Newsletter contentieux informatique et IT n°12

• Entrée en vigueur de la loi du 3 mars 2022 pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public
• Dépôt à l’Assemblée Nationale du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI)
• Les juridictions américaines considèrent qu’une « cyber-attaque » n’est pas un acte de guerre
• Droit européen : le cloud est un support soumis à la redevance pour copie privée
• Rappels de la CJUE en matière de règles d’accès et de stockages des métadonnées
• Censure du Conseil Constitutionnel en matière de collecte des données personnelles de connexion
• Rappel de l’exigence de démontrer le caractère « plausible » du litige futur dans le cadre d’une mesure d’instruction avant-procès

Entrée en vigueur de la loi du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public

C’est une petite avancée en matière d’information des utilisateurs des plateformes numériques quant aux risques encourus qui est réalisée grâce à ce  nouveau texte de loi.

Tel qu’adopté, le texte modifie le code de la consommation et introduit un article L. 111-7-3 pour imposer de nouvelles obligations en  matière  de   cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés.

Ces opérateurs devront en effet réaliser  un  audit  de  sécurité, par l’intermédiaire de l’un des prestataires qualifiés par l’Agence Nationale de la  Sécurité des Systèmes d’Information (ANSSI).

Cet audit portera notamment sur le niveau de sécurisation et la localisation des données hébergées par les plateformes numériques en question, en précisant si elles sont hébergées en propre ou via un tiers (en cloud, par exemple).

Les résultats de cet audit seront publiés et devront être portés à la connaissance de l’internaute, par un visuel dit « cyberscore », indiquant le niveau  de  sécurité de leur site ou service, de la sécurisation entreprise ainsi que de  la  localisation  des  données.

Le texte n’indique  pas  les critères de seuil requis pour être soumis à ce dispositif. Le décret d’application à venir listera donc les plateformes, réseaux sociaux et sites de visioconférence concernés (en fonction de l’importance de leur activité) et un arrêté précisera les critères pris en compte par l’audit de sécurité.

Ce texte de loi répond au besoin de   sécurité    dans    l’échange de  données  via  des   services de visioconférences et autres plateformes numériques, qui ont été de plus en plus utilisés depuis la crise sanitaire, sans pour autant justifier des exigences de sécurité nécessaire à  préserver la confidentialité des échanges.

Le dispositif est prévu pour entrer en application le 1er octobre 2023.

Affaire à suivre !

Dépôt à l’Assemblée Nationale du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI)

C’est un projet de loi tant attendu, faisant suite au « Beauvau de la Sécurité », qui a été déposé le 16 mars dernier devant l’Assemblée Nationale, sur initiative du Premier Ministre et proposition du Ministre de l’Intérieur.

Il prévoit un certain nombre de mesures visant à  lutter contre la criminalité, en donnant davantage de moyens aux forces de police et aux enquêteurs.

Le texte marque l’intérêt en ce qu’il confie une large palette de mesures à la lutte contre la cybercriminalité, laquelle « impose au ministère de l’intérieur une “ révolution copernicienne “ comparable à la création de la police judiciaire sous Georges Clemenceau » selon les rédacteurs du projet de loi. Ainsi, outre des moyens dédiés à la transformation numérique, ô combien nécessaires des outils et équipes du ministère (démarches dématérialisées, outils de travail en mobilité, moyens d’investigation modernisés), le projet de loi prévoit une disposition permettant aux assureurs de verser la prime d’assurance en cas d’extorsion subie par « ransomware ».

Ce sujet a dans  les  derniers mois défrayé la chronique, les institutions en matière de surveillance cyber (notamment l’ANSSI) s’étant prononcées contre le versement de primes d’assurance en cas d’attaque subie « par ransomware », quand bien-même  celui-ci  ne   serait pas interdit, en raison du risque de recrudescence et d’incitation indirecte d’actes malveillants que cela pouvait entrainer.

Préférant toutefois prendre parti pour les victimes des cyber- attaques, dont les conséquences peuvent  être  très  souvent  très significatives, et suivant  l’avis du  Haut Comité Juridique de la Place Financière de Paris, la proposition de loi modifie ainsi le code des assurances pour autoriser les assureurs à verser une prime d’assurance en réparation des pertes subies par les assurés en raison du versement d’une rançon, à condition que ceux-ci justifient d’une plainte portant sur les faits d’extorsion subis déposée au plus tard 48 heures après le paiement de la rançon.

C’est donc un compromis entre indemnisation des victimes et recherche des auteurs d’infraction qui est recherché via ce projet de loi.

Reste à voir si le texte résistera aux amendements des parlementaires et aux questionnements pratiques de mise en œuvre qui ne manqueront pas de se poser.

Les juridictions américaines considèrent qu’une « cyber-attaque »n’est pas un acte de guerre

Un géant parmi les laboratoires pharmaceutiques   a   subi   en 2017 l’une des   cyberattaques aux conséquences les plus significatives, ayant engendré plus de 1,4 milliards de dollars de dommages et pertes. Le litige s’est alors noué à l’encontre de son assureur, qui refusait de prendre   en   charge   le   sinistre au motif de l’exclusion prévue dans la   police   d’assurance tenant   aux   actes   de    guerre (en anglais « warlike events »).

C’est ainsi que l’affaire a été portée devant la Cour du New Jersey, pour que le juge tranche cette question d’interprétation de la clause d’exclusion et réponde à la question de savoir si une cyberattaque pouvait être considérée comme un « acte de guerre ».

La juridiction américaine a fait œuvre d’une interprétation stricte de la clause prévoyant l’exception, aux motifs que la notion première à laquelle « l’acte de guerre » renvoie est celle d’un affrontement militaire, traditionnellement armé, donc. Ce qu’une cyberattaque, en principe, n’est pas. La Cour relève également que les cyberattaques étant un évènement de plus en plus récurrent, il appartenait à l’assureur américain de modifier ses polices d’assurances pour étendre l’exclusion y compris aux faits de cyberattaques, si telle était sa volonté.

En droit français, il est possible de supposer que la solution aurait été vraisemblablement la même sur le plan des principes, tant on sait que les clauses d’assurances sont    d’interprétation     strictes et qu’il  ne  peut  être  fait  droit à une exception au contrat d’assurance si celle-ci n’est pas clairement définie par le texte.

Reste qu’il n’est pas souvent aisé,  notamment  en  raison  de la  multiplication   du   recours aux attaques « cyber » dans le cadre de conflits armés, comme en témoignent les nombreuses cyberattaques ayant eu lieu en lien avec la guerre en Ukraine, de  distinguer  une  cyberattaque « classique » d’une cyberattaque s’inscrivant   dans   le    cadre d’un « acte de guerre », c’est- à-dire faisant partie d’une opération  plus  vaste  de  prise de   contrôle   d’un   territoire   à l’aide de forces militaires, ce qui passe  également  par  l’emploi de moyens « cyber » visant à neutraliser les infrastructures IT.

Les rédacteurs des clauses d’exclusion se devront donc d’être donc particulièrement attentifs sur ces sujets dont l’actualité laisse présager qu’ils ne  pourront  que  se  multiplier…

Droit européen : le cloud est un support soumis à la redevance pour copie privée

C’est dans le cadre d’un litige entre un  fournisseur  allemand de service de stockage de données en cloud et une société autrichienne de gestion collective des droits d’auteur, au sujet de la rémunération due au titre du droit d’auteur qui était réclamée au fournisseur, lequel affirmait s’être déjà acquitté de la redevance (celle-ci étant intégrée par le fabricant   des   serveurs    dans le prix de ces derniers), les utilisateurs payant en outre une redevance pour copie privée, que la CJUE a eu à se prononcer sur l’interprétation de la directive du 22 mai 2001 « sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information ».

Saisie de deux questions préjudicielles posées par les juridictions  autrichiennes,  la Cour a d’abord eu à interpréter la notion « de tout support » figurant à l’article 5, paragraphe 2, sous b) de la directive du 22 mai 2001, qui dispose que les États membres ont la faculté de prévoir des  exceptions ou limitations au  droit de reproduction « lorsqu’il s’agit de reproductions effectuées sur tout support par une personne physique pour un usage privé et à des fins non directement ou indirectement commerciales, à condition que les titulaires de droits reçoivent une compensation équitable qui prend en compte l’application ou la non-application des mesures techniques visées à l’article 6 aux œuvres ou objets concernés ».

La Cour considère que par « tout support », on peut considérer également un « espace de stockage mis à la disposition de l’utilisateur par un fournisseur d’un service de cloud pour la réalisation d’une copie ». Ainsi, quand bien même cet espace de stockage n’appartient pas stricto sensu à l’utilisateur, il peut être analysé comme un support pour usage privé, de sorte qu’il est éligible aux exemptions prévues à l’article 5 paragraphe 2, sous b) de ladite directive.

La Cour fonde notamment sa décision au regard du principe de « neutralité » technologique, qui implique qu’à aucun moment, une technologie ne peut être privilégiée au détriment d’une autre.

Dans sa réponse à la seconde question posée afin de savoir si cette disposition de la directive s’oppose à ce qu’une réglementation nationale n’assujettisse pas les fournisseurs de services de stockage dans le cadre de l’informatique en nuage au paiement d’une compensation équitable, la Cour répond qu’elle ne s’y oppose pas « au titre de la réalisation sans autorisation de copies de sauvegarde d’œuvres protégées par le droit d’auteur par des personnes physiques, utilisatrices de ces services, pour un usage privé et à des fins non directement ou indirectement commerciales, pour autant que cette réglementation prévoie le versement  d’une  compensation équitable au bénéfice des titulaires de droits ». En d’autres termes, la Cour rappelle l’exigence de réparation du préjudice des ayants  droits  du fait de l’atteinte au droit de reproduction de  l’œuvre,  de sorte  que,  si  les   fournisseurs ne sont pas tenus de verser la redevance pour copie privée, celle-ci doit être en  tout  état de cause supportée, à tout le moins par les utilisateurs,  de sorte que la « compensation équitable» des ayants-droits soit assurée.

La CJUE a eu à se prononcer sur la validité du droit irlandais en matière de conservation de  données d’identification et de trafic internet que l’on appelle  communément les « métadonnées » au regard des  exigences  requises par le droit de l’Union.

La  question  juridique  posée était, en synthèse, celle de la compatibilité d’une législation nationale  prévoyant  des mesures de  conservation desdites métadonnées  avec d’une  part  les  principes  émis par la directive 2002/58 qui prévoient, plus particulièrement, l’obligation pour les états membres de  mettre  en  place des mesures  concrètes visant à la protection de la confidentialité des données de trafics notamment en prévoyant des interdictions aux tiers d’écouter, d’intercepter et stocker lesdites données. D’autre part, il convenait de vérifier la compatibilité de ces exigences avec les  principes émis par la Charte des droits fondamentaux de l’Union Européenne rappelant les objectifs des états membres de mettre en place les mesures nécessaires pour préserver la sécurité publique et  la  lutte contre la criminalité grave.

Faisant œuvre d’une complexe balance entre intérêts   opposés, la Cour rappelle la jurisprudence consacrée par l’arrêt du 6 octobre 2020, dit « La Quadrature   du Net » ( C 511/18, C 512/18 et C 520/18), et indique que les règles européennes garantissant la confidentialité des données de trafic doivent être interprétées en ce sens qu’elles s’opposent à des mesures  législatives  prévoyant, à titre préventif, aux fins de la lutte contre  la  criminalité  grave et de la prévention des menaces graves contre la sécurité publique, une conservation généralisée  et  indifférenciée des données relatives au trafic et  des  données  de  localisation.

La Cour motive cette décision notamment par l’impossibilité de la lutte pour le maintien de  la  sécurité  publique  et contre la criminalité grave à un objectif permettant de parvenir, indirectement, à une conservation préventive des métadonnées.

Ce d’autant que la Cour rappelle que les états membres disposent d’autres moyens, tout aussi efficaces, pour parvenir aux objectifs précités de sécurité nationale et de lutte contre la criminalité (notamment la conservation généralisée et indifférenciée des adresses IP attribuées à la source d’une connexion, pour une période temporellement limitée au strict nécessaire, ainsi que des données relatives à  l’identité civile des utilisateurs de moyens de communications).

Ainsi, la lutte contre la criminalité grave et pour  la  sécurité publique peut être poursuivie, sous   la   réserve   toutefois tenant à ce que ces mesures préservent, par des règles claires et précises, la conservation des données en cause, et qu’elles soient subordonnées au respect des conditions matérielles et procédurales y afférentes et que les personnes concernées disposent de garanties effectives contre les risques d’abus.

Censure du Conseil Constitutionnel en matière de collecte des données personnelles de connexion

Conseil Constitutionnel, Décision n° 2021-976/977 QPC du 25 février 2022

C’est à  l’occasion d’une Question Prioritaire de Constitutionnalité  transmise par  la  Chambre  Criminelle de la Cour de cassation que le Conseil Constitutionnel a eu à se prononcer sur la conformité à la Constitution de  l’article L.34-1 du code des  postes  et des  télécommunications qui, tout en rappelant le  principe selon lequel les opérateurs de communications électroniques effacent ou rendent anonymes les données relatives au trafic enregistrées à l’occasion des communications électroniques dont ils assurent la transmission, expose que ces opérateurs peuvent être tenus de conserver pendant un an certaines catégories de données de connexion,  dont   les   données de trafic, pour les besoins de la recherche,  de la constatation et de la poursuite des infractions  pénales,  en  vue  de la mise à disposition de telles données à l’autorité  judiciaire.

Or, si le Conseil constitutionnel relève que le législateur a entendu poursuivre l’objectif à valeur constitutionnelle de prévention des  atteintes  à   l’ordre   public et d’identification des auteurs d’infraction, il considère que le texte législatif est d’une portée excessivement large dès lors que les données de connexion conservées en application des dispositions contestées portent non seulement sur l’identification des utilisateurs des services de communications électroniques, mais aussi, notamment, sur les données d’identification. D’autre part, c’est de façon générale que le texte vise « tous les utilisateurs des services de communications électroniques » et que l’obligation de conservation porte indifféremment « sur toutes les données de connexion relatives à ces personnes, quelle qu’en soit la sensibilité et sans considération  de  la  nature  et de la gravité des infractions susceptibles d’être recherchées ».

En conséquence, la disposition est déclarée inconstitutionnelle, et ce dans le droit fil du droit européen qui adopte la même position en matière de traitement des données personnelles.

Reste que l’inconstitutionnalité prononcée par le Conseil produit des effets limités, dans la mesure où le texte porté à son examen  n’est  plus  aujourd’hui en vigueur : la déclaration d’inconstitutionnalité ne  peut donc porter sur les effets des décisions et mesures prises en application de la disposition déclarée  inconstitutionnelle.

Il s’agit toutefois d’une décision de principe qui rappelle au Législateur la nécessité  de veiller à prendre des mesures proportionnées en matière d’atteinte à la confidentialité des données de connexion.

Rappel de l’exigence de démontrer le caractère « plausible » du litige futur dans le cadre d’une mesure d’instruction avant-procès

Cour d’appel de Pau, 2e ch. – Sec. 1, arrêt du 8 février 2022

ayant acquis les droits sur ces logiciels s’estimait victime d’actes de concurrence déloyale commis par les cédants desdits droits, qu’ils étaient selon elle en train d’exploiter de façon indirecte au travers d’autres sociétés.

C’est ainsi que sur le fondement de l’article 145 du code de procédure civile,  la société prétendument victime de concurrence déloyale avait obtenu du  juge  des  requêtes, à l’issue d’une première procédure non  contradictoire, une autorisation  pour  réaliser des saisies de documents et des constats d’huissier de justice visant à  établir  les  preuves avant procès de ses allégations.

Par arrêt du 8 février 2022,  la cour d’appel de Pau a ordonné la rétractation de l’ordonnance sur requête portant sur ladite saisie, en raison de l’absence de motif légitime à la  mesure,  condition de validité imposée par l’article 145 du code de procédure civile.

On sait en effet que le juge de l’article 145 est tenu de vérifier, entre  autres, le caractère « plausible » du litige potentiel, et ce afin d’éviter  que  la mesure  d’instruction  avant procès ne soit pas dévoyée et employée comme une mesure d’investigation générale   visant à « perquisitionner » les locaux d’un concurrent et en saisir les éléments stratégiques.

Force est de constater que l’on assiste à un renforcement de l’exigence de ce critère, qui est interprété de façon de plus en plus restrictif  par la jurisprudence. Ainsi, en l’occurrence,  la Cour d’appel de Pau a refusé de constater le caractère plausible du litige, aux motifs que  les  captures écran  réalisées par la société se prétendant victime de concurrence déloyale ne mettaient en lumière,    selon la Cour, « aucune confusion objective entre les produits […] susceptible de caractériser un acte de parasitisme ». En outre, la Cour relève que les sociétés accusées d’avoir commis des actes de concurrence déloyales n’étaient en réalité tenues qu’à des «    clauses de confidentialité » et non d’interdiction de concurrence à proprement parler, de sorte que le constat d’une participation commune avec une entité (tenue pourtant,  quant à elle, à une obligation  contractuelle de non concurrence) ne suffit pas à démontrer le caractère plausible du grief tiré de la concurrence déloyale.