manière rapide et efficiente.

Ainsi, à titre préventif, elles devront :

Utiliser et tenir à jour des systèmes, protocoles et outils de TIC adaptés, fiables et suffisamment résilients sur le plan technologique ;
Identifier toutes formes de risques informatiques ;
Assurer un suivi et un contrôle permanent du fonctionnement des systèmes et outils TIC ;
Mettre en place des mécanismes de détection d’activités anormales ;
Définir des processus et mesures d’amélioration continus, une politique de continuité des activités, une politique de sauvegarde et des procédures et méthodes de restauration et rétablissement.

Les entreprises concernées devront disposer de capacités et effectifs pour recueillir des informations sur les vulnérabilités, les cybermenaces et les incidents liés au TIC. A ce titre, elles devront réaliser des examens post-incidents à la suite d’incidents majeurs ayant perturbé leurs activités principales.

Cette nouvelle règlementation impose également la formalisation de plans de communication en situation de crise afin de favoriser une divulgation responsable des incidents majeurs liés au TIC.

Il convient de relever que le règlement prévoit un cadre simplifié de gestion du risque lié aux TIC pour certains acteurs de petites tailles comme les petites entreprises d’investissements non interconnectées.

2° Les notifications d’incidents informatiques

Les entités financières devront formaliser et mettre en œuvre un processus de gestion des incidents informatiques encadrant leur gestion, détection et notification. La règlementation DORA introduit une méthodologie standard de classification des incidents de sécurité selon des critères spécifiques (durée de l’incident, gravité des effets sur les SI, nombres d’utilisateurs touchés, …).

Les entités financières seront soumises à une obligation de notification des incidents informatiques classés comme majeurs auprès d’autorités compétentes nationales désignées en fonction du type d’entité financière (notamment l’ACPR et l’AMF en France) et devront leur communiquer un rapport intermédiaire et un rapport final. Ces notifications devront intervenir dans des délais fixés ultérieurement par les autorités européennes de surveillance.

Dans le cas où un incident qualifié de « majeur » a une incidence sur les intérêts financiers de clients, les entités financières devront également informer ces derniers, dès qu’elles en ont connaissance, de l’incident et des mesures prises pour en atténuer les effets.

3° Les tests de résilience opérationnelle informatique

Afin d’évaluer leur état de préparation en cas d’incidents informatiques et de mettre en œuvre le cas échéant des mesures correctrices, les acteurs du secteur financier devront formaliser un programme solide de tests de résilience opérationnelle numérique comprenant une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer.

Tous les trois ans, ils devront également effectuer des tests de pénétration fondés sur la menace, réalisés par des testeurs indépendants et certifiés.

4° La gestion des risques liés aux tiers prestataires de services informatiques

Le règlement DORA introduit des principes généraux devant être respectés par les entités financières dans le cadre de leurs relations avec des tiers prestataires de services informatiques.

Celles-ci devront adopter une stratégie en matière de risques liés à ces tiers et tenir un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers.

Les entités financières devront communiquer au moins une fois par an aux autorités compétentes des informations sur les nouveaux accords relatifs à l’utilisation de services informatiques et devront les informer de tout projet d’accord contractuels portant sur l’utilisation de tels services soutenant des fonctions critiques.

Ce texte impose également aux entreprises visées de ne conclure des contrats avec ces tiers uniquement s’ils respectent des normes adéquates en matière de sécurité de l’information.

Les droits et obligations entre les entités financières et les prestataires de services informatiques devront être définies au sein d’un contrat écrit qui devra inclure notamment les conditions suivantes :

Une description claire et exhaustive des services fournis ;
Les lieux où les services seront fournis et les données traitées ;
Des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données personnelles ;
Des descriptions des niveaux de service ;
L’obligation pour le prestataire de fournir à l’entité financière, sans frais supplémentaires ou à un cout déterminé ex ante, une assistance en cas d’incident informatique ;
L’obligation pour le tiers de coopérer pleinement avec les autorités compétentes ;
Le droit de résiliation et le délai de préavis minimal.

Lorsque les prestataires tiers fournissent des services informatiques soutenant des fonctions critiques ou importantes, les contrats devront définir des conditions additionnelles parmi lesquelles :

L’obligation pour le prestataire de coopérer lors des tests de pénétration fondés sur la menace ;
L’obligation pour le prestataire de mettre en œuvre des plans d’urgence et de mettre en place des mesures de sécurité fournissant un niveau approprié de sécurité ;
Des droits illimités d’accès d’inspection et d’audit par l’entité financière ;
Les stratégies de sorties, telles que la fixation d’une période de transition adéquate obligatoire.

En outre, la règlementation introduit un cadre de surveillance pour les prestataires de services informatiques tiers critiques pour les entités financières selon une série de critères (effet systémique sur la fourniture des services en cas de défaillance, importance systémique des entités financières qui dépendent de ce prestataire, degré de substituabilité du prestataire, …). Les « prestataires critiques de services informatiques » se verront imposer un cadre de surveillance au regard d’un ensemble de critères : exigences de sécurité, processus de gestion des risques, disponibilité, continuité, modalités de gouvernance, …

Ces prestataires feront l’objet d’évaluations effectuées par les entités de supervision qui seront dotées de prérogatives leur permettant d’effectuer des demandes d’information, de procéder à des inspections générales et des contrôles sur place et de formuler des recommandations.

5° Le partage d’informations et de renseignements

Le règlement DORA introduit des directives sur les échanges d’information entre entités financières sur les cybermenaces. Ces échanges devront viser à améliorer la résilience opérationnelle numérique des entités financières notamment et s’opérer dans le plein respect de la confidentialité des affaires. De plus, les entités financières se verront imposer une obligation de notification aux autorités compétentes lors de la participation à des dispositifs d’échanges d’information.

Enfin, ce règlement prévoit que les différentes autorités compétentes disposeront de pouvoir de surveillance, d’enquête et de sanctions en cas de non-conformité aux dispositions de ce texte.

Ce sont les États Membres qui auront la charge d’arrêter les règles prévoyant les sanctions administratives et les mesures correctives appropriées en cas de violation du règlement et qui veilleront à leur mise en œuvre effective. Il convient de relever que, contrairement au RGPD, ce règlement ne prévoit pas un plafond en cas de sanction pécuniaire mais impose que les sanctions soient « effectives, proportionnées et dissuasives ».

Notre équipe IT-Digital et Data de Joffe & Associés se tient à votre disposition pour vous accompagner dans votre démarche de mise en conformité afin d’anticiper au mieux la mise en application de ce règlement, notamment lors de la négociation des contrats avec les prestataires TIC mais aussi pour auditer les contrats en cours. A noter que le règlement DORA a une portée plus large que l’arrêté du 3 novembre 2014.

AVOCATS : COMMENT RÉAGIR FACE À UNE CYBER-ATTAQUE TOUCHANT VOS SYSTÈMES D’INFORMATION ?

Posted on 5 juillet 202318 avril 2024 by Valentin Poitou

Retrouvez l’article original publié au « Village de la Justice » ici.

Depuis quelques années, les cyber-attaques représentent une menace réelle et croissante pour tous les professionnels dotés d’un système d’information. Les avocats, quelle que soit leur structure d’exercice, ne font pas exception à la règle et doivent en conséquence se saisir rapidement de ces questions.

Les risques d’attaques par rançongiciel [1] ciblant les cabinets d’avocats sont en effet d’autant plus élevés du fait qu’ils détiennent des données sensibles et hautement confidentielles sur leurs clients.

Or, les conséquences d’une telle attaque peuvent être dramatiques tant pour le client que pour l’avocat.

Si le premier pourrait voir tout ou partie de son dossier divulgué et ses données utilisées à des fins malveillantes (usurpation d’identité, chantage…), le second pourrait subir une suspension de son activité, sans compter les coûts liés à la remédiation de l’incident ainsi que l’atteinte au secret professionnel et à sa réputation.

C’est la raison pour laquelle l’ANSSI a publié le 27 juin 2023 un guide [2] relatif à l’état de la menace informatique contre les cabinets d’avocats. Ce guide a pour objectif de sensibiliser les professionnels sur ces questions et leur livrer les mesures de sécurité technique et organisationnelle à mettre en place.

Ces mesures de sécurité sont indispensables à la prévention du risque d’attaque ; toutefois comme le risque zéro n’existe pas, il est essentiel de disposer des bons réflexes pour réagir efficacement à une cyberattaque.

Les avocats victimes d’une cyber-attaque devraient donc suivre le plan d’action suivant :

1. Prendre une assurance cyber-risque.

L’assurance de l’Ordre des avocats du Barreau de Paris ne couvre pas à ce jour les risques liés aux cyber-attaques (vol de données, rançongiciel, etc.). Les cabinets ne doivent pas faire l’économie de souscrire à une assurance cyber-risque qui leur permettra non seulement de bénéficier d’une aide pendant la crise (mise à disposition d’experts en cybersécurité, analyse forensique, définition d’un plan de gestion, etc.) mais également de couvrir les frais liés à la remédiation et à la perte d’exploitation.

Dès la découverte de l’attaque cyber et une fois les premières mesures techniques d’urgence prises par le responsable de la sécurité du système d’information du cabinet (sauvegarde, isolement du SI…) ou le prestataire informatique, l’avocat doit contacter son assurance cyber-risque.

2. Respecter les obligations de notification et de communication issues du RGPD.

Les cabinets d’avocats sont eux aussi soumis au respect du règlement général sur la protection des données (« RGPD ») en tant que responsables de traitement.

Le RGPD prévoit des obligations de notification et de communication à la charge du responsable de traitement en cas de violation de données, étant précisé qu’une violation de données est caractérisée en cas de perte de confidentialité, d’intégrité ou de disponibilité des données personnelles.

A titre d’exemple, dans le cas d’une attaque par rançongiciel visant un cabinet d’avocats, la violation de données est caractérisée dès lors que les données personnelles des clients et/ou des collaborateurs et salariés sont cryptées par le cyberattaquant (indisponibilité) voir divulguées (perte de confidentialité).

Toute violation de données personnelles devra être notifiée à la CNIL dans un délai de 72 heures maximum après sa découverte, dans le cas où un risque pour les personnes concernées est identifié (article 33 du RGPD).

En cas de risque qualifié d’élevé sur la vie privée des personnes concernées (notamment en cas de divulgation des données personnelles des clients et dans le cas de données sensibles au sens de l’article 9 du RGPD), le cabinet devra compléter cette notification par une communication directe de l’incident aux personnes concernées dans les meilleurs délais. Cette communication peut notamment prendre la forme d’un courriel et doit contenir les mentions obligatoires édictées à l’article 34 du RGPD.

L’avocat victime devra alors procéder à une analyse préalable des effets de l’incident sur la vie privée des personnes concernées afin de déterminer s’il doit notifier l’incident à la CNIL et communiquer aux personnes concernées le cas échéant.

En tout état de cause, qu’il notifie ou non l’incident à l’autorité de contrôle, l’avocat doit compléter son registre de violation des incidents [3].

3. Déposer plainte.

L’avocat devra procéder à un dépôt de plainte pénale contenant l’exhaustivité des faits et les fondements juridiques qualifiant les infractions commises dans un délai maximal de 72 heures s’il a souscrit à une assurance cyber. En effet, la loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 14 décembre 2022 conditionne désormais le remboursement des rançongiciels au dépôt obligatoire d’une plainte de la victime au plus tard 72 heures après la connaissance de l’atteinte par la victime et ce, afin d’améliorer l’information des forces de sécurité et de l’autorité judiciaire sur les cyber-attaques [4].

Cette plainte peut être réalisée :
– Soit par écrit, directement auprès du procureur de la République [5] ;
– Soit auprès d’un service de police/gendarmerie qui renverra à un service spécialisé.

Les chefs d’infractions qui fondent généralement une plainte pénale dans le cadre d’une cyber-attaque peuvent être les suivants, selon les faits de l’espèce :

Atteinte à un système de traitement automatisé de données (« STAD ») [6] :

Accès et maintien frauduleux dans un STAD
Entrave au fonctionnement d’un STAD
Introduction frauduleuse de données dans un STAD
Extraction, détention, reproduction, transmission illégitime de données
Importation, détention, offre, cession ou mise à disposition d’un équipement d’atteinte aux STAD
Participation à un groupe formé ou à une entente établie en vue de commettre des fraudes informatiques

Escroquerie [7]
Vol de données / recel [8]
Usurpation d’identité numérique [9]
Manquements au RGPD et à la loi n°78-17 du 6 janvier 1978 dite « informatique et liberté » [10].
Afin de pouvoir réagir dans les délais, il est recommandé de disposer en amont d’un modèle de plainte pénale rédigé par un conseil spécialisé et/ou de faire appel à l’assistance d’un avocat spécialisé en cybercriminalité.

4. Engager la responsabilité civile du prestataire.

Des actions en réparation des dommages et intérêts (mise en demeure, assignation) pourront également être exercées dans le cas où l’incident a été causé par un manquement du prestataire informatique à son obligation de sécurité.

5. Mettre en place des actions de remédiation.

La sortie de crise est l’occasion de tirer les enseignements de l’incident et de repartir sur de bonnes bases.

Il peut être opportun de formaliser ou d’actualiser la politique de gestion des incidents du cabinet. La mise en place d’une politique de gestion des incidents au sein des cabinets d’avocats est non seulement indispensable à la garantie du secret professionnel mais constitue également un gage de confiance vis-à-vis des clients.

De même, et plus particulièrement dans le cas où l’incident est le fait du prestataire informatique agissant comme sous-traitant au sens du RGPD, il est fortement recommandé d’auditer les contrats, de vérifier l’existence d’accord sur la protection des données et de les renforcer si besoin. Un audit de sécurité devra également être diligenté auprès du sous-traitant concerné.

A défaut de réaliser ces diligences, la responsabilité du cabinet d’avocats pourrait être engagée pour manquement à son obligation de s’assurer que le sous-traitant a mis en place les mesures techniques et organisationnelles nécessaires à la sécurité et à la confidentialité des données.

Les conclusions du rapport de l’expert en sécurité permettront également de mettre à jour ou de renforcer le système d’information du cabinet pour contenir tout nouveau risque d’attaque.

Enfin, la sensibilisation des collaborateurs aux risques cyber ne doit pas être sous-estimée lorsqu’il est notoire que la grande majorité des failles de sécurité sont le fait d’une erreur humaine.

[1] Le rançongiciel ou ransomware consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement.

[2] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf

[3] Registre obligatoire conformément à l’article 33.5 du RGPD.

[4] Article L12-10-1 du Code des assurances.

[5] Pour Paris : Parquet de Paris – 3e division JIS/Junalco – section J3.

[6] Article 323-1 et suivants du Code pénal.

[7] Article 313-1 du Code pénal.

[8] Article 311-1 du Code pénal.

[9] Article 226-4-1 du Code pénal.

[10] Article 226-18 du Code pénal.

ADOPTION DE L’ARTIFICIAL INTELLIGENCE ACT PAR LE PARLEMENT EUROPEEN : QUE RETENIR ?

Posted on 4 juillet 202311 avril 2024 by Valentin Poitou

Le mercredi 14 juin 2023, le Parlement européen a adopté le Artificial Intelligence Act (« AI Act »), un règlement régulant le développement et l’utilisation de l’intelligence artificielle (IA) au sein de l’Union européenne. Ce texte, qui détiendrait le record d’amendements législatifs, est désormais en discussion entre les Etats membres devant le Conseil. L’objectif est d’arriver à un accord d’ici la fin de l’année.

Si la date d’entrée en vigueur de cet AI Act demeure incertaine, les entreprises engagées dans le secteur de l’IA ont tout intérêt à anticiper cette future réglementation.

Quelles sont les principales mesures ?

Les objectifs

Le règlement permet d’harmoniser les législations des Etats membres relatives aux systèmes d’IA et offre ainsi une sécurité juridique favorable à l’innovation et aux investissements dans ce domaine. Le texte se veut ainsi protecteur mais équilibré afin de ne pas freiner le développement de l’innovation nécessaire pour relever les défis à venir (lutte contre le changement climatique, l’environnement, la santé). A l’instar du règlement général sur la protection des données (RGPD), dont on retrouve tout au long des articles la même logique, l’AI Act se pose comme une référence mondiale.

Le champ d’application est d’ailleurs volontairement large afin d’éviter tout contournement de la règlementation. Il s’applique ainsi tant aux fournisseurs de l’IA (qui développent ou font développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous leur propre nom ou leur propre marque) qu’aux utilisateurs (qui utilisent sous leur propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel).

Concrètement, il s’applique :

aux fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union ;
aux utilisateurs de systèmes d’IA situés dans l’Union ;
aux fournisseurs et aux utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.

Une approche fondée sur les risques

L’intelligence artificielle est définie comme la capacité à générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions qui influencent l’environnement avec lequel le système interagit, que ce soit dans une dimension physique ou numérique.

Le règlement adopte une approche fondée sur les risques et introduit une distinction entre les utilisations de l’IA.

En ce qui concerne les systèmes d’IA à haut risque :

Les exigences minimales suivantes doivent être respectées :

Etablir un système de gestion des risques : ce système consiste en un processus itératif continu qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui devra périodiquement faire l’objet d’une mise à jour méthodique.
Assurer la qualité des jeux de données: les jeux de données d’entraînement, de validation et de test devront satisfaire aux critères de qualité et devront notamment être pertinents, représentatifs, exempts d’erreurs et complets. L’objectif est notamment d’éviter les « discriminations algorithmiques ».
Formaliser une documentation technique : une documentation technique contenant toutes les informations utiles à l’évaluation de la conformité d’un système d’IA à haut risque devra être établie avant que ce système ne soit mis sur le marché ou mis en service et tenue à jour.
Prévoir une traçabilité : la conception et le développement des systèmes d’IA à haut risque devront prévoir des fonctionnalités permettant l’enregistrement automatique des événements (« journaux ») pendant le fonctionnement de ces systèmes.
Fournir une informationtransparente : les systèmes d’IA à haut risque seront accompagnés d’une notice d’utilisation contenant des informations relatives aux caractéristiques de l’IA (identité et coordonnées du fournisseur, caractéristiques, les capacités et les limites de performance du système d’IA, mesures de contrôle humain…) accessibles et compréhensibles pour les utilisateurs.
Prévoir un contrôle humain: un contrôle effectif par des personnes physiques devra être prévu pendant la période d’utilisation du système d’IA.
Assurer la sécurité du système : la conception et le développement des systèmes d’IA à haut risque devront atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente à cet égard tout au long de leur cycle de vie.

Les obligations pèsent sur tous les acteurs de la chaine – le fournisseur, l’importateur comme le distributeur – de sorte que chacun devra prendre ses responsabilités et faire preuve d’une vigilance accrue.

Les fournisseurs devront notamment :

-démontrer le respect des exigences minimales suscitées en tenant une documentation technique ;

-soumettre leur système d’IA à une procédure d’évaluation de la conformité avant leur mise sur le marché ou leur mise en service ;

-prendre les mesures correctives nécessaires pour mettre en conformité le système d’IA, le retirer ou le rappeler ;

-coopérer avec les autorités nationales ;

-notifier les incidents graves et les dysfonctionnements touchant une IA à haut risque mise sur le marché aux autorités de surveillance de l’Etat membre où l’incident a eu lieu au plus tard 15 jours après que le fournisseur a eu connaissance de l’incident grave ou du dysfonctionnement.

A noter que ces obligations se répercutent également sur le fabricant du produit qui intègre un système d’IA à haut risque.

L’importateur d’un système d’IA à haut risque devra s’assurer que le fournisseur de ce système d’IA a suivi la procédure appropriée d’évaluation de la conformité, que la documentation technique est établie et que le système porte le marquage de conformité requis et est accompagné de la documentation et de la notice d’utilisation requises.
Les distributeurs devront également vérifier que le système d’IA à haut risque qu’ils entendent mettre sur le marché porte le marquage de conformité CE requis, qu’il est accompagné de la documentation et de la notice d’utilisation requises et que le fournisseur et l’importateur du système, selon le cas, ont respecté leurs obligations.

Contrôle de l’application des règles et gouvernance

Au niveau national, les États membres devront désigner une ou plusieurs autorités nationales compétentes et, parmi elles, l’autorité de contrôle nationale chargée de contrôler l’application et la mise en œuvre du règlement.

Un Comité européen de l’intelligence artificielle (composé des autorités de contrôle nationales) sera créé aux fins de fournir des conseils et une assistance à la commission européenne, notamment dans l’application cohérente du règlement au sein de l’Union.

Soutenir les PME et les start-ups via l’établissement de bacs à sable réglementaires sur l’IA et d’autres mesures visant à réduire la charge réglementaire.

Les bacs à sable réglementaires de l’IA offriront un environnement contrôlé qui facilitera le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique.

Sanctions

L’AI Act prévoit trois plafonds de sanction selon la nature de l’infraction :

Des amendes administratives pouvant aller jusqu’à 30 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 6 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de :

-non-respect de l’interdiction frappant les pratiques en matière d’intelligence artificielle ;

-non-conformité du système d’IA avec les exigences relatives aux critères de qualité des données.

La non-conformité du système d’IA avec les exigences ou obligations des autres dispositions de l’AI Act feront l’objet d’une amende administrative pouvant aller jusqu’à 20 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent
La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

Artcile rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

Les influenceurs à l’épreuve de la réglementation

Posted on 4 juillet 202318 avril 2024 by Valentin Poitou

Téléchargez notre article en cliquant ici.

La loi n° 2023-451 du 9 juin 2023 visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux a été publiée au Journal Officiel le 10 juin.

Nouvelles définitions

La loi définit désormais les influenceurs comme « les personnes physiques ou morales qui, à titre onéreux, communiquent au public par voie électronique des contenus visant à faire la promotion, directement ou indirectement, de biens, de services ou d’une cause quelconque exercent l’activité d’influence commerciale par voie électronique » ainsi que l’activité d’agent influenceur qui consiste à « représenter ou à mettre en relation, à titre onéreux » les personnes exerçant l’activité d’influence commerciale

Certaines activités interdites ou plus encadrées et dans tous les cas une obligation de transparence

Si les influenceurs doivent déjà respecter les dispositions légales existantes encadrant les pratiques publicitaires lors des placements de produits, ils devront en outre s’interdire toute promotion directe ou indirecte de traitements médicamenteux, de la chirurgie esthétique, de produits alcoolisés ou contenant de la nicotine, de certains produits et services financiers (notamment les crypto-monnaies), des abonnements à des pronostics de paris sportifs ou encore des produits impliquant des animaux sauvages. Ils devront aussi respecter les dispositions encadrant la promotion des jeux d’argent et de hasard.

De plus, pour une meilleure information des abonnés et jeunes utilisateurs des réseaux sociaux, les influenceurs devront indiquer, de manière claire, lisible et identifiable, les mentions « publicité » ou « collaboration commerciale » en cas de partenariats et « images retouchées » ou « images virtuelles » sur leurs photos et vidéos concernées par l’utilisation de filtres ou de procédés d’intelligence artificielle.

Vers une responsabilité accrue des influenceurs pour lutter contre le drop-shipping

Afin de s’adapter au phénomène du dropshipping, les influenceurs seront dorénavant responsables de plein droit vis-à-vis des acheteurs, au sens de l’article 15 de la LCEN, des produits qu’ils vendent sur leurs réseaux sociaux. Ils devront donc communiquer à l’acheteur les informations prévues à l’article L. 221‑5 du code de la consommation, ainsi que l’identité du fournisseur, et s’assurer de la disponibilité des produits et de leur licéité, notamment du fait qu’il ne s’agit pas de produits contrefaisants.

Vers plus de formalisme contractuel y compris pour les influenceurs établis à l’étranger

Les influenceurs devront formaliser des contrats écrits avec leurs agents et les annonceurs, quand les sommes en jeu dépassent un certain seuil, qui sera défini au sein d’un décret d’application. Ces contrats devront inclure plusieurs clauses obligatoires (concernant par exemple les conditions de rémunération, la soumission au droit français, les missions confiées, …). La loi prévoit également que l’annonceur, son mandataire et l’influenceur seront « solidairement responsables des dommages causés aux tiers dans l’exécution du contrat d’influence qui les lie ».

Ces obligations s’imposent à tous les influenceurs s’adressant à un public français, ce qui inclut les influenceurs établis à l’étranger. Ces derniers devront ainsi désigner sur le territoire de l’Union européenne une personne morale ou physique responsable pénalement en cas d’infraction. Le texte impose également à ceux qui exercent hors de l’Union européenne ou de l’espace économique européen de souscrire une assurance civile dans l’Union.

Quant aux plateformes hébergeant les contenus des influenceurs, elles doivent permettre aux internautes de signaler tout contenu non conforme aux nouvelles dispositions relatives à l’influence commerciale.

Renforcement des pouvoirs de la DGCCRF

Outre sa mission de contrôle, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), bénéficie de pouvoirs renforcés pour infliger des injonctions assorties d’astreintes et mises en demeure à l’encontre des influenceurs. Une brigade de l’influence commerciale composée de 15 agents a ainsi été créée au sein de la DGCCRF.

En cas de violation des obligations posées par ce texte, les influenceurs risqueront jusqu’à 2 ans de prison et 300 000 euros d’amende et pourront être interdits d’exercer.

Est également encourue la peine d’interdiction, définitive ou provisoire, « d’exercer l’activité professionnelle ou sociale dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise ».

Publication d’un guide de bonne conduite

Afin d’accompagner les influenceurs dans la mise en conformité des contenus qu’ils proposent et de leur activité, un guide de bonne conduite a été diffusé par le gouvernement. Le secteur attend maintenant les décrets d’application, qui doivent fournir des précisions sur les changements opérés pour l’activité des créateurs de contenu.

Article rédigé par Véronique Dahan, Emilie de Vaucresson, Thomas Lepeytre et Romain Soiron.

PUBLICATION DU DECRET RELATIF A LA RESILIATION DES CONTRATS PAR VOIE ELECTRONIQUE

Posted on 7 juin 202318 avril 2024 by Valentin Poitou

Entré en vigueur le 1er juin 2023, le décret n°2023-417 (publié le 31 mai 2023) fixe les modalités de résiliation des contrats par voie électronique prévue par l’article L. 215-1-1 du Code de la consommation introduit par la loi du 16 août 2022 portant mesure d’urgence pour la protection du pouvoir d’achat.

Il impose aux professionnels de mettre à disposition un accès rapide, facile, direct et permanent permettant au consommateur et au non-professionnel de notifier à un professionnel la résiliation d’un contrat.

Concrètement, cette fonctionnalité doit être présentée sous la mention « résilier votre contrat » ou une formule analogue dénuée d’ambiguïté et être directement et facilement accessible sur l’interface depuis laquelle le consommateur peut conclure des contrats par voie électronique. Le professionnel peut y rappeler les informations sur les conditions de résiliation mais doit s’abstenir d’imposer au consommateur la création d’un espace personnel pour y accéder.

Cette fonctionnalité de résiliation doit également inclure des rubriques permettant au consommateur de fournir au professionnel des informations permettant d’attester de son identité, d’identifier le contrat et, le cas échéant, de justifier des éventuels motifs légitimes à l’appui de sa demande de résiliation anticipée. Dans un tel cas, le professionnel doit mentionner une adresse postale et indiquer une adresse électronique ou comporter une fonctionnalité permettant d’adresser les justificatifs du motif légitime.

Enfin, le décret prévoit qu’une fois ces rubriques complétées, le consommateur doit pouvoir accéder à une page présentant une récapitulatif de sa résiliation lui permettant de vérifier et modifier les informations fournies avant de notifier sa demande.

Pour rappel, tout manquement aux dispositions de cet article L. 215-1-1 est passible d’une amende administrative d’un maximum de 15 000 € pour une personne physique et de 75 000 € pour une personne morale.

Article rédigé par Emilie de Vaucresson, Amanda Dubbary et Camille Leflour.

Transferts de données vers les Etats-Unis – Sanction record de 1,2 milliards d’euros pour Meta Ireland

Posted on 23 mai 202318 avril 2024 by Valentin Poitou

Article rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

Ce 22 mai 2023, l’autorité de régulation des données personnelle irlandaise, la Data Protection Commission (« DPC »), agissant comme chef de file, a annoncé avoir infligé à la société Meta Ireland une amende record s’élevant à 1,2 milliards d’euros pour avoir enfreint l’article 46, paragraphe 1 du RGPD en transférant des données personnelles vers les Etats-Unis sans mettre en œuvre les garanties appropriées.

Depuis l’invalidation du Privacy Shield, Meta Ireland mettait en œuvre ces transferts sur la base des clauses contractuelles types, en conjonction avec des mesures supplémentaires que la DPC a considéré comme insuffisantes au regard des risques pour les droits et libertés des personnes concernées. Les données de ses utilisateurs européens sont en effet stockées aux Etats-Unis, les exposant à une potentielle surveillance des autorités américaines.

L’enquête avait été initialement lancée en août 2020 dans le cadre d’une procédure de coopération. Le projet de décision préparé par la DPC avait alors été soumis à ses régulateurs homologues dans l’UE/EEE qui l’avait rejeté et renvoyé au Comité européen de la protection des données (le « CEPD »).

Sur la base de la décision du CEPD, la DPC a :

requis à Meta Ireland de suspendre tout transfert futur de données personnelles vers les États-Unis dans un délai de 5 mois à compter de la date de notification de la décision à Meta Ireland ;
condamné Meta Ireland une amende administrative d’un montant de 1,2 milliards d’euros, cette amende, la plus élevée jamais imposée en vertu du RGPD, est justifiée par la gravité des manquements reprochés à la maison mère de Facebook, qui compte des millions d’utilisateurs en Europe, ce qui implique un énorme volume de données transférées en violation du RGPD ; et
requis à Meta Ireland de mettre ses opérations de traitement en conformité avec le RGPD, en cessant le traitement illicite, y compris le stockage, aux États-Unis, de données personnelles d’utilisateurs de l’UE/EEE transférées sans garanties, dans un délai de 6 mois à compter de la date de notification de la décision du CPD à Meta Ireland.

Selon les termes d’Andrea Jelinek, présidente du CEPD « cette sanction est un signal fort pour les organisations que les infractions graves ont des conséquences considérables ». En effet, elle intervient dans un contexte de renforcement des contrôles envers les GAFAM, cette sanction étant la quatrième amende infligée à Meta Ireland en six mois.

De son côté, Meta Ireland qualifie cette amende d’« injustifiée et inutile » et souhaite demander sa suspension en justice. Dans ce contexte, le réseau social espère voir la Commission européenne adopter prochainement le nouveau projet de décision d’adéquation pour le transfert de données vers les Etats-Unis.

Dans l’immédiat, tant qu’un accord n’a pas été trouvé entre l’Europe et les Etats-Unis pour l’encadrement des flux de données vers les Etats-Unis, nous rappelons que la simple signature de clauses contractuelles types n’est pas suffisante pour assurer un transfert de données conforme au RGPD. Il est nécessaire de vérifier les garanties additionnelles mises en œuvre par le destinataire des données aux Etats-Unis pour assurer la confidentialité des données et l’impossibilité pour les autorités américaines d’y accéder.