Newsletter contentieux informatique et IT n°13

• Coopération en matière de cybersécurité : en route vers l’adoption de la directive NIS II
• Contrôles massifs de la CNIL : 15 entreprises exploitant des sites web sanctionnées
• Renforcement des obligations d’information et de la garantie légale de conformité pour les vendeurs de biens et de contenus et services numériques
• La CJUE valide la possibilité pour une association de consommateurs d’intenter une action représentative au titre d’un manquement aux règles du RGPD
• Sanction des clauses de renouvellement tacite du contrat en cas d’exercice des options de renouvellement de parcs informatiques
• Communication des éléments d’identité d’un auteur de menaces et messages malveillants devant le juge des référés

Coopération en matière de cybersécurité : en route vers l’adoption de la directive NIS II

Le 22 juin 2022, le Comité des Représentants Permanents des Etats membres de l’Union Européenne (COREPER) a formellement approuvé le principe de révision de la directive Network and Information System Security (NIS), adoptée par les institutions européennes le 6 juillet 2016 et transposée en France par la loi n°2018-133 du 26 février 2018. Ce texte avait notamment intégré en droit français des obligations pour les fournisseurs de service numérique et pour les « opérateurs essentiels », des obligations de garantie d’un certain niveau de sécurité des réseaux et des systèmes d’information, ainsi qu’en matière de gestion des incidents et de continuité des activités.
Conformément à une clause de revoyure de NIS I, les institutions européennes ont formellement enclenché, depuis le 16 décembre 2020, une proposition pour remplacer la directive aujourd’hui en vigueur.

Les objectifs de NIS II seront donc les suivants :

• Augmenter le niveau de cyber-résilience, par la mise en place de nouvelles règles et obligations en matière de sécurité, en les étendant aux secteurs des télécoms, des plateformes de réseaux sociaux ainsi qu’aux administrations publiques, et en abolissant la distinction entre fournisseur de services numériques et d’opérateurs essentiels ;
• Réduire les incohérences dans les secteurs déjà couverts par la directive, en harmonisant les règles applicables, les méthodes de supervision et de contrôle des autorités nationales. Il est ainsi envisagé d’uniformiser la règle du délai de 24 heures dans le cadre duquel la déclaration d’une atteinte à la sécurité du système informatique auprès de l’autorité nationale doit être faite (avec l’obligation de compléter cette première déclaration avec un rapport final dans les 30 jours suivants), ainsi que les sanctions en cas de non déclaration d’atteinte à la sécurité du système, qui peuvent aller jusqu’à 10 millions d’euros ou à 2% du chiffre d’affaires mondial généré par l’entité en cause ;
• Améliorer le niveau de coopération ainsi que la capacité collectivité de pouvoir répondre en prenant des mesures pour accroître le niveau de confiance entre les autorités compétentes, en augmentant l’échange d’information et en mettant en place des règles et normes pour la prise en charge des incidents de grande échelle.

Une fois la directive NIS II approuvée par le Parlement et le Conseil de l’Union Européenne, les états membres auront 21 mois pour la transposer dans le droit national.

Contrôles massifs de la CNIL : 15 entreprises exploitant des sites web sanctionnées

La CNIL a dévoilé les résultats d’une série de contrôles qu’elle pu réaliser dans le cadre de l'une de ses thématiques prioritaires pour l’année 2021, à savoir « la cybersécurité du web français ».

Ces contrôles, en ligne et sur pièces, ont porté auprès de vingt-et-un sites web d’organismes français du secteur public (communes, centres hospitaliers universitaires, ministères…) et du secteur privé (plateformes de e-commerce, prestataires de solutions informatiques...).

Cette thématique a été privilégiée par la CNIL car les défauts de sécurité des sites web figurent parmi les manquements les plus souvent constatés lors des contrôles, et sont susceptibles de conduire à des violations de données personnelles.

Les manquements relevés par la CNIL portent sur l’obligation générale du responsable de traitement de sécuriser les données personnelles traitées (article 32 du RGPD).

La CNIL s’est référée aux recommandations délivrées par l’ANSSI en matière de sécurité, en particulier, pour le secteur public, au référentiel général de sécurité (RGS) qui fixe les règles que les téléservices mis en place par des administrations doivent obligatoirement respecter pour assurer la sécurité des informations échangées, ainsi que sur sa recommandation relative aux mots de passe de 2017.

Les vérifications réalisées par la CNIL ont donc essentiellement porté sur des points techniques et organisationnels.
L’autorité a donc mis en évidence deux séries de manquements :

• Des données insuffisamment chiffrées, de nombreux acteurs permettant un accès pas suffisamment sécurisé à leur site web ;
• Une insuffisance de protection des comptes utilisateurs, en raison d’un défaut de dispositifs permettant de tracer les connexions anormales aux serveurs. La CNIL a en outre constaté le recours à des mots de passe insuffisamment robustes et des procédures permettant de les renouveler ne sécurisant pas suffisamment leur transmission et leur conservation.

La sanction prise par la CNIL est celle d’une mise en demeure d’avoir à régulariser le manquement constaté. Les organismes mis en demeure disposent donc d’un délai de trois mois pour prendre toute mesure permettant d’assurer un niveau de sécurité adapté.

On rappellera que le montant des sanctions pécuniaires peut s’élever jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires annuel mondial.

Renforcement des obligations d’information et de la garantie légale de conformité pour les vendeurs de biens et de contenus et services numériques

Décret n° 2022-946, 29 juin 2022, JO 30 juin 2022

A la suite de l’ordonnance du 29 septembre 2021 n°2021-1237 relative à la garantie légale de conformité pour les biens, contenus numériques et services numériques, le décret du 29 juin 2022 vient modifier la partie règlementaire du code de la consommation pour renforcer les obligations des vendeurs de biens et de contenus et services numériques.

On rappellera que l’ordonnance précitée avait introduit notamment une obligation de garantie pour tous les professionnels fournissant un contenu numérique ou un service numérique, portant sur la conformité dudit contenu ou service, ainsi que sur les défauts de conformités résultant de l’intégration incorrecte du contenu numérique ou du service numérique dans l’environnement du consommateur.

Le décret du 29 juin 2022 instaure au profit du consommateur une obligation d’information particulière portant sur l’existence de la garantie ainsi que sur « les fonctionnalités du contenu numérique, y compris les mesures de protection technique applicables, ainsi que toute compatibilité et interopérabilité pertinentes avec certains biens, contenus numériques ou services numériques ainsi qu'avec certains matériels ou logiciels, dont le professionnel a ou devrait raisonnablement avoir connaissance ».

On notera en outre la création d’une obligation d’information portant sur les mises à jour de sécurité et leur durée, le professionnel devant informer le consommateur des caractéristiques essentielles de chaque mise à jour (objet, version des pilotes avec lesquels la mise à jour est compatible, espace de stockage nécessaire, conséquences sur les performances du bien).

Le décret formalise à cet égard la technique de l’encadré obligatoire pour les informations en question portant sur la garantie légale.
Enfin, le décret prévoit que le secteur économique dans lequel la pratique du rescrit peut être réalisée, selon laquelle le professionnel peut interroger l’administration pour connaître son avis sur la conformité aux textes de la garantie portant sur les produits et services numériques, est celui du commerce de détail d'appareils électroménagers en magasins spécialisés.

La CJUE valide la possibilité pour une association de consommateurs d’intenter une action représentative au titre d’un manquement aux règles du RGPD

Cour de justice de l’Union européenne, 3ème ch., arrêt du 28 avril 2022

Une association de défense des consommateurs peut exercer des actions représentatives contre des atteintes à la protection des données à caractère personnel, indépendamment d’un mandat qui lui aurait été conféré ou de la violation de droits concrets d’une personne concernée.

C’est l’apport d’un récent arrêt de la Cour de justice de l’Union européenne, rendu dans le cadre d’une affaire opposant une association de consommateurs allemande se plaignant d’un accès illicite d’une plateforme de réseaux sociaux bien connue, aux données personnelles de ses utilisateurs. Saisie d’une question préjudicielle sur la recevabilité de l’action de l’association de consommateur, la Haute Cour européenne considère que le RGPD ne s’oppose pas à une réglementation nationale qui permet à une association de défense des intérêts des consommateurs d’agir en justice, en l’absence d’un mandat qui lui a été conféré à cette fin et indépendamment de la violation de droits concrets des personnes concernées, contre l’auteur présumé d’une atteinte à la protection des données à caractère personnel, en invoquant la violation de l’interdiction des pratiques commerciales déloyales, d’une loi en matière de protection des consommateurs ou de l’interdiction de l’utilisation de conditions générales nulles, dès lors que le traitement de données concerné est susceptible d’affecter les droits que des personnes physiques identifiées ou identifiables tirent de ce règlement.

La Cour précise que le fait d’habiliter une organisation de défense des droits des consommateurs à exercer une telle action représentative peut s’avérer plus efficace que le recours d’une personne concrètement affectée par une violation de ses droits et peut ainsi contribuer à renforcer les droits des personnes concernées et à leur assurer un niveau élevé de protection. Selon la Cour, une telle action permet aussi de prévenir un grand nombre de violations des droits des personnes concernées par le traitement en question.

En France, les associations établies selon la loi de 1901 ne peuvent pas agir, devant les juridictions civiles, en lieu et place des consommateurs qu’elles représentent, sauf à disposer d’un mandat établi en ce sens et d’être agréées sur le plan national. Une loi sera donc nécessaire pour permettre une action en justice d’une association de consommateurs ne disposant pas d’un mandat établi par les consommateurs lésés.

Sanction des clauses de renouvellement tacite du contrat en cas d’exercice des options de renouvellement de parcs informatiques

Cass. Com. 11 mai 2022, n° X 19-22.015

Une société spécialisée dans la distribution de bois et de matériaux de construction en France a fait appel, en 2004, à une société fournissant des prestations de location d’équipements informatiques. L’ensemble contractuel en vigueur, défini comme un contrat de location « évolutif », était composé notamment des conditions générales comportant une « option d’échange technologique » (TRO, pour « Technology Refresh Option »), et une annexe TRO, dont les termes prévoyaient une durée de location de 42 mois, renouvelée systématiquement à chaque modification du parc d’équipements informatiques.

Le litige s’est noué entre les parties à raison de la résiliation, par la société de location, des conditions générales en vigueur pour risque avéré que le locataire ne puisse faire face à ses engagements financiers, résiliation qui a eu pour effet de mettre un terme à l’exercice de l’option d’échange. Toutefois, l’annexe TRO continuait d’être en vigueur pour 42 mois supplémentaires malgré la résiliation prononcée.

La société locatrice a alors assigné le bailleur de matériel informatique en demandant que soit prononcée la nullité de l'annexe TRO pour cause de perpétuité et d'illégalité de la fixation du prix des loyers, et que soit constatée l'illicéité de certaines clauses, ainsi que la réparation du préjudice causé par la violation de son obligation de conseil.

Le caractère perpétuel du contrat résultait, selon la société locatrice, du fait que pendant la période de préavis de résiliation, tout nouvel exercice de l’option de renouvellement du parc informatique aurait entrainé une prorogation du terme du contrat.

La société locatrice n’a cependant pas vu ses demandes prospérer devant la Cour d’appel, celle-ci ayant écarté la présence d’un engagement perpétuel en raison de la possibilité, toujours ouverte, de renoncer à la modification de son installation informatique, et en conséquence de mettre un terme au contrat.

Tel n’a toutefois pas été l’avis de la Cour de cassation qui relève que si les contrats prévoyaient bien des clauses de résiliation comportant un certain préavis, il était toutefois établi que pendant ce même préavis (9 mois dans les conditions générales et 42 mois pour l’annexe TRO), la société locatrice se trouvait dans l’impossibilité de faire usage d’une option de renouvellement de son matériel informatique, sauf bien entendu à reconduire de fait (par application des termes des deux contrats) la relation en cours. La Cour de cassation reproche donc à la Cour d’appel de ne pas avoir vérifier s’il n’y avait pas là une « obligation infinie », à laquelle la société locatrice aurait été de facto soumise.

Il s’agit d’une approche concrète de l’équilibre contractuel entre les parties, notamment au regard de la contrainte de renouvellement du parc informatique d’une société commerciale, contrainte qui se renforce de plus en plus au fil de l’avancée des progrès technologiques réalisés dans la matière.

Communication des éléments d’identité d’un auteur de menaces et messages malveillants devant le juge des référés

Tribunal judiciaire de Paris, ordonnance de référé du 5 avril 2022

Un particulier ayant perdu ses papiers d’identité a été, depuis lors, destinataire d’une vague d’appels téléphoniques masqués, de messages facebook malveillants et d’emails lui réclamant le versement d’importantes sommes d’argents.

A la suite d’un dépôt de plainte, il a pu identifier un numéro de téléphone à partir duquel les menaces ont été proféré.

Le particulier décidait toutefois d’agir devant le juge civil des référés, afin de contraindre l’opérateur exploitant le numéro de téléphone à dévoiler l’identité de l’auteur des messages de menace.

Le juge des référés du tribunal de commerce de Paris a fait droit à sa demande, enjoignant l’opérateur de dévoiler les éléments d’identité en cause, sur le fondement de l’article 145 du code de procédure civile, le particulier justifiant de la réalité des messages de menace et du caractère plausible du procès pouvant donc l’opposer à leur auteur.

Le juge relève en outre que les mesures demandées étaient légalement admissibles car sollicitées conformément aux dispositions de la Loi LCEN (du 21 juin 2004 pour la confiance dans l’économie numérique), dont l’article 6, II permet à quiconque est visé par un contenu illicite de solliciter auprès des fournisseurs d’accès aux services de communication en ligne ainsi qu’auprès des hébergeurs de contenu sur internet de pouvoir solliciter « les données de nature à permettre l’indentification de quiconque à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».

Reste que compte tenu du caractère délictueux des faits de la cause, il aurait appartenu aux forces de police saisies de l’enquête de solliciter depuis l’opérateur en cause les éléments utiles pour identifier l’auteur de l’infraction. Mais ceux-ci étant de plus en plus sollicités pour ce genre d’affaires, force est de constater la certaine inertie qui peut s’installer dans le déroulé de l’enquête et qui est susceptible d’inviter les parties à saisir le juge civil pour parvenir à l’identification des auteurs d’infractions.