2 mai 2022
C’est une petite avancée en matière d’information des utilisateurs des plateformes numériques quant aux risques encourus qui est réalisée grâce à ce nouveau texte de loi.
Tel qu’adopté, le texte modifie le code de la consommation et introduit un article L. 111-7-3 pour imposer de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés.
Ces opérateurs devront en effet réaliser un audit de sécurité, par l’intermédiaire de l’un des prestataires qualifiés par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Cet audit portera notamment sur le niveau de sécurisation et la localisation des données hébergées par les plateformes numériques en question, en précisant si elles sont hébergées en propre ou via un tiers (en cloud, par exemple).
Les résultats de cet audit seront publiés et devront être portés à la connaissance de l’internaute, par un visuel dit « cyberscore », indiquant le niveau de sécurité de leur site ou service, de la sécurisation entreprise ainsi que de la localisation des données.
Le texte n’indique pas les critères de seuil requis pour être soumis à ce dispositif. Le décret d’application à venir listera donc les plateformes, réseaux sociaux et sites de visioconférence concernés (en fonction de l’importance de leur activité) et un arrêté précisera les critères pris en compte par l’audit de sécurité.
Ce texte de loi répond au besoin de sécurité dans l’échange de données via des services de visioconférences et autres plateformes numériques, qui ont été de plus en plus utilisés depuis la crise sanitaire, sans pour autant justifier des exigences de sécurité nécessaire à préserver la confidentialité des échanges.
Le dispositif est prévu pour entrer en application le 1er octobre 2023.
Affaire à suivre !
C’est un projet de loi tant attendu, faisant suite au « Beauvau de la Sécurité », qui a été déposé le 16 mars dernier devant l’Assemblée Nationale, sur initiative du Premier Ministre et proposition du Ministre de l’Intérieur.
Il prévoit un certain nombre de mesures visant à lutter contre la criminalité, en donnant davantage de moyens aux forces de police et aux enquêteurs.
Le texte marque l’intérêt en ce qu’il confie une large palette de mesures à la lutte contre la cybercriminalité, laquelle « impose au ministère de l’intérieur une “ révolution copernicienne “ comparable à la création de la police judiciaire sous Georges Clemenceau » selon les rédacteurs du projet de loi. Ainsi, outre des moyens dédiés à la transformation numérique, ô combien nécessaires des outils et équipes du ministère (démarches dématérialisées, outils de travail en mobilité, moyens d’investigation modernisés), le projet de loi prévoit une disposition permettant aux assureurs de verser la prime d’assurance en cas d’extorsion subie par « ransomware ».
Ce sujet a dans les derniers mois défrayé la chronique, les institutions en matière de surveillance cyber (notamment l’ANSSI) s’étant prononcées contre le versement de primes d’assurance en cas d’attaque subie « par ransomware », quand bien-même celui-ci ne serait pas interdit, en raison du risque de recrudescence et d’incitation indirecte d’actes malveillants que cela pouvait entrainer.
Préférant toutefois prendre parti pour les victimes des cyber- attaques, dont les conséquences peuvent être très souvent très significatives, et suivant l’avis du Haut Comité Juridique de la Place Financière de Paris, la proposition de loi modifie ainsi le code des assurances pour autoriser les assureurs à verser une prime d’assurance en réparation des pertes subies par les assurés en raison du versement d’une rançon, à condition que ceux-ci justifient d’une plainte portant sur les faits d’extorsion subis déposée au plus tard 48 heures après le paiement de la rançon.
C’est donc un compromis entre indemnisation des victimes et recherche des auteurs d’infraction qui est recherché via ce projet de loi.
Reste à voir si le texte résistera aux amendements des parlementaires et aux questionnements pratiques de mise en œuvre qui ne manqueront pas de se poser.
Superior Court of New Jersey, 6th December 2021, UNN 2682-18
Un géant parmi les laboratoires pharmaceutiques a subi en 2017 l’une des cyberattaques aux conséquences les plus significatives, ayant engendré plus de 1,4 milliards de dollars de dommages et pertes. Le litige s’est alors noué à l’encontre de son assureur, qui refusait de prendre en charge le sinistre au motif de l’exclusion prévue dans la police d’assurance tenant aux actes de guerre (en anglais « warlike events »).
C’est ainsi que l’affaire a été portée devant la Cour du New Jersey, pour que le juge tranche cette question d’interprétation de la clause d’exclusion et réponde à la question de savoir si une cyberattaque pouvait être considérée comme un « acte de guerre ».
La juridiction américaine a fait œuvre d’une interprétation stricte de la clause prévoyant l’exception, aux motifs que la notion première à laquelle « l’acte de guerre » renvoie est celle d’un affrontement militaire, traditionnellement armé, donc. Ce qu’une cyberattaque, en principe, n’est pas. La Cour relève également que les cyberattaques étant un évènement de plus en plus récurrent, il appartenait à l’assureur américain de modifier ses polices d’assurances pour étendre l’exclusion y compris aux faits de cyberattaques, si telle était sa volonté.
En droit français, il est possible de supposer que la solution aurait été vraisemblablement la même sur le plan des principes, tant on sait que les clauses d’assurances sont d’interprétation strictes et qu’il ne peut être fait droit à une exception au contrat d’assurance si celle-ci n’est pas clairement définie par le texte.
Reste qu’il n’est pas souvent aisé, notamment en raison de la multiplication du recours aux attaques « cyber » dans le cadre de conflits armés, comme en témoignent les nombreuses cyberattaques ayant eu lieu en lien avec la guerre en Ukraine, de distinguer une cyberattaque « classique » d’une cyberattaque s’inscrivant dans le cadre d’un « acte de guerre », c’est- à-dire faisant partie d’une opération plus vaste de prise de contrôle d’un territoire à l’aide de forces militaires, ce qui passe également par l’emploi de moyens « cyber » visant à neutraliser les infrastructures IT.
Les rédacteurs des clauses d’exclusion se devront donc d’être donc particulièrement attentifs sur ces sujets dont l’actualité laisse présager qu’ils ne pourront que se multiplier…
CJUE, 2ème ch., arrêt du 24 mars 2022 - Austro-Mechana / Strato AG
C’est dans le cadre d’un litige entre un fournisseur allemand de service de stockage de données en cloud et une société autrichienne de gestion collective des droits d’auteur, au sujet de la rémunération due au titre du droit d’auteur qui était réclamée au fournisseur, lequel affirmait s’être déjà acquitté de la redevance (celle-ci étant intégrée par le fabricant des serveurs dans le prix de ces derniers), les utilisateurs payant en outre une redevance pour copie privée, que la CJUE a eu à se prononcer sur l’interprétation de la directive du 22 mai 2001 « sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information ».
Saisie de deux questions préjudicielles posées par les juridictions autrichiennes, la Cour a d’abord eu à interpréter la notion « de tout support » figurant à l’article 5, paragraphe 2, sous b) de la directive du 22 mai 2001, qui dispose que les États membres ont la faculté de prévoir des exceptions ou limitations au droit de reproduction « lorsqu’il s’agit de reproductions effectuées sur tout support par une personne physique pour un usage privé et à des fins non directement ou indirectement commerciales, à condition que les titulaires de droits reçoivent une compensation équitable qui prend en compte l’application ou la non-application des mesures techniques visées à l’article 6 aux œuvres ou objets concernés ».
La Cour considère que par « tout support », on peut considérer également un « espace de stockage mis à la disposition de l’utilisateur par un fournisseur d’un service de cloud pour la réalisation d’une copie ». Ainsi, quand bien même cet espace de stockage n’appartient pas stricto sensu à l’utilisateur, il peut être analysé comme un support pour usage privé, de sorte qu’il est éligible aux exemptions prévues à l’article 5 paragraphe 2, sous b) de ladite directive.
La Cour fonde notamment sa décision au regard du principe de « neutralité » technologique, qui implique qu’à aucun moment, une technologie ne peut être privilégiée au détriment d’une autre.
Dans sa réponse à la seconde question posée afin de savoir si cette disposition de la directive s’oppose à ce qu’une réglementation nationale n’assujettisse pas les fournisseurs de services de stockage dans le cadre de l’informatique en nuage au paiement d’une compensation équitable, la Cour répond qu’elle ne s’y oppose pas « au titre de la réalisation sans autorisation de copies de sauvegarde d’œuvres protégées par le droit d’auteur par des personnes physiques, utilisatrices de ces services, pour un usage privé et à des fins non directement ou indirectement commerciales, pour autant que cette réglementation prévoie le versement d’une compensation équitable au bénéfice des titulaires de droits ». En d’autres termes, la Cour rappelle l’exigence de réparation du préjudice des ayants droits du fait de l’atteinte au droit de reproduction de l’œuvre, de sorte que, si les fournisseurs ne sont pas tenus de verser la redevance pour copie privée, celle-ci doit être en tout état de cause supportée, à tout le moins par les utilisateurs, de sorte que la « compensation équitable» des ayants-droits soit assurée.
CJUE 5 avr. 2022, G. D. c. Commissioner of An Garda Síochána, aff. C-140/20
La CJUE a eu à se prononcer sur la validité du droit irlandais en matière de conservation de données d’identification et de trafic internet que l’on appelle communément les « métadonnées » au regard des exigences requises par le droit de l’Union.
La question juridique posée était, en synthèse, celle de la compatibilité d’une législation nationale prévoyant des mesures de conservation desdites métadonnées avec d’une part les principes émis par la directive 2002/58 qui prévoient, plus particulièrement, l’obligation pour les états membres de mettre en place des mesures concrètes visant à la protection de la confidentialité des données de trafics notamment en prévoyant des interdictions aux tiers d’écouter, d’intercepter et stocker lesdites données. D’autre part, il convenait de vérifier la compatibilité de ces exigences avec les principes émis par la Charte des droits fondamentaux de l’Union Européenne rappelant les objectifs des états membres de mettre en place les mesures nécessaires pour préserver la sécurité publique et la lutte contre la criminalité grave.
Faisant œuvre d’une complexe balance entre intérêts opposés, la Cour rappelle la jurisprudence consacrée par l’arrêt du 6 octobre 2020, dit « La Quadrature du Net » ( C 511/18, C 512/18 et C 520/18), et indique que les règles européennes garantissant la confidentialité des données de trafic doivent être interprétées en ce sens qu’elles s’opposent à des mesures législatives prévoyant, à titre préventif, aux fins de la lutte contre la criminalité grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée et indifférenciée des données relatives au trafic et des données de localisation.
La Cour motive cette décision notamment par l’impossibilité de la lutte pour le maintien de la sécurité publique et contre la criminalité grave à un objectif permettant de parvenir, indirectement, à une conservation préventive des métadonnées.
Ce d’autant que la Cour rappelle que les états membres disposent d’autres moyens, tout aussi efficaces, pour parvenir aux objectifs précités de sécurité nationale et de lutte contre la criminalité (notamment la conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, ainsi que des données relatives à l’identité civile des utilisateurs de moyens de communications).
Ainsi, la lutte contre la criminalité grave et pour la sécurité publique peut être poursuivie, sous la réserve toutefois tenant à ce que ces mesures préservent, par des règles claires et précises, la conservation des données en cause, et qu’elles soient subordonnées au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.
Conseil Constitutionnel, Décision n° 2021-976/977 QPC du 25 février 2022
C’est à l’occasion d’une Question Prioritaire de Constitutionnalité transmise par la Chambre Criminelle de la Cour de cassation que le Conseil Constitutionnel a eu à se prononcer sur la conformité à la Constitution de l’article L.34-1 du code des postes et des télécommunications qui, tout en rappelant le principe selon lequel les opérateurs de communications électroniques effacent ou rendent anonymes les données relatives au trafic enregistrées à l’occasion des communications électroniques dont ils assurent la transmission, expose que ces opérateurs peuvent être tenus de conserver pendant un an certaines catégories de données de connexion, dont les données de trafic, pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, en vue de la mise à disposition de telles données à l’autorité judiciaire.
Or, si le Conseil constitutionnel relève que le législateur a entendu poursuivre l’objectif à valeur constitutionnelle de prévention des atteintes à l’ordre public et d’identification des auteurs d’infraction, il considère que le texte législatif est d’une portée excessivement large dès lors que les données de connexion conservées en application des dispositions contestées portent non seulement sur l’identification des utilisateurs des services de communications électroniques, mais aussi, notamment, sur les données d’identification. D’autre part, c’est de façon générale que le texte vise « tous les utilisateurs des services de communications électroniques » et que l’obligation de conservation porte indifféremment « sur toutes les données de connexion relatives à ces personnes, quelle qu’en soit la sensibilité et sans considération de la nature et de la gravité des infractions susceptibles d’être recherchées ».
En conséquence, la disposition est déclarée inconstitutionnelle, et ce dans le droit fil du droit européen qui adopte la même position en matière de traitement des données personnelles.
Reste que l’inconstitutionnalité prononcée par le Conseil produit des effets limités, dans la mesure où le texte porté à son examen n’est plus aujourd’hui en vigueur : la déclaration d’inconstitutionnalité ne peut donc porter sur les effets des décisions et mesures prises en application de la disposition déclarée inconstitutionnelle.
Il s’agit toutefois d’une décision de principe qui rappelle au Législateur la nécessité de veiller à prendre des mesures proportionnées en matière d’atteinte à la confidentialité des données de connexion.
Cour d’appel de Pau, 2e ch. – Sec. 1, arrêt du 8 février 2022
ayant acquis les droits sur ces logiciels s’estimait victime d’actes de concurrence déloyale commis par les cédants desdits droits, qu’ils étaient selon elle en train d’exploiter de façon indirecte au travers d’autres sociétés.
C’est ainsi que sur le fondement de l’article 145 du code de procédure civile, la société prétendument victime de concurrence déloyale avait obtenu du juge des requêtes, à l’issue d’une première procédure non contradictoire, une autorisation pour réaliser des saisies de documents et des constats d’huissier de justice visant à établir les preuves avant procès de ses allégations.
Par arrêt du 8 février 2022, la cour d’appel de Pau a ordonné la rétractation de l’ordonnance sur requête portant sur ladite saisie, en raison de l’absence de motif légitime à la mesure, condition de validité imposée par l’article 145 du code de procédure civile.
On sait en effet que le juge de l’article 145 est tenu de vérifier, entre autres, le caractère « plausible » du litige potentiel, et ce afin d’éviter que la mesure d’instruction avant procès ne soit pas dévoyée et employée comme une mesure d’investigation générale visant à « perquisitionner » les locaux d’un concurrent et en saisir les éléments stratégiques.
Force est de constater que l’on assiste à un renforcement de l’exigence de ce critère, qui est interprété de façon de plus en plus restrictif par la jurisprudence. Ainsi, en l’occurrence, la Cour d’appel de Pau a refusé de constater le caractère plausible du litige, aux motifs que les captures écran réalisées par la société se prétendant victime de concurrence déloyale ne mettaient en lumière, selon la Cour, « aucune confusion objective entre les produits […] susceptible de caractériser un acte de parasitisme ». En outre, la Cour relève que les sociétés accusées d’avoir commis des actes de concurrence déloyales n’étaient en réalité tenues qu’à des « clauses de confidentialité » et non d’interdiction de concurrence à proprement parler, de sorte que le constat d’une participation commune avec une entité (tenue pourtant, quant à elle, à une obligation contractuelle de non concurrence) ne suffit pas à démontrer le caractère plausible du grief tiré de la concurrence déloyale.
par Leonardo Pinto et Philippe Glaser
par Philippe Glaser et Leonardo Pinto
par Philippe Glaser et Leonardo Pinto