Publication

détection de gestes suspects
Actualités, Articles, Informatique et libertés Contentieux, Publication, Robot

Non-conformité d’une solution pour la détection de gestes suspects

/

Le 21 juin 2024, le Conseil d’État a rendu une décision importante à l’encontre d’une société spécialisée dans l’intelligence artificielle appliquée à la sécurité ayant développé une solution pour la détection de gestes suspects (1). Lire la suite La procédure de contrôle diligentée par la Cnil Non-conformité d’une solution pour la détection de gestes suspects La société requérante avait développé une solution de détection de gestes suspects, installée sur des boîtiers adossés à un dispositif de vidéoprotection. La Cnil, à l’issue d’une procédure de contrôle orientée sur la conformité des traitements de données personnelles mis en œuvre au travers de la solution, a conclu à la non-conformité de ce dispositif à la règlementation relative à la protection des données et en a informé les clients utilisateurs de cette décision. Les fondements de la saisine du Conseil d’État Non-conformité d’une solution pour la détection de gestes suspects Contestant la décision de la Cnil, la société requérante a saisi le Conseil d’État en référé, demandant la suspension de la décision en invoquant que : • la position de l’autorité de contrôle aurait un impact significatif sur ses activités commerciales ; • cette décision excéderait ses pouvoirs en constituant une sanction déguisée. Au soutien de ses prétentions, la société requérante invoquait les dispositions de l’ancien article R253-3 du Code la sécurité intérieure qui, selon elle, écartait tout droit d’opposition des personnes concernées à un traitement de vidéoprotection. La position de la Cnil Non-conformité d’une solution pour la détection de gestes suspects La requérante faisait valoir que l’application de cet article à sa solution pour la détection de gestes suspects exclurait la position de la Cnil sur l’utilisation des caméras augmentées dans l’espace public (2). En effet, dans cette position du 19 juillet 2022, la Cnil rappelait que le droit d’opposition doit être garanti à tout moment et effectif et énonçait que « la plupart des dispositifs nécessitent, pour pouvoir être légalement mis en œuvre, l’existence d’un texte de nature législative ou règlementaire les autorisant et les encadrant ». Pour plus de détails sur la position de la Cnil, vous pouvez consulter notre article à ce sujet. L’apport de la décision du Conseil d’État Non-conformité d’une solution pour la détection de gestes suspects Le Conseil d’État a estimé que les arguments de la société requérante n’étaient pas de nature à créer un doute sérieux sur la légalité de la décision de la Cnil. Par ailleurs, il rappelle que l’article 10 de la loi du 19 mai 2023 (3), énonçant que les traitements d’images de vidéoprotection autorisés par l’article L.252-2 du Code de la sécurité intérieure peuvent, à titre expérimental, faire l’objet d’un traitement algorithmique uniquement pour « assurer la sécurité de manifestations sportives, récréatives ou culturelles, qui par l’ampleur de leur fréquentation ou par leurs circonstances, sont particulièrement exposées à des risques d’actes de terrorisme ou d’atteintes graves à la sécurité des personnes ». Or, la solution de détection de gestes suspects, développée par la société requérante, ne poursuit pas, pour le Conseil d’Etat, une telle finalité. La requête de suspension du courrier de non-conformité de la Cnil est ainsi logiquement rejetée par le Conseil d’Etat. Cette décision permet de souligner les défis auxquels sont confrontées les entreprises innovantes dans le domaine de la sécurité lorsqu’il s’agit de respecter les exigences pour les droits et libertés des personnes concernées. Elle met également en lumière l’importance de la protection des données personnelles dans un contexte où les nouvelles technologies de surveillance deviennent, par leur complexité, de plus en plus intrusives. Nos avocats peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law. (1) Conseil d’État, Décision n°495153 du 21-6-2024.(2) Cnil, Article du 19-7-2022.(3) Loi n°2023-380 du 19-5-2023 relative aux jeux Olympiques et Paralympiques de 2024, art. 10. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate directrice du Pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate directrice du Pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Barthélémy Busse Avocat, Responsable d'activité Contentieux numérique au sein du Pôle Contentieux numérique Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Conflit IA-droits d’auteur
Actualités, Articles, Propriété intellectuelle, Publication

Conflit IA-droits d’auteur : absence de décision en référé

/

Le 4 avril 2024, le Président du Tribunal judiciaire de Paris a rendu une ordonnance (1) précisant qu’il n’y avait pas lieu à référé dans le conflit IA-droits d’auteur opposant le dessinateur Imagex à la société Looka, une entreprise utilisant l’intelligence artificielle pour la création de contenus de marque. Cette décision, très attendue, a mis en lumière les défis juridiques que posent les technologies d’intelligence artificielle (IA) en matière de propriété intellectuelle. Lire la suite L’intelligence artificielle au cœur du conflit : un litige complexe Conflit IA-droits d’auteur : absence de décision en référé Le cœur du conflit IA-droits d’auteur réside dans l’utilisation par Looka d’une IA pour générer des logos et autres contenus de marque. Cette IA a employé des polices de caractères protégées par des droits d’auteur, détenus par Imagex, sans autorisation. En novembre 2023, après l’échec d’un protocole d’accord amiable, Imagex a assigné Looka en référé. Le juge des référés a estimé que l’affaire nécessitait une évaluation plus détaillée que celle que permet une procédure en référé, notamment en raison des implications complexes liées à l’usage de l’IA. L’incompétence du juge des référés dans le conflit IA-droits d’auteur Conflit IA-droits d’auteur : absence de décision en référé L’ordonnance du 4 avril 2024 se concentre principalement sur des questions procédurales. Le juge des référés a jugé que conflit IA-droits d’auteur soulevait des enjeux nécessitant une analyse approfondie des faits et du droit, ce qui excède les capacités d’une procédure rapide en référé. Par conséquent, la décision ne traite que des aspects procéduraux, condamnant Imagex aux dépens sans se prononcer sur le fond de la question de la violation des droits d’auteur. Cette orientation souligne les limites des référés pour les affaires complexes impliquant des droits de propriété intellectuelle et des technologies émergentes. Vers une régulation accrue de l’intelligence artificielle : inspirations internationales Conflit IA-droits d’auteur : absence de décision en référé L’affaire s’inscrit dans un contexte global où les questions liées à l’IA et à la propriété intellectuelle sont de plus en plus scrutées. Aux États-Unis, des cas en cours examinent la manière dont les IA peuvent enfreindre les droits voisins, tandis que l’Union européenne a récemment introduit une législation sur l’IA, offrant un cadre pour réguler ces technologies. En outre, des décisions récentes dans des pays comme les États-Unis, la Chine et la République tchèque redéfinissent les critères pour les droits d’auteur, souvent en mettant l’accent sur la contribution humaine, et pourraient influencer la jurisprudence française. En France, la décision de l’Autorité de la concurrence contre Google (2) pour manque de transparence sur l’utilisation des contenus protégés par l’IA marque un tournant vers une régulation plus stricte des technologies d’IA. Notes de bas de page : Tribunal judiciaire de Paris – Service des référés – 4 avril 2024 / n°24/50727 Décision 24-D-03 du 15 mars 2024 relative au respect des engagements figurant dans la décision de l’Autorité de la concurrence n° 22-D-13 du 21 juin 2022 relative à des pratiques mises en œuvre par Google dans le secteur de la presse  Avec la collaboration d’Oxana Karlick.   Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris depuis 2006, titulaire d’un DEA de droit de la communication (Paris II), elle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2007. Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Charlotte Mechaly Consultante, collaboratrice du département Propriété intellectuelle Contentieux Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Contentieux informatique, Publication

L’injonction judiciaire de rencontrer un médiateur depuis février 2022

/

La faculté pour le juge de délivrer une injonction judiciaire de rencontrer un médiateur aux parties introduite par le décret du 25 février 2022. Lire la suite Fondements juridiques et objectifs L’injonction judiciaire de rencontrer un médiateur depuis février 2022 La médiation a été introduite dans le droit français par la loi n° 95-125 du 8 février 1995, qui a consacré six articles (21 à 26) à cette pratique. Depuis lors, plusieurs réformes ont renforcé ce dispositif : • l’ordonnance n° 2011-1540 du 16 novembre 2011 : transposition de la directive 2008/52/CE sur la médiation civile et commerciale ; • la loi n° 2016-1547 du 18 novembre 2016 : modernisation de la justice du XXIe siècle ; • la loi n° 2019-222 du 23 mars 2019 : programmation 2018-2022 et réforme pour la justice ; • la loi n° 2021-1729 du 22 décembre 2021 : instauration d’un Conseil national de la médiation et simplification de la saisine du médiateur ; • le décret n° 2022-245 du 25 février 2022 favorisant le recours à la médiation, portant application de la loi pour la confiance dans l’institution judiciaire et modifiant diverses dispositions. Depuis la loi du 8 février 1995, le juge pouvait désigner un médiateur après avoir recueilli l’accord des parties (1). Cette faculté est consacrée à l’article 131-1 du Code de procédure civile. Toutefois, jusqu’alors rien n’était prévu pour encourager les parties à avoir recours à ce mode de règlement des différends dans le cas où celles-ci n’en ont pas exprimé la volonté. Le décret du 25 février 2022, consacrant l’apport de la loi du 23 mars 2019 (2), a introduit la possibilité pour le juge de prononcer une injonction judiciaire de rencontrer un médiateur sans avoir recueilli l’accord préalable des parties. Le nouvel article 127-1 du Code de procédure civile dispose ainsi que : « A défaut d’avoir recueilli l’accord des parties prévu à l’article 131-1, le juge peut leur enjoindre de rencontrer, dans un délai qu’il détermine, un médiateur chargé de les informer de l’objet et du déroulement d’une mesure de médiation. Cette décision est une mesure d’administration judiciaire. » Cette injonction judiciaire de rencontrer un médiateur vise à promouvoir la médiation comme une alternative efficace aux procédures contentieuses. Lors des débats parlementaires, la garde des sceaux de l’époque a rappelé que « l’objectif poursuivi par le Gouvernement est le développement des modes alternatifs de règlement des différends pour favoriser l’émergence d’une solution qui ne soit pas nécessairement contentieuse, et ce à tous les stades de la procédure, un accord entre les parties étant susceptible d’intervenir » (3). Médiation conventionnelle et médiation judiciaire L’injonction judiciaire de rencontrer un médiateur depuis février 2022 La médiation, en tant que méthode alternative de résolution des conflits, se divise en deux formes principales : la médiation conventionnelle et la médiation judiciaire. Chacune de ces formes présente des spécificités distinctes. La médiation conventionnelle repose sur la volonté des parties de résoudre leur différend de manière amiable sans recourir à la justice. Elle est encadrée par les articles 1530 à 1535 du Code de procédure civile et se déroule entièrement selon les modalités définies par les parties. À l’inverse, la médiation judiciaire est initiée par une décision du juge, souvent lorsqu’il estime qu’une tentative de résolution amiable est opportune. Cette médiation est régie par les articles 127-1 et 131-1 et suivants du Code de procédure civile et implique une supervision judiciaire plus stricte, notamment par la désignation d’un médiateur par le tribunal. Modalités de mise en œuvre L’injonction judiciaire de rencontrer un médiateur depuis février 2022 L’injonction judiciaire de rencontrer un médiateur est notifiée aux parties, qui sont alors convoquées à une première réunion d’information. Cette réunion, gratuite et obligatoire, peut être organisée par visioconférence et constitue une étape essentielle du processus de médiation. Son objectif principal est de sensibiliser les parties à la médiation en leur présentant ses principes fondamentaux, ses avantages et ses modalités pratiques. La réunion d’information permet de détailler les concepts de neutralité, de confidentialité et d’impartialité, éléments essentiels de la médiation. Elle vise à garantir que les parties comprennent que la médiation est un processus volontaire, où elles peuvent s’exprimer librement et où le médiateur facilite le dialogue sans imposer de solutions. La présence des avocats est vivement recommandée lors de cette séance, car ils peuvent offrir un soutien juridique et stratégique précieux à leurs clients, tout en aidant à clarifier les questions juridiques qui pourraient surgir. Durant cette réunion, le médiateur explique le déroulement de la médiation et les implications de chaque choix possible pour les parties. Les avocats peuvent également intervenir pour poser des questions et clarifier des points spécifiques, assurant ainsi que leurs clients sont bien informés des enjeux et des avantages potentiels de la médiation. Opportunité pour les parties d’avoir recours à la médiation L’injonction judiciaire de rencontrer un médiateur depuis février 2022 Après la réunion d’information, les parties disposent de trois options pour la suite de leur procédure. Elles peuvent tout d’abord s’engager dans une procédure de médiation conventionnelle. Si les parties choisissent cette option, le médiateur peut immédiatement commencer sa mission. La médiation conventionnelle est flexible et permet aux parties de contrôler le processus, en se concentrant sur des solutions mutuellement bénéfiques. Cette voie offre un cadre informel pour discuter et résoudre les différends sans l’intervention directe du tribunal. L’objectif est de parvenir à un accord amiable rapidement, ce qui peut éviter des coûts et des délais supplémentaires liés à une procédure judiciaire prolongée. Elles peuvent également s’engager dans une procédure de médiation judiciaire. Dans ce cas, le juge saisi de l’affaire ordonnera la médiation lors de la première audience. Conformément à l’article 131-6 du Code de procédure civile, la décision du juge désigne le médiateur, fixe la durée initiale de sa mission (ne pouvant excéder trois mois, renouvelable une fois) et détermine la date de rappel de l’affaire à l’audience. Les parties sont tenues de verser une provision directement au médiateur. Si la provision n’est pas versée intégralement dans le délai prescrit par le juge, la décision devient caduque

Actualités, Articles, Evénement, Publication, Revue de presse

Loi DDADUE : transposition de nouvelles normes européennes

/

Dans le numéro 139 d’E.D.I Magazine de juillet 2024, Frédéric Forster s’intéresse à la loi portant diverses dispositions d’adaptation au droit de l’Union européenne (loi DDADUE) du 22 avril 2024. Frédéric Forster concentre son analyse sur les articles 2, I, 3° et 3 du titre Ier de cette loi. Ce dernier porte sur les dispositions d’adaptation de notre législation au droit de l’Union européenne en matière économique et financière. Lire la suite Les sanctions prévues par la loi en cas d’insécurité des produits Loi DDADUE : transposition de nouvelles normes européennes L’article 2, I, 3° de la loi DDADUE insère un nouvel article L.452-5-1 au sein du Code de la consommation. Cet article prévoit le régime des sanctions applicables aux violations de plusieurs obligations posées par le règlement relatif à la sécurité générale des produits (RSGP). Frédéric Forster nous détaille les obligations concernées et les sanctions prévues en cas de manquement à ces dernières. Il s’agit notamment de l’obligation de rappel et de retrait, pesant respectivement sur le fabricant et l’importateur, des produits identifiés dangereux, ainsi que des obligations d’informations et de coopération pesant sur le fournisseur. L’encadrement de l’influence commerciale Loi DDADUE : transposition de nouvelles normes européennes L’article 3 de la loi DDADUE concerne la loi du 9 juin 2023, dite loi « influenceurs ». Il habilite le gouvernement à modifier par voie d’ordonnance, dans un délai de neuf mois, certaines dispositions de cette loi afin de les mettre en conformité avec les textes européens. Frédéric Forster nous précise les dispositions concernées. En outre, il nous indique que certains articles de cette loi sont abrogés puisqu’ils entrent dans le champ du règlement DSA. Lire l’article de Frédéric Forster, « Loi DDADUE 2024 : la France s’aligne sur les normes européennes », E.D.I n° 139 de juillet 2024, p. 94. Created by potrace 1.16, written by Peter Selinger 2001-2019 Frédéric Forster Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Contrat, Informatique, Publication

Démarrage d’un projet informatique en l’absence d’un contrat signé

/

Par un arrêt du 30 septembre 2022, la Cour d’appel de Paris a eu à statuer sur une affaire relative à l’exécution d’un projet informatique en l’absence d’un contrat signé. La signature d’un contrat écrit représente en général la fin des négociations et matérialise l’accord convenu entre les parties. Cependant, il arrive qu’un projet informatique débute avant même la signature du contrat. La question est de savoir s’il est possible d’exiger l’application des dispositions du contrat non signé. En l’espèce, suite à un appel d’offres pour un projet informatique, une lettre d’intention a été signée le 16 juillet 2016 fixant la date limite de signature du contrat au 21 octobre 2016. Toutefois, le projet informatique a débuté en l’absence d’un contrat signé. Le différend opposant les parties portait sur les conditions de rupture de cette relation contractuelle. Lire la suite La validité des contrats commerciaux sans écrit Démarrage d’un projet informatique en l’absence d’un contrat signé En droit français, le principe du consensualisme est un principe fondamental en matière contractuelle. En vertu de celui-ci, le seul échange des consentements des parties est suffisant pour conclure un contrat. Ainsi, l’écrit n’est pas une condition de validité de l’accord entre les parties. La Cour d’appel de Paris rappelle en outre que « quoique le contrat n’ait pas été signé, la preuve d’un tel accord ne nécessitant pas, entre commerçants, un écrit ». Autrement dit, la preuve d’un accord entre commerçant peut être rapportée par tous moyens. Il est donc nécessaire pour la cour d’appel de rechercher l’intention des parties. Une analyse au cas par cas Démarrage d’un projet informatique en l’absence d’un contrat signé Selon la Cour d’appel de Paris « Afin de connaître les obligations auxquelles les parties s’étaient réciproquement soumises, il y a lieu d’analyser l’objet de l’accord intervenu entre elles et notamment si le commencement d’exécution du lot 1 a engagé les parties pour l’ensemble de l’opération ». Ainsi, elle se livre à une analyse précise des intentions des parties en utilisant la méthode du faisceau d’indices. • Déterminer l’intention des parties en l’absence d’un contrat signé Tout d’abord, une lettre d’intention a été signée par les deux parties. Le client exprimait dans celle-ci son souhait de confier la réalisation du projet au prestataire. La cour d’appel prend également en compte la teneur des échanges et les comités de pilotage. Ces éléments, notamment les échanges par mail, démontrent la volonté commune des deux parties de mener à bien l’ensemble du projet. Ensuite, le projet comprend quatre lots. La cour d’appel relève que le premier lot, qui constitue le socle applicatif, a été entièrement réalisé par le prestataire. Enfin, la cour d’appel retient que le projet de contrat définit le cadre général des opérations, les quatre lots du projet, le calendrier et les conditions financières. A l’issue de cette analyse, la cour d’appel conclut que ces éléments « rapportent suffisamment la preuve de l’accord des parties sur l’ensemble de l’opération comprenant les lots 1 à 4 ». Dès lors, ce contrat non signé doit être exécuté de bonne foi par les parties. La prise d’effet de la condition résolutoire Démarrage d’un projet informatique en l’absence d’un contrat signé La Cour d’appel de Paris rappelle qu’aux termes de l’ancien article 1134 du Code civil « les conventions légalement formées tiennent lieu de loi à ceux qui les ont faites. Elles doivent être exécutées de bonne foi ». • Résolution du contrat pour manquement à l’obligation de collaboration En l’espèce, le client était tenu à une obligation de collaboration. Le projet de contrat la définit comme étant un « élément indispensable de leur accord ». En effet, pour les contrats informatiques, en particulier s’ils sont complexes, une obligation de collaboration incombe au client vis-à-vis du prestataire informatique. Lors d’une réunion, le prestataire avait fait part à son client de son intention de sortir du projet du fait que « les conditions de réussite n’étaient pas réunies pour l’atteinte du bon achèvement de celui-ci ». Le 5 mars 2017, il a mis fin à son intervention dans le projet par un courrier électronique.   Selon la cour d’appel, le prestataire démontre le manque de collaboration du client et donc l’inexécution par celui-ci d’une obligation contractuelle. Or, aux termes de l’ancien article 1184 du code civil, « La condition résolutoire est toujours sous-entendue dans les contrats synallagmatiques, pour le cas où l’une des deux parties ne satisferait point à son engagement ». Ainsi, la cour d’appel confirme l’arrêt rendu par le Tribunal de commerce de Paris le 10 février 2020. Le principe du consensualisme, principe directeur en droit des contrats Démarrage d’un projet informatique en l’absence d’un contrat signé Pour conclure, le principe du consensualisme est un principe directeur en droit des contrats, régulièrement rappelé par les juridictions. Cet arrêt souligne l’importance des documents qui précèdent la signature d’un contrat.  Ainsi, dans l’hypothèse où un projet informatique débute avant la signature du contrat, autrement dit, en l’absence d’un contrat signé, il est conseillé de verrouiller, a minima, les clauses essentielles par une lettre d’intention détaillée. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie-Adélaïde de Montlivault-Jacquot Avocate, Directrice du département Contentieux et expertises informatiques Marie-Adélaïde de Montlivault-Jacquot Avocate, Directrice du département Contentieux et expertises informatiques Avocate à la Cour d’appel de Paris, Marie-Adélaïde de Montlivault-Jacquot est directrice du département Expertise et contentieux informatique au sein du pôle Contentieux Informatique. Elle intervient en Conseil : conduite de projet, négociation de contrat, assistance juridique, déroulement technique et audit, jusqu’au contentieux : du précontentieux, négociation et transaction, à la saisine de la juridiction jusqu’à l’exécution des décisions. Phone:+33 (0)6 72 01 44 27 Email:marie-adelaide-de-montlivault@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Contentieux informatique, Internet conseil, Pénal numérique, Publication

Traitement pour le suivi des signalements de vulnérabilités

/

L’arrêté du 18 juin 2024 prévoit la création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel ». Ce traitement est placé sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet arrêté fait suite à l’adoption de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense qui impose aux éditeurs de logiciels de notifier les vulnérabilités et incidents significatifs à l’ANSSI. Lire la suite Finalités du traitement pour le suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels, conformément à l’article L.2321-4-1 du code de la défense, aux fins de : « Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ; En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel. » (arrêté du 18-06-2024, art.1). Données personnelles collectées Traitement pour le suivi des signalements de vulnérabilités Le traitement pour le suivi des signalements de vulnérabilités collecte des données à caractère personnel relatives à l’identification de l’éditeur de logiciel, à la vulnérabilité ou à l’incident significatif et aux utilisateurs du produit affecté. Ces données sont conservées pendant une durée de trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident. Accès et destinataires des données collectées Traitement pour le suivi des signalements de vulnérabilités Dans le cadre des nouvelles prérogatives de l’ANSSI, les agents de l’ANSSI sont autorisés à accéder aux données mentionnées ci-dessus afin de pouvoir procéder à l’information des utilisateurs d’un produit affecté. En cas d’inaction de l’éditeur à la suite d’une mise en demeure de l’ANSSI, cette dernière a la possibilité de procéder à l’information des utilisateurs. Dans ce cas, les utilisateurs du produit affecté peuvent être destinataires des informations suivantes : • « Raison sociale et adresse postale de l’éditeur de logiciel concerné » ; • « Nom, prénom du dirigeant de l’éditeur de logiciel concerné ». L’ANSSI responsable du suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités En centralisant et en gérant les signalements de vulnérabilités de manière proactive, l’ANSSI assure non seulement la protection des utilisateurs finaux mais encourage également une plus grande responsabilité de la part des éditeurs de logiciels. Ce dispositif, qui s’inscrit dans le cadre des dispositions de la loi de programmation militaire, vise à établir un environnement numérique plus sûr et à renforcer la confiance des utilisateurs dans les produits logiciels qu’ils utilisent au quotidien. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Pour en apprendre davantage Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit     Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit Avocate à la Cour d’appel de Paris, Jennifer Knight est Responsable d’activité au sein du Pôle Informatique et Droit, elle intervient dans les domaines du conseil et du contentieux, principalement en droit de l’informatique et des contrats, ainsi que dans les domaines associés (propriété intellectuelle, données à caractère personnel, droit commercial et de la distribution, marchés publics). Phone:+33 (0)6 31 95 92 37 Email:jennifer-knight@lexing.law     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law     ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Evénement, Publication, Revue de presse

IA génératives et droit : l’ère de la cobotique juridique

/

En juin 2024, dans le numéro 138 d’E.D.I Magazine, Frédéric Forster s’adresse aux professionnels du droit en abordant les enjeux que représente la cobotique juridique. L’essor des grands modèles de langage rend nécessaire la collaboration entre les professionnels du droit et les intelligences artificielles génératives. Les intelligences artificielles, telles que ChatGPT d’OpenAI ou Gemini de Google, seront probablement le marqueur de la troisième révolution digitale. Pour les professionnels du droit, cette nouvelle ère est celle de la « cobotique juridique ». Lire la suite L’utilisation des IA génératives dans le domaine juridique IA génératives et droit : l’ère de la cobotique juridique Dans son article, Frédéric Forster détaille les nombreuses utilisations des intelligences artificielles génératives dans le domaine juridique. Celles-ci vont permettre aux professionnels du droit de passer du « faire » au « faire faire ». Afin de corriger certaines malfaçons et de créer de la valeur ajoutée juridique pour compléter le travail réalisé par ces technologies, les professionnels du droit vont devoir passer du statut d’artisan juridique à celui d’ingénieur juridique. Les défis de la cobotique juridique IA génératives et droit : l’ère de la cobotique juridique Frédéric Forster présente en outre les deux principaux défis posés par la cobotique juridique. Il s’agit de la formation des professionnels du droit pour la maîtrise de ces nouveaux outils et du déploiement de ces derniers dans les différentes professions juridiques. Lire l’article de Frédéric Forster, « IA génératives : bienvenue dans la cobotique juridique »,  Magazine E.D.I, n° 138 de juin 2024, p.102. Présentation par Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Frédéric Forster Avocat, Directeur du pôle Télécoms     Frédéric Forster Avocat, Directeur du pôle Télécoms Avocat à la Cour d’appel de Paris depuis 2006, Frédéric Forster est directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats depuis 2006. Celui-ci regroupe les départements : Télécoms, Informatique et libertés conseil et Marchés publics. Il est par ailleurs Vice-Président du réseau international d’avocats Lexing, Phone:+33 (0)6 13 28 96 78 Email:frederic-forster@lexing.law     Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Pénal numérique, Presse et communication numérique, Publication

Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler

/

La loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 contient des dispositions relatives à la responsabilité des éditeurs de logiciels en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter un de leurs produis, dont une obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI (1). L’article 66 de cette loi introduit ainsi un nouvel article L.2321-4-1 dans le Code de la défense au sein du chapitre 1er « Responsabilités » du titre III « Sécurité des systèmes d’information ». L’obligation de notification concerne tous les éditeurs de logiciels qui fournissent ce produit : sur le territoire français ; à des sociétés ayant leur siège social sur le territoire français ; ou à des sociétés contrôlées, au sens de l’article L.233-3 du Code de commerce, par des sociétés ayant leur siège social sur le territoire français. Aux termes de l’article L.2321-4-1, un éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit ». Un décret du 10 mai 2024 définissant les modalités d’application de cet article est entré en vigueur le 1er juin 2024. Lire la suite L’obligation de notification des vulnérabilités et incidents significatifs à l’ANSSI Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler La loi de programmation militaire prévoit l’obligation pour les éditeurs de logiciels de notifier à l’ANSSI les vulnérabilités significatives affectant un de leurs produits et les incidents informatiques qui compromettent la sécurité de leurs systèmes d’information et qui sont susceptibles d’affecter significativement un de leurs produits. L’analyse des causes de la vulnérabilité ou de l’incident ainsi que de ses conséquences doit également lui être notifié. En vertu de l’article L.2321-4-1 du Code de la défense, un incident informatique est « Tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles ». Les critères d’appréciation du caractère significatif Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler Il incombe à l’éditeur d’apprécier le caractère significatif de la vulnérabilité et de l’incident dès qu’il en a connaissance. Si la vulnérabilité ou l’incident lui a été notifié par l’ANSSI, l’éditeur dispose d’un délai qui ne peut pas être inférieur à 48h pour apprécier le caractère significatif. Le nouvel article R.2321-1-16, I, du Code de la défense prévoit une liste de critères d’appréciation : le nombre d’utilisateurs concernés par la vulnérabilité ou l’incident affectant le produit ; le nombre de produits intégrant le produit affecté ; l’impact technique, potentiel ou actuel, de la vulnérabilité ou de l’incident sur le fonctionnement attendu du produit. Selon les fonctionnalités du produit, cet impact est évalué au regard de critères de sécurité tels que la disponibilité, l’intégrité, la confidentialité ou la traçabilité ; le type de produit au regard de ses usages et de l’environnement dans lequel il est déployé ; l’exploitation imminente ou avérée de la vulnérabilité ; l’existence d’une preuve technique d’exploitabilité ou d’un code d’exploitation. Cette liste n’est en aucun cas exhaustive. Si, après analyse, l’éditeur détermine que la vulnérabilité ou l’incident en cause revêt un caractère significatif, alors il doit le notifier à l’ANSSI. La notification doit comporter les informations utiles à la compréhension de la vulnérabilité ou de l’incident en cause (C. défense, nouvel art. R.2321-1-16, II). D’un point de vue pratique, l’éditeur de logiciel doit compléter un formulaire de déclaration mis à disposition sur le site internet de l’ANSSI et adresser à cette dernière toute information complémentaire au fur et à mesure de son analyse ou en réponse aux demandes d’informations supplémentaires de l’ANSSI (C. défense, nouvel art. R.2321-1-16, III). L’éditeur de logiciel met en œuvre, le cas échéant, les mesures utiles requises afin de sécuriser la vulnérabilité ou l’incident en cause (C. défense, nouvel art. R.2321-1-16, III). L’obligation d’information des utilisateurs du produit affecté Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler L’article L.2321-4-1 du Code de la défense prévoit également une obligation d’information des utilisateurs des vulnérabilités et incidents significatifs. Le délai pour informer les utilisateurs est déterminé par l’ANSSI, après analyse conjointe de la vulnérabilité ou de l’incident avec l’éditeur, et tient compte de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. L’ANSSI notifie à l’éditeur le délai dans lequel il doit informer ses utilisateurs, ce délai ne pouvant, être inférieur à 10 jours ouvrables, sauf en cas de risque pour la défense et la sécurité nationale requérant une information des utilisateurs sans délai (C. défense, nouvel art. R.2321-1-17, I). L’information des utilisateurs du produit affecté est faite par un message d’information comprenant, le cas échéant, toute recommandation que ces derniers peuvent appliquer. L’éditeur doit rendre compte à l’ANSSI de l’envoi de ce message et donc du respect de son obligation d’information (C. défense, nouvel art. R.2321-1-17, II). Les pouvoirs de l’ANSSI en cas de non-respect de l’obligation d’information des utilisateurs Vulnérabilités et incidents significatifs : les éditeurs tenus de les signaler En cas de non-respect par l’éditeur de logiciel de l’obligation d’information, l’ANSSI peut l’enjoindre de procéder à cette information (C. défense, art. L.2321-4-1, al. 5). L’injonction doit (C. défense, nouvel art. R.2321-1-18) : • être motivée ; • préciser le délai imparti aux éditeurs de logiciels, qui ne peut être inférieur à 10 jours, ainsi que les mesures requises pour s’y conformer ; • être notifiée à l’éditeur par lettre recommandée avec avis de réception ; • informer l’éditeur que l’ANSSI peut informer les utilisateurs ou rendre public la vulnérabilité ou l’incident ainsi que l’injonction si celle-ci n’a pas été mise en œuvre. L’éditeur a la faculté de présenter des observations dans le délai imparti. L’ANSSI peut également informer

organisations altruistes
Actualités, Articles, Données publiques, Publication

La Cnil, autorité compétente pour l’altruisme en matière de données

/

Les organisations altruistes en matière de données sont désormais sous le contrôle de la Cnil. La loi « SREN » (1) désigne la Commission nationale de l’informatique et des libertés (Cnil) comme l’autorité compétente pour l’altruisme en matière de données, au sens de l’article 23 du DGA  ou « Data Governance Act » (2). Lire la suite L’objet du Data Governance Act : La Cnil, autorité compétente pour l’altruisme en matière de données Le Data Governance Act met en place un cadre général pour faciliter le partage des données au sein de l’Union européenne. Le but est de garantir à la fois l’accès à de grands volumes de données au profit de l’économie européenne et un contrôle sur les données propre à renforcer la souveraineté numérique au sein de l’Union européenne. Il s’inscrit, avec le règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (dit « Data Act »), dans le cadre de la stratégie européenne pour les données. Dans ce but, le Data Governance Act établit : • les conditions de réutilisation, au sein de l’Union, de certaines catégories de données détenues par des organismes du secteur public ; • un cadre de notification et de surveillance pour la fourniture de services d’intermédiation de données ; • un cadre pour l’enregistrement volontaire des entités qui collectent et traitent les données mises à disposition à des fins altruistes ; • un cadre pour l’établissement d’un comité européen de l’innovation dans le domaine des données. L’altruisme : favoriser le partage des données au sein de l’UE La Cnil, autorité compétente pour l’altruisme en matière de données L’article 2, paragraphe 16 du Data Governance Act définit l’altruisme en matière de données comme « le partage volontaire de données fondé sur le consentement donné par les personnes concernées au traitement de données à caractère personnel les concernant, ou l’autorisation accordée par des détenteurs de données pour l’utilisation de leurs données à caractère non personnel sans demander ni recevoir de contrepartie qui aille au-delà de la compensation des coûts qu’ils supportent lorsqu’ils mettent à disposition leurs données, pour des objectifs d’intérêt général prévus par le droit national […] ». Ces objectifs d’intérêt général concernent notamment les soins de santé, la lutte contre le changement climatique ou l’amélioration de la prestation de services publics. Les organisations altruistes en matière de données La Cnil, autorité compétente pour l’altruisme en matière de données Les dispositions du chapitre IV « Altruisme en matière de données » du Data Governance Act prévoient que des entités peuvent être enregistrées par l’autorité compétente de l’État membre dont elles dépendent comme « organisations altruistes en matière de données » au sein d’un registre public national. Ces organisations doivent satisfaire aux critères suivants : • mener des activités altruistes en matière de données ; • être une personne morale constituée en vertu du droit national pour poursuivre des objectifs d’intérêt général prévus dans le droit national, le cas échéant ; • exercer ses activités dans un but non lucratif et être juridiquement indépendante de toute entité exerçant des activités dans un but lucratif ; • se conformer, au plus tard 18 mois après la date d’entrée en vigueur des actes délégués complétant le Data Governance Act, à un recueil de règles qui sera établi pour fixer les exigences en matière d’information des personnes concernées et de sécurité des données, ainsi que des feuilles de route en matière de sensibilisation à l’altruisme en matière de données et des recommandations sur les normes d’interopérabilité. EXIGENCES DE TRANSPARENCE La Cnil, autorité compétente pour l’altruisme en matière de données Ces organisations sont soumises à des exigences de transparence, dont la tenue d’un registre des traitements des données détenues mis en œuvre par des personnes physiques ou morales. Elles doivent également remettre un rapport annuel d’activité à l’autorité compétente nationale. Ces organisations doivent informer les personnes ou détenteurs de données concernés des caractéristiques des traitements susvisés et leur donner les moyens et outils nécessaires pour leur permettre de donner leur consentement ou autorisation. Ces données ne peuvent être traitées que pour les objectifs autorisés d’intérêt général. Les organisations doivent également assurer un niveau de sécurité approprié des données et informer les détenteurs de données des transferts, accès ou utilisations illicites portant sur les données personnelles qu’elles ont partagées. La Cnil autorité compétente des organisations altruistes La Cnil, autorité compétente pour l’altruisme en matière de données L’article 23 du Data Governance Act prévoit que chaque Etat membre doit désigner une ou plusieurs autorités compétentes responsables de son registre public national des organisations altruistes en matière de données reconnues et en notifier la Commission européenne. Ces autorités compétentes ont notamment pour mission l’enregistrement des organisations altruistes en matière de données et la tenue ainsi que la mise à jour du registre public national de ces organisations. Elles doivent contrôler et surveiller le respect par les organisations altruistes en matière de données reconnues des exigences énoncées dans le chapitre IV du Data Governance Act. Les prochaines étapes La Cnil, autorité compétente pour l’altruisme en matière de données Concernant la France, l’article 57 de la loi SREN a ajouté à la « Loi Informatique et libertés » (4) un nouveau titre IV bis composé de 3 articles (124-1, 124-2 et 124-3) qui disposent que : • la Cnil est l’autorité compétente pour l’enregistrement des organisations altruistes en matière de données, ainsi que la tenue et la mise à jour du registre public national ; • elle traite à ce titre les demandes d’enregistrement formées par les organisations candidates : • elle reçoit et instruit toute réclamation formée par des personnes physiques et morales ayant consenti au traitement des données personnelles les concernant ou ayant autorisé le traitement des données non personnelles qu’elles détiennent. Un décret en Conseil d’Etat doit encore préciser les modalités de la procédure d’enregistrement. D’ores-et-déjà, la Cnil met à la disposition des organisations candidates une adresse électronique dédiée pour répondre à leurs questions (dga@cnil.fr). Elle annonce également qu’elle va progressivement enrichir son site

Actualités, Articles, Propriété intellectuelle, Publication

L’Autorité de la concurrence sanctionne l’entraînement de Gemini

/

Dans sa décision 24-D-03 du 15 mars 2024, l’Autorité de la concurrence a prononcé une amende de 250 millions d’euros à l’encontre de Google. La société n’a pas tenu ses engagements relatifs à l’entraînement de son IA générative « Gemini ». Lire la suite L’autorité de la concurrence au service des droits voisins face à l’IA L’Autorité de la concurrence sanctionne l’entraînement de Gemini A la suite d’une loi du 24 juillet 2019, l’Autorité de la concurrence veille au respect des droits voisins. Plus précisément, elle cherche à protéger les éditeurs de presse face aux large language models (« LLM ») de Gemini ou ChatGPT. En effet, afin de s’entraîner et de générer un out-pout, l’IA générative se fonde sur une base de données. Parmi ces données figurent notamment des articles de presse protégés par des droits voisins. Or, l’utilisation de ces contenus s’opère souvent sans l’accord des éditeurs de presse, les privant ainsi de rémunération. Ainsi, en novembre 2019, six syndicats ont saisi l’Autorité de la concurrence, dénonçant un abus de position dominante par Google. De fait, la société n’affiche plus les extraits des articles que les éditeurs de presse lui ont gratuitement consentis. Ceci porte atteinte à la transparence des informations qui permettent d’évaluer leur rémunération au titre des droits voisins. Dans sa décision 20-MC-01 du 9 avril 2020, l’Autorité de la concurrence a prononcé des injonctions à l’encontre de Google. Le non-respect par Google d’engagements négociés avec l’Autorité de la concurrence L’Autorité de la concurrence sanctionne l’entraînement de Gemini Google n’a pas respecté les injonctions prononcées par l’Autorité de la concurrence. Par conséquent, cette dernière a prononcé une amende de 500 millions d’euros dans sa décision 21-D-17 du 12 juillet 2021. Toutefois, Google a pris divers engagements afin de garantir des négociations avec les éditeurs de presse. Dans sa décision 22-D-13 du 21 juin 2022, l’Autorité de la concurrence a accepté ces engagements. En vertu de ceux-ci, Google devait procéder à des négociations fondées sur des critères transparents, objectifs et non discriminatoires. En outre, Google devait mettre à la disposition des éditeurs de presse les informations leur permettant d’évaluer leur rémunération au titre des droits voisins. Enfin, Google devait prendre les mesures nécessaires à la préservation des autres relations commerciales qu’il entretenait avec les éditeurs de presse. Or, l’Autorité de la concurrence a constaté que Google avait manqué aux obligations de transparence, d’objectivité et de non-discrimination. En effet, Google n’a pas fourni suffisamment d’informations sur l’exploitation des contenus de presse par son IA générative Gemini. En outre, Google a lié cette exploitation aux autres relations commerciales qu’il entretenait avec les éditeurs. Enfin, les éditeurs ne disposaient pas de l’option de retrait (« opt-out »). Dès lors, ils ne pouvaient pas se désengager, c’est-à-dire que le LLM de Gemini avait toujours accès à leurs contenus. Ainsi, Google ne prenait pas en compte le consentement des éditeurs de presse. L’Autorité de la concurrence prononce une sanction définitive à l’encontre de Google L’Autorité de la concurrence sanctionne l’entraînement de Gemini L’autorité de la concurrence a prononcé la toute première sanction permettant de protéger les droits d’auteur et droits voisins face aux IA. Il s’agit d’une amende fixée à 250 millions d’euros. Google n’ayant pas contesté les faits, la société a bénéficié de la procédure de transaction. Ainsi, l’Autorité de la concurrence a fixé un montant moins sévère. Cette mesure marque le souhait de mettre en place une protection effective des droits de la presse dans le cadre des IA. Avec la collaboration de Oxana Karlick, stagiaire, étudiante en 2e année de Licence à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris depuis 2006, titulaire d’un DEA de droit de la communication (Paris II), elle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2007. Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Evénement, Publication, Revue de presse

Directive CSRD et obligations de rapport de durabilité

/

Dans le numéro 137 d’E.D.I Magazine de mai 2024, Frédéric Forster nous présente les obligations de rapport de durabilité des entreprises, imposées par la directive CSRD (Corporate Sustainability Reporting Directive). Entrée en vigueur le 1er janvier 2024 et transposée en droit français par une ordonnance du 6 décembre 2023, elle remplace la directive NRD de 2014. Cette directive vise à favoriser une meilleure évaluation de l’impact environnemental des entreprises et à encourager ces dernières à rendre leur activité plus responsable. Lire la suite Les entreprises concernées par la directive CSRD Directive CSRD et obligations de rapport de durabilité La directive CSRD concerne les grandes entreprises et les PME, excepté les microentreprises, qui sont des entités d’intérêt public. A l’issue d’un déploiement en trois temps, elle touchera près de 50 000 entreprises. Les principales dispositions de la directive CSRD Directive CSRD et obligations de rapport de durabilité Frédéric Forster nous expose les implications majeures de la directive CSRD en matière de rapport de durabilité. Dans son article, il détaille les éléments suivants : • la notion essentielle de « double matérialité » qui impose aux entreprises d’inclure dans le rapport de gestion des informations de deux ordres ; • la forme du rapport ; • les nouveaux « standards de reporting de durabilité » ou normes ESRS (European Sustainability Reporting Standards) ; • la vérification obligatoire du rapport par un commissaire aux comptes ou un organisme tiers indépendant. Ainsi, la directive CSRD se place dans le sillage du développement de la responsabilité sociale des entreprises et dans la lignée du Pacte vert européen. Lire l’article de Frédéric Forster, « Directive CSRD : les obligations de rapport de durabilité des entreprises pour le magazine », E.D.I n° 137 de mai 2024, p. 94.  Présentation par Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Frédéric Forster Avocat, Directeur du pôle Télécoms Frédéric Forster Avocat, Directeur du pôle Télécoms Avocat à la Cour d’appel de Paris depuis 2006, Frédéric Forster est directeur du pôle Télécoms du cabinet Lexing Alain Bensoussan Avocats depuis 2006. Celui-ci regroupe les départements : Télécoms, Informatique et libertés conseil et Marchés publics. Il est par ailleurs Vice-Président du réseau international d’avocats Lexing, Phone:+33 (0)6 13 28 96 78 Email:frederic-forster@lexing.law Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Propriété intellectuelle, Publication

Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping »

/

Le Tribunal judiciaire de Paris le 27 mars 2024 a reconnu, à l’auteur d’une œuvre utilisant la technique du « dripping », la possibilité d’en revendiquer la qualité d’auteur, tout en considérant que, faute de reproduction des caractéristiques essentielles de l’œuvre, il ne pouvait y avoir contrefaçon. Lire la suite L’allégation du délit de contrefaçon Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping » L’artiste Zevs est l’auteur de l’œuvre « Liquidated Google », représentant le logo de la marque Google dont les lettres dégoulinent. Cette œuvre utilise la technique du dripping en street art. Le dripping consiste à laisser couler ou goutter de la peinture sur des toiles ou surfaces horizontales. Les faits litigieux concernent la commercialisation par Givenchy d’un tee-shirt représentant la marque verbale « Givenchy » dont les lettres dégoulinent. L’artiste reprochait à Givenchy d’avoir repris les caractéristiques originales de son œuvre « Liquidated Google ». L’artiste va voir son œuvre « Liquidated Google » protégée par le droit d’auteur. Néanmoins, le Tribunal ne va pas caractériser le délit de contrefaçon. Il va cependant condamner la société Givenchy à titre subsidiaire pour parasitisme et concurrence déloyale. La protection par le droit d’auteur d’une œuvre utilisant la technique du « dripping » Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping » C’est uniquement sous condition d’originalité, définie comme l’empreinte de la personnalité de l’auteur, qu’une personne peut revendiquer la protection de sa création au titre du droit d’auteur. Selon Givenchy le fait pour une coulure de dégouliner est un phénomène naturel non appropriable qui exclurait de la protection par le droit d’auteur l’œuvre utilisant la technique du « dripping ». Cependant, l’artiste a réussi à démontrer l’originalité de son œuvre utilisant la technique du « dripping ». Il a mis en avant l’existence de choix esthétiques libres, arbitraires et d’efforts créatifs : coulures découlant de chaque lettre dans le sens de la gravité, coulures irrégulières reprenant les couleurs de chaque lettre et coulures de longueurs différentes. Retenant l’originalité de l’œuvre de Zevs, le tribunal a néanmoins jugé qu’il n’y avait pas contrefaçon en l’espèce, considérant que les caractéristiques originales de l’œuvre n’étaient pas reproduites par Givenchy, le logotype et les couleurs utilisés étant différents. La condamnation pour parasitisme et concurrence déloyale Condamnation pour la reprise d’une œuvre utilisant la technique du « dripping » Le parasitisme consiste pour un opérateur économique à se placer dans le sillage d’un autre afin d’en tirer profit de son savoir-faire, sa notoriété acquise ou ses investissements. Or, la société a représenté sa marque avec des broderies de même couleur que chaque lettre, destinées à créer un effet de coulures. Elle s’est directement inspirée des créations de Zevs.  Ainsi, le Tribunal a jugé qu’il y avait parasitisme sans même la reproduction des caractéristiques originales de l’œuvre “Liquidated Google”. La concurrence déloyale est le fait pour un signe ou un produit d’être reproduit. Cette reproduction doit être à l’origine d’un risque de confusion sur l’origine du produit dans l’esprit de la clientèle.  Le Tribunal estime que la commercialisation des tee-shirts crée une confusion pour le consommateur de produit de luxe avec les créations de l’artiste. Le fait que les marques de luxe s’associent régulièrement à des artistes pour leurs créations justifie cette idée. Ainsi, le Tribunal condamne Givenchy à payer 30 000 euros à l’artiste à titre de dommages et intérêts. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocate, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris depuis 2006, titulaire d’un DEA de droit de la communication (Paris II), elle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2007. Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Marque de renommée
Actualités, Articles, Marques et noms de domaine, Publication

Marques : la renommée vainc la parodie

/

Le Tribunal Judiciaire de Paris a récemment tranché dans l’affaire opposant les marques de Louis Vuitton au signe Pooey Puitton. (TJ Paris, 25 avril 2024, n° 19-01735) : la marque de renommée vainc celle de parodie ! Dans cette affaire, la renommée de la marque emblématique de la maroquinerie a été confrontée à un « clin d’œil » troublant. Toutefois, malgré des arguments de défenses élaborées, le tribunal a statué en faveur de la marque de renommée Louis Vuitton. Lire la suite L’exception de parodie, applicable en droit des marques ? La marque de renommée vainc la parodie Le signe Pooey Puitton désignait une mallette ludique destinée aux enfants, renfermant des ingrédients pour créer du « slime », une matière gluante et modelable. Cette mallette était ornée des motifs floraux imitant le célèbre logo distinctif de la marque Louis Vuitton. Sur le fondement de sa marque de renommée Louis Vuitton et de son célèbre logo, la maison française de luxe a agi en contrefaçon. Les défenderesses ont notamment invoqué une version de l’exception de parodie en droit des marques, arguant que la mallette était un jouet au design amusant destiné aux enfants. Elles ont ainsi affirmé que les parents achetant cette mallette pour leurs enfants y percevraient un « clin d’œil » à la marque Louis Vuitton, sans pour autant établir de lien économique entre le produit et la société Louis Vuitton. Aussi, selon elles, les produits comparés – de la maroquinerie de luxe d’un côté, un jouet de l’autre – diffèrent par leur nature, fonction et destination, et ne sont pas commercialisés dans les mêmes circuits. L’absence d’exception de parodie en droit des marques La marque de renommée vainc la parodie Malgré cette tentative de défense, le tribunal n’a pas retenu ces arguments mettant en avant deux points principaux : • l’inexistence d’une « exception de parodie» quant à l’utilisation d’un signe à des fins purement commerciales ; • la qualification des parodies de marques et autres « clins d’œil », comme tentative de se placer dans le sillage de la marque de renommée. Ainsi, cette affaire permet au tribunal de réaffirmer la protection accrue des marques de renommées et de mettre en garde contre les tentatives d’exploitation commerciale de signes parodiques. L’importance croissante des médias sociaux en droit des marques La marque de renommée vainc la parodie Il est finalement intéressant de noter que le Tribunal a accordé une grande importance aux extraits vidéos YouTube fournis par la demanderesse. Ces vidéos montrent une YouTubeuse présentant le jouet litigieux comme étant évocateur de la célèbre marque de luxe Louis Vuitton, démontrant ainsi le lien dans l’esprit du public et établissant l’existence d’une atteinte caractérisée. Une telle décision souligne ainsi la nécessité pour les entreprises de surveiller attentivement leur image en ligne. Il convient également de retenir que le contenu d’influence sur les réseaux sociaux s’avère être un excellent moyen de preuve pour la démonstration d’un risque de confusion ou de la renommée d’une marque. Created by potrace 1.16, written by Peter Selinger 2001-2019 Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Avocate à la Cour d’appel de Paris, Anne-Sophie Cantreau dirige le département Propriété Industrielle Conseil au sein du pôle Propriété intellectuelle. Elle intervient en droit des marques, des dessins et modèles, des noms de domaine, des signes d’origine et de qualité, des brevets. Phone:+33 (0)6 42 32 15 92 Email:anne-sophie-cantreau@lexing.law Clothilde Monnet Avocate, Département Propriété industrielle conseil Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus Ajoutez votre titre ici

Actualités, Articles, Propriété intellectuelle, Publication

La Sacem défend les droits des auteurs face aux IA génératives

/

Le 12 octobre 2023, la Sacem a annoncé qu’elle exercerait son droit d’opposition (« opt-out ») afin de contrôler l’utilisation de son répertoire par des Intelligences Artificielles (IA) génératives. Cette mesure vise à protéger les droits d’auteur dans un contexte où les technologies d’IA exploitent souvent des œuvres sans autorisation ni rémunération. Lire la suite Des droits d’auteur fragilisés par les fouilles de données des IA génératives La Sacem défend les droits des auteurs face aux IA génératives Grâce à des IA génératives comme Boomy et MusicLM, l’utilisateur final entre des inputs et ces IA créent des contenus (les outputs) sur demande. Entre autres, elles peuvent « imiter » la voix de personnalités notoires ou encore « composer » des musiques. Or, obtenir de tels résultats suppose l’entraînement des IA génératives, qui se traduit par des fouilles de données (« data-mining »). Ces données incluent des œuvres protégées par des droits d’auteur. Bien souvent, les IA génératives exploitent ces œuvres sans l’accord des auteurs et sans rémunération des ayants-droits. Ceci affecte notamment le droit de reproduction de l’auteur (ou de ses ayants-droits). En d’autres termes, les titulaires des droits d’auteurs ne peuvent plus autoriser ou interdire effectivement la reprise de l’œuvre à l’identique par un tiers. Ce phénomène touchait les œuvres du répertoire de la Sacem. En effet, les fournisseurs d’IA génératives manquaient de transparence quant à leurs pratiques de data-mining. Le droit d’opposition de la Sacem s’inscrit dans un contexte d’encadrement des fouilles de données La Sacem défend les droits des auteurs face aux IA génératives Deux étapes récentes ont contribué à protéger les droits d’auteur face au data-mining des IA génératives. D’une part, l’ordonnance n°2021-1518 a transposé la directive [UE] 2019/790 dans l’article L.122-5-3 du Code de la propriété intellectuelle. Comme le stipule cet article, certains organismes peuvent effectuer des fouilles de données pour des recherches scientifiques sur des œuvres obtenues licitement. Si ces conditions sont remplies, l’autorisation de l’auteur est sans importance, ce qui ébranle son droit de reproduction. Néanmoins, pour toutes les fouilles de données réalisées à d’autres fins et par d’autres personnes, l’auteur dispose d’un outil puissant. Il s’agit du droit d’opposition, en vertu duquel l’auteur peut s’opposer, notamment, au data-mining de ses œuvres. La Sacem défendant l’intérêt collectif des artistes musicaux et gérant leurs droits, elle peut exercer son droit d’opt-out. D’autre part, dans un communiqué de presse de 2023, la SACD a donné des pistes pour « une IA éthique ». La SACD a proposé cinq principes visant à protéger les droits d’auteur et droits voisins. Elle exige notamment aux IA de faire preuve de transparence dans leur utilisation des œuvres. Surtout, elle insiste sur l’importance d’un droit d’opposition que ses auteurs membres pourront exercer afin de défendre leurs droits. La Sacem reprend la philosophie de la SACD, souhaitant une IA « vertueuse, transparente et équitable ». À la différence de la SACD, la Sacem exerce son opt-out d’office, pour toutes les œuvres de son répertoire. Le droit d’opposition de la Sacem, une mesure protectrice des droits d’auteur La Sacem défend les droits des auteurs face aux IA génératives La Sacem possède un répertoire considérable de plus d’une centaine de millions d’œuvres musicales. En exerçant son droit d’opposition, la Sacem interdit, en principe, l’accès à toutes ces œuvres par les IA génératives. En conséquence, les œuvres répertoriées à la Sacem ne peuvent faire l’objet de data-mining qu’à l’issue d’une autorisation. Ceci implique des négociations dont découlera une rémunération des auteurs. Pour autant, la Sacem affirme vouloir concilier le développement des IA avec les droits d’auteur. Cette conciliation semble dépendre du niveau de transparence dont feront preuve les fournisseurs d’IA et de la lourdeur des éventuelles sanctions judiciaires. Enfin, la souplesse des négociations reste incertaine. Ainsi, la Sacem ouvre concrètement la voie pour une protection accrue des droits d’auteur face au data-mining. Seulement, il appartiendra aux entités législatives, administratives et judiciaires d’assurer l’effectivité de cette protection. Avec la collaboration de Oxana Karlick, stagiaire, étudiante en 2e année de Licence de droit à l’Université Paris Panthéon-Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Rébecca Véricel Avocate, Directeur d’activité au sein du Pôle Propriété intellectuelle     Rébecca Véricel Avocate, Directeur d’activité au sein du Pôle Propriété intellectuelle Avocate à la Cour d’appel de Paris, Rébecca Véricel est Directeur d’activité au sein du Pôle Propriété intellectuelle, elle intervient dans les domaines du conseil et du contentieux, principalement en droit de la propriété intellectuelle, ainsi que dans les domaines associés. Phone:+33 (0)6 74 48 64 16 Email:rebecca-vericel@lexing.law     Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Internet contentieux, Publication

Plainte contre la plateforme Temu pour non-conformité avec le DSA

/

L’UFC que choisir dépose plainte contre la plateforme Temu sur la base du Digital Services Act (ci-après « DSA »). Temu est un site internet chinois en activité depuis 2003 et dédié au commerce en ligne. La plateforme compatibilise près de 75 millions d’utilisateurs mensuels au sein de l’Union européenne. C’est la première fois qu’une association de consommateurs porte plainte devant l’Arcom au titre du DSA. Lire la suite Une plainte sur la base du DSA Plainte contre la plateforme Temu pour non-conformité avec le DSA Le DSA est entré en vigueur le 16 novembre 2022. Ses obligations sont contraignantes depuis le 17 février 2024 pour les fournisseurs de services intermédiaires. Le DSA vise à protéger les utilisateurs en ligne contre les contenus illicites, dangereux et préjudiciables. Le règlement DSA s’applique à l’ensemble des acteurs en ligne qui fournissent des services intermédiaires dans l’Union européenne. Les fournisseurs de services intermédiaires sont notamment soumis : • à des politiques de modération de leur contenu, de leurs systèmes de recommandation et de leur publicité ; • à des obligations visant à protéger les droits des utilisateurs, en particulier des mineurs ; • au respect du devoir de diligence et de vigilance des très grandes plateformes. Dans son communiqué de presse, l’UFC Que choisir déclare que le site chinois ne garantirait pas à ses « utilisateurs un environnement en ligne sûr, prévisible et digne de confiance ». En effet, la plateforme d’e-commerce présente de nombreuses incompatibilités avec le DSA. Les incompatibilités invoquées au soutien de la plainte contre la plateforme Temu Plainte contre la plateforme Temu pour non-conformité avec le DSA La traçabilité des vendeurs professionnels est un des premiers axes de contestation de la plainte contre la plateforme Temu. En effet, la plateforme «ne fournit pas une traçabilité suffisante des professionnels qui vendent des produits sur la plateforme ». Or, les consommateurs doivent pouvoir connaitre l’identité précise des vendeurs. Cette obligation du DSA a pour but de garantir aux consommateurs d’avoir un point de contact en cas de problème. C’est notamment le cas pour une réparation ou de remboursement. De plus, Temu est tenu d’expliquer le fonctionnement de ses systèmes de recommandations. La plateforme doit également justifier les critères de sélection pour l’affichage des produits individuels. A cela s’ajoute qu’en ne procédant à aucune vérification d’âge, Temu ne fournit pas de haut niveau de sécurité. La plateforme ne conditionne en effet pas l’accès au service à une vérification d’âge. En outre, l’association fait grief à Temu de manipuler les utilisateurs. La plateforme aurait recours à des techniques de « dark patterns ». Elle utiliserait en effet de faux compteurs de temps. De plus, la mention de prétendus stocks limités aurait pour objectif de créer un sentiment d’urgence. Il convient de rappeler que le non-respect d’une obligation du DSA peut conduire à une amende allant jusqu’à 6% du chiffre d’affaires. Les plateformes pourront également voir interdire leurs activités au sein du marché européen. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Avocate à la Cour d’appel de Paris, Alexandra Massaux est directeur du département « Contentieux des technologies émergentes » au sein du Pôle Contentieux informatique. Son implication dans cette typologie de litiges lui a également permis de se forger une expérience solide du phasage et des processus qui président à la fourniture d’une solution informatique, des acteurs concernés et de la gestion, sur le plan organisationnel et humain, de projets. Alexandra Massaux est nommée Best Lawyer dans la catégorie « Information Technology Law » des éditions 2024 et 2023 du classement de la revue américaine « Best Lawyers ». Phone:+33 (0)6 47 21 37 26 Email:alexandra-massaux@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Articles, Contentieux informatique, Publication

CEPD : avis sur la validité du modèle « consentir ou payer »

/

Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du modèle « consentir ou payer ». (1) (2) Lire la suite L’utilisation du modèle « consentir ou payer » par les grandes plateformes CEPD : avis sur la validité du modèle « consentir ou payer » Ce modèle consiste soit pour l’utilisateur à consentir au traitement de ses données personnelles à des fins de publicité comportementale soit à payer une redevance afin que ses données ne soient pas traitées. Ce sont principalement les grandes plateformes en ligne tel que Meta qui utilisent ces modèles. Néanmoins, même en cas de consentement recueilli, se pose encore la question de sa validité. En effet, cette approche « tout ou rien » fait l’objet de controverse. Ainsi, conformément à l’article 64, 2) du RGPD plusieurs autorités de protection des données ont sollicité un avis au CEPD. La nécessité de mettre en place des alternatives supplémentaires pour l’utilisateur CEPD : avis sur la validité du modèle « consentir ou payer » Rendant son avis, le CEPD insiste sur le problème de la binarité d’un tel modèle. En effet, la seule alternative au refus d’un tel traitement est une alternative qui par défaut est payante.  Les utilisateurs se retrouvent ainsi à faire le choix entre la gratuité des contenus et la confidentialité. Les utilisateurs consentiraient par défaut sans comprendre les implications de leur choix. Pour le CEDP, cette binarité n’est pas de nature à assurer la validité du consentement de l’utilisateur. Ainsi, le CEPD incite les grandes plateformes à mettre en place des alternatives supplémentaires. L’alternative pourrait par exemple prendre la forme du choix d’une publicité contextuelle. L’obligation pour les plateformes en ligne d’évaluer la validité du consentement CEPD : avis sur la validité du modèle « consentir ou payer » Le CEPD énonce également les critères pour évaluer la liberté du consentement de l’utilisateur. Les responsables de traitement doivent notamment prendre en compte l’absence de déséquilibre de pouvoir. Le CEPD n’interdit pas la redevance en soit. Néanmoins, il précise que les plateformes ne devront pas fixer un prix de nature à obliger les utilisateurs à consentir. Ainsi, une obligation d’évaluation au cas par cas du montant des redevances pèse sur les responsables de traitement. Pour cela, ils doivent notamment prendre en compte leur position sur le marché ou alors la situation de dépendance de l’utilisateur. Un rappel de l’exigence de respect global du RGPD CEPD : avis sur la validité du modèle « consentir ou payer » De plus, le consentement une fois obtenu ne soustrait pas les responsables de traitement au respect des principes du RGPD. L’article 5 prescrit notamment le respect des principes de limitation des finalités, de minimisation ou de nécessité. Ainsi, le CEPD n’interdit pas en soit le modèle « consentir ou payer ». Il le subordonne néanmoins au respect des conditions susmentionnées. Afin de préciser sa position, le CEPD élaborera également des lignes directrices sur le modèle « consentir ou payer ». Il convient de rappeler pour mémoire que le non-respect d’une obligation du RGPD peut entrainer une amende. Celle-ci peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial. Avis n°08/2024 du CEPD du 17 avril 2024 sur le modèle « consentir ou payer » (EDPB Opinion 08/2024 ‘Consent or Pay’ models should offer real choice [en anglais])  Communiqué Cnil du 22 avril 2024 : « Consentir ou Payer » : le Comité européen de la protection des données adopte un avis. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Marion Catier est Directeur de l’activité Contentieux Données personnelles au sein du pôle Contentieux numérique. Elle intervient principalement dans le cadre de contentieux et précontentieux relatifs à la protection des données à caractère personnel et des systèmes d’intelligence artificielle. Marion Catier intervient également dans le cadre de contentieux liés aux systèmes d’information, devant les juridictions civiles et commerciales. Phone:+33 (0)6 74 40 73 22 Email:marion-catier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Actualités, Articles, Propriété intellectuelle, Publication

Sharenting et respect du droit à l’image de l’enfant

/

Face à l’émergence du sharenting, soit le partage par les parents de photographies de leurs enfants sur les réseaux sociaux, le législateur est intervenu pour garantir une meilleure effectivité du droit à l’image de l’enfant et au respect de sa vie privée. Le droit à l’image de l’enfant, composante du droit à la vie privée, est en effet à l’ère du numérique, un problème d’une grande ampleur, devant faire l’objet d’une protection renforcée face à des pratiques de plus en plus généralisées (1). Le sharenting est issu de la fusion des termes share et parenting, qui signifient de manière respective « partager » et « parentalité ». Ce terme est défini par la Cnil comme « une pratique qui consiste, pour les parents, à publier des photos ou des vidéos de leurs enfants sur les réseaux sociaux » (2). Dans la mesure où les parents sont à l’origine de la surexposition de leur enfant dans le cyberespace, ils sont corrélativement défaillants dans la protection du droit à l’image de l’enfant. Déjà dans le rapport « Enfants et écrans : grandir dans le monde numérique » du Défenseur des droits de 2012 avait été souligné que « les violations du droit à l’image des enfants, composante du droit respect de leur vie privée, restent en pratique communément admises ». Prenant conscience de la nécessité d’encadrer un droit qui connaît un manque d’effectivité important, le législateur français a adopté la loi n°2024-120 du 19 février 2024 visant à garantir le respect du droit à l’image de l’enfant. Lire la suite Le droit à l’image de l’enfant Sharenting et respect du droit à l’image de l’enfant L’image d’une personne, composante du droit à la vie privée, est un attribut de sa personnalité qui bénéficie de la protection accordée par l’article 9 du Code civil. Principe de valeur constitutionnelle, découlant de l’article II de la Déclaration des droits de l’Homme et du Citoyen de 1789 (3), la vie privée est par ailleurs protégée par l’article 12 de la Déclaration universelle des droits de l’Homme de 1948, par l’article 8 de Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe et par la Chartre des droits fondamentaux de l’Union européenne de 2000. Concernant plus particulièrement l’enfant, l’article 16 de la Convention Internationale des Droits de l’Enfant dispose que « nul enfant ne fera l’objet d’immixtions arbitraires ou illégales » entre autres « dans sa vie privée » et que « l’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes ». La diffusion de l’image d’un enfant nécessite un consentement (4). L’exercice du droit à l’image de l’enfant avant la loi n°2024-120 Sharenting et respect du droit à l’image de l’enfant Le droit à l’image de l’enfant, bien qu’étant un attribut de sa personnalité, n’est pas concomitant avec son accès à la personnalité juridique. Aussi, avant que l’enfant atteigne l’âge nubile, les droits de la personnalité de l’enfant sont exercés par ses parents conjointement, lorsqu’ils sont titulaires de l’autorité parentale. La protection du droit à l’image de l’enfant incombe donc aux parents, ce qui peut être néfaste pour le respect de ce droit, notamment en période de généralisation du sharenting. En cas de différend sur la diffusion de contenus portant sur l’image de l’enfant par l’un de ses père et mère, c’est le juge judiciaire qui en application du droit commun et notamment l’article 9 du Code civil était compétent pour trancher. Or la jurisprudence n’était pas harmonisée sur la qualification, l’exercice du droit à l’image de l’enfant étant au gré des juridictions qualifié d’actes usuels (5) ou non usuels (6, 7 & 8), à savoir exercé par l’un des parents ou nécessairement par les deux. L’encadrement du sharenting par la loi n°2024-120 du 19 février 2024 Sharenting et respect du droit à l’image de l’enfant Une nouvelle étape dans la protection de l’enfant et de sa dignité, après la loi du sur les « enfants influenceurs », est offerte par la loi n°2024-120 du 19 février 2024 qui vise à « garantir le respect du droit à l’image des enfants » et accorder le droit positif français face à la banalisation du sharenting. Le législateur est venu élargir la définition de l’autorité parentale. L’article 371-1 du Code civil dans sa nouvelle rédaction prévoit qu’à l’ensemble de droits et de devoirs définissant l’autorité parentale et ayant pour finalité l’intérêt de l’enfant, s’ajoute la protection par les parents de la vie privée de leur enfant, dont le droit à l’image est une composante. Plusieurs mécanismes juridiques ont été mis en place par le législateur pour permettre une meilleure protection du droit à l’image de l’enfant. D’une part, la protection doit se faire dans le respect de l’article 9 du Code civil. Les parents, qui seuls consentent à l’utilisation de l’image de l’enfant, sont appelés à prendre en considération les opinions de l’enfant eu égard à « son âge et à son degré de maturité », selon la nouvelle rédaction de l’article 372-1 du Code civil. Le législateur a repris la formulation de l’article 12 de la Convention international des droits de l’enfant. La loi accorde également aux enfants le droit de contrôler et de limiter la diffusion de leur propre image en ligne. Ils ont le droit de demander la suppression ou la désactivation de tout contenu qui les concerne, et les entreprises sont tenues de répondre à ces demandes dans des délais spécifiés. Cette disposition donne aux enfants un plus grand contrôle sur leur présence en ligne et renforce leur autonomie numérique. Enfin, la loi du 19 février 2024 met l’accent sur la sensibilisation et l’éducation en matière de droit à l’image des enfants. Elle prévoit des campagnes de sensibilisation nationales visant à informer les parents, les enseignants et les enfants eux-mêmes sur leurs droits et responsabilités en matière d’image et de vie privée en ligne. Ces initiatives éducatives visent à renforcer la conscience collective autour de ces questions cruciales et à promouvoir des comportements responsables dans l’utilisation des médias numériques. D’autre part, le législateur offre un rôle accru au juge judiciaire

e-commerce et publicité digitale
Actualités, Articles, Fiscalité - Société, Publication

La directive VIDA : une transformation de la TVA ?

/

La Commission européenne a confirmé sa volonté de modernisation fiscale avec la directive « VAT in the Digital Age »  (Directive VIDA), le 8 décembre 2022 (1). En effet, l’e-commerce européen a enregistré une croissance de 11% sur l’année 2022 pour atteindre un chiffre d’affaires de 797 milliards d’euros en B to C (Business to Consumers). Au sein de l’Union européenne, la Taxe sur la Valeur Ajoutée (TVA) se présente comme un impôt indirect portant sur la consommation appliquée à une large gamme de biens et services. Elle se calcule à partir de la valeur ajoutée à chaque étape de la chaîne de production et de distribution. Lire la suite Un besoin de moderniser la TVA La directive VIDA : une transformation de la TVA ? Face aux évolutions technologiques, la directive VIDA concentre son action autour de trois axes majeurs de modernisation : • Axe 1 : tout d’abord, la modernisation des obligations déclaratives pour les entreprises par le biais de la mise en place d’obligations d’e-reporting et d’e-invoicing supplées de la facturation électronique. Le système est simplifié et sécurisé. • Axe 2 : ensuite, une adaptation aux plateformes du marché numérique est faite. En effet, les plateformes d’e-commerce ont la responsabilité de collecter la TVA ce qui a pour but de réguler le marché. • Axe 3 : enfin, l’optimisation des enregistrements TVA au sein de l’Union européenne dans le but de faciliter les démarches administratives des entreprises opérant dans plusieurs Etats-membres (système d’enregistrement unique). Ces trois axes ont pour objectif de créer un système plus efficace, plus transparent et plus équitable pour les entreprises et les consommateurs européens. Le calendrier de la directive VIDA La directive VIDA : une transformation de la TVA ? Depuis janvier 2024, il est possible pour les acteurs du e-commerce européen de bénéficier d’un processus de facturation électronique B to B (business to business) plus fluide. En effet, l’accord du client pour émettre ou transmettre une facturation électronique n’est plus nécessaire. En outre, il est désormais possible pour les Etats-membres de mettre en place des obligations d’e-invoicing sans demander au préalable une dérogation à la Commission européenne. En revanche, celle-ci doit s’accompagner d’une obligation d’e-reporting. Les entreprises peuvent anticiper l’entrée en vigueur de la directive dans leurs États respectifs grâce à ces deux options. À partir de janvier 2025, la directive VIDA simplifiera les démarches pour les transactions internationales. En effet, avec l’adoption du guichet unique TVA IOSS-OSS, le régime des stocks sous contrat de dépôt sera supprimé et les transactions seront plus amplement sécurisées. Aussi les plateformes marketplaces agiront à la fois comme acheteurs et revendeurs. Cette nouvelle approche garantit une meilleure traçabilité et une meilleure transparence. Elle vise également à renforcer la confiance des acteurs européens du e-commerce. En vue d’accroître la transparence des transactions en ligne, la directive VIDA imposera, à partir de janvier 2028, une obligation d’e-reporting pour les flux intracommunautaires. Les États-membres auront également la possibilité d’étendre cette obligation aux flux domestiques, s’ils le jugent nécessaire. Par conséquent, cette directive et ses obligations permettent aux autorités fiscales de mieux suivre et contrôler les mouvements de biens et de services au sein de l’Union européenne. Elle contribue ainsi à lutter contre la fraude fiscale et à garantir une concurrence loyale. Et en France, la facturation électronique ? La directive VIDA : une transformation de la TVA ? À l’échelle française, dans un communiqué de presse du 28 juillet 2023, le gouvernement a annoncé le report du calendrier (2) de mise en œuvre de la généralisation de la facturation électronique. Initialement prévue au 1er juillet 2024, l’obligation pour les entreprises établies en France d’émettre et de recevoir des factures électroniques s’appliquera progressivement à partir du 1er septembre 2026. Ce nouveau calendrier a été précisé dans un amendement (n° I-5395) au projet de loi de finances (PLF) (3) pour 2024, publié le 17 octobre 2023. Conclusion La directive VIDA : une transformation de la TVA ? Finalement, la directive VIDA tend à transformer le système fiscal européen pour le rendre plus apte à répondre aux enjeux nouveaux. Cette directive s’inscrit dans une volonté certaine de la Commission européenne de moderniser et d’adapter sa fiscalité à l’ère du numérique. En favorisant la transparence, l’efficacité et l’équité, elle vise à stimuler la croissance du e-commerce et à protéger les intérêts des acteurs européens. Directive VIDA : « VAT in Digital Age », 52022PC0701 – EN – EUR-Lex, 8 décembre 2022. La généralisation de la facturation électronique reportée au 1er septembre 2026, 10 février 2023. Amendement n° I-5395 au Projet de Loi de Finances 2024, 17 octobre 2023. Avec la collaboration de Sofia Kedim, stagiaire, étudiante en première année de Droit à l’Université Paris-Saclay. Created by potrace 1.16, written by Peter Selinger 2001-2019 Jennifer Bessi Avocate, Directrice du département Sociétés et Fiscalité du numérique Jennifer Bessi Avocate, Directrice du département Sociétés et Fiscalité du numérique Avocate à la Cour d’appel de Paris, Jennifer Bessi est directrice du département Sociétés et Fiscalité au sein du pôle Droit de l’entreprise. Elle intervient tant en conseil qu’en contentieux en droit des sociétés, droit public concernant tous les aspects de la fiscalité qu’elle soit personnelle, patrimoniale, internationale, et ce dans tous les secteurs d’activité qu’ils soient traditionnels ou numériques. Phone:+33 (0)7 61 56 83 13 Email:jennifer-bessi@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Vidéoprotection sur la voie publique
Actualités, Articles, Données personnelles, Données personnelles, Publication

Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ?

/

L’objectif de cet article est de présenter quelles sont les autorités publiques compétentes pouvant mettre en œuvre un système de vidéoprotection sur la voie publique. Lire la suite Les dispositions de l’article L.251-2 du CSI Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ? L’article L.251-2 du Code de la sécurité intérieure, dans sa version issue de la loi du 19 mai 2023 (dite « loi Jeux Olympiques 2024 ») (1), dispose en son premier paragraphe que : « Des systèmes de vidéoprotection peuvent être mis en œuvre sur la voie publique par les autorités publiques compétentes aux fins d’assurer : La protection des bâtiments et installations publics et de leurs abords ; La sauvegarde des installations utiles à la défense nationale ; La régulation des flux de transport ; La constatation des infractions aux règles de la circulation ; La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d’agression, de vol ou de trafic de stupéfiants ainsi que la prévention, dans des zones particulièrement exposées à ces infractions, des fraudes douanières prévues par le dernier alinéa de l’article 414 du Code des douanes et des délits prévus à l’article 415 du même code portant sur des fonds provenant de ces mêmes infractions ; 6. La prévention d’actes de terrorisme, dans les conditions prévues au chapitre III du titre II du présent livre ; 7. La prévention des risques naturels ou technologiques ; 8. Le secours aux personnes et la défense contre l’incendie ; 9. La sécurité des installations accueillant du public dans les parcs d’attraction ; 10. Le respect de l’obligation d’être couvert, pour faire circuler un véhicule terrestre à moteur, par une assurance garantissant la responsabilité civile ; 11. La prévention et la constatation des infractions relatives à l’abandon d’ordures, de déchets, de matériaux ou d’autres objets. » L’installation d’un système de vidéoprotection sur la voie publique pour les finalités susvisées est donc réservée aux autorités publiques compétentes. Les précisions apportées par l’instruction émise le 20 mars 2024 du ministre de l’Intérieur et des Outre-mer sur la mise en conformité du régime de vidéoprotection avec le droit européen relatif à la protection des données (2) permet de faire le point sur cette notion et ce qu’elle recouvre. Les définitions antérieures des autorités publiques compétentes Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ? La circulaire du 22 octobre 1996 prise pour application l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité (dite « loi LOPS » et abrogée depuis) (3) qui a instauré le régime légal de la vidéoprotection (à l’époque vidéosurveillance) a donné une première définition des autorités publiques compétentes. Dans son article 2.3.1.1 « Mise en œuvre par « une autorité publique compétente », ou son concessionnaire », cette circulaire précise que cette notion peut désigner « le préfet et le maire, mais également les responsables d’établissements publics (par exemple SNCF, RATP, hôpitaux) ou services publics (par exemple établissements pénitentiaires) et certains concessionnaires, tels que les sociétés concessionnaires d’autoroutes ». Ce champ d’application, qui apparaît de prime abord très étendu, s’explique par le fait que l’article 10 de la loi LOPS qui visait deux catégories de finalités : • des finalités relatives à la sauvegarde ou à la protection de bâtiments et d’installations ; • des finalités relatives à la prévention et à la constatation d’infractions pénales. C’est en fonction de ces deux catégories de finalités que la circulaire du 22 octobre 1996 a défini les autorités publiques compétentes. Le second paragraphe de l’article 2.3.1.1 précité précise en effet que « le critère d’admission est la capacité à exercer un pouvoir de police, pour les systèmes ayant pour finalité la régulation du trafic routier ou la prévention d’infractions aux règles de la circulation, ou la nécessité de sauvegarder la protection des bâtiments et installations publics et de leurs abords, ainsi que la sauvegarde des installations utiles à la défense nationale pour les autres. » La désignation des autorités publiques compétentes en fonction des finalités poursuivies par le système de vidéoprotection installé sur la voie publique a été reprise dans la circulaire du 12 mars 2009 (4) relative aux conditions de déploiement des systèmes de vidéoprotection. Cette circulaire rappelle que la compétence des autorités publiques pour installer un système de vidéoprotection s’apprécie au regard de la finalité poursuivie et cite comme exemples l’autorité qui occupe un bâtiment, la personne qui en est propriétaire et celle qui exerce le pouvoir de police générale ou un pouvoir de police spéciale dans le lieu en cause. Elle précise que « cette personne compétente peut revêtir des formes juridiques variées. Il peut s’agir d’un préfet, d’un maire, du président d’une intercommunalité, du dirigeant d’un établissement public (RATP, hôpital) ou d’un service (établissements pénitentiaires). Les sociétés concessionnaires d’autoroutes peuvent également être regardées comme telles en raison de la délégation qui leur est consentie ». Il ressortait ainsi des circulaires du 22 octobre 1996 (dont l’article 2.3.1.1 visait déjà les autorités publiques compétentes ou leur « concessionnaire ») et du 12 mars 2009 que peuvent être considérées comme des autorités publiques compétentes des personnes morales de droit privé comme les concessionnaires d’autoroutes. La situation des collectivités territoriales Vidéoprotection sur la voie publique : quelles sont les autorités publiques compétentes ? Pour les collectivités territoriales et leurs établissements publics, une clarification a été apportée par une instruction du 4 mars 2022 (5), prise à la suite de l’entrée en vigueur de la loi du 25 mai 2021 pour une sécurité globale préservant les libertés. Aux termes de cette instruction : • concernant les communes : au plan local, seuls le maire et le préfet du département disposent d’un pouvoir de police administrative générale et le maire est la première autorité publique compétente pour mettre en œuvre, sur son territoire communal, un dispositif de vidéoprotection de la voie publique ; • concernant les établissements publics de coopération intercommunale (EPCI) : les EPCI à fiscalité propre qui exercent la compétence relative aux

Articles, Contentieux informatique, Publication

Le libre accès des données retire-t-il le caractère déloyal de la collecte ?

/

La chambre criminelle de la Cour de cassation reconnait que le libre accès des données à caractère personnel ne retire rien au caractère déloyal de la collecte (1). Dans cette affaire, à la suite de la demande d’une société, un enquêteur privé a effectué des recherches sur des personnes. Celles-ci portaient sur des données à caractère personnel. Par un arrêt du 27 janvier 2023, la cour d’appel de Versailles condamne l’enquêteur privé à un an d’emprisonnement avec sursis et 20 000 euros d’amende. Ce dernier forme alors un pourvoi en cassation. La question posée à la Cour de cassation était donc de savoir si la collecte de données à caractère personnel peut être considérée comme déloyale dès lors que ces données sont en libre accès. Dans son arrêt n° 23-80.962 du 30 avril 2024, la chambre criminelle de la Cour de cassation confirme la position des juges du fond s’agissant du caractère déloyal de la collecte de données personnelles. Lire la suite Le libre accès des données ne retire pas le caractère déloyal de la collecte Le libre accès des données retire-t-il le caractère déloyal de la collecte ? La singularité de cette affaire réside dans le fait que les données collectées étaient en libre accès. Dans sa décision, la Cour de cassation affirme que cela n’enlève en rien le caractère personnel des données collectées. Le libre accès ne rend ainsi pas la collecte licite. En l’espèce, les données concernées étaient « issues de la capture et du recoupement d’informations diffusées sur des sites publics tels que sites web, annuaires, forums de discussion, réseaux sociaux, sites de presse régionale ». La Cour de cassation retient que « le fait que les données à caractère personnel collectées par le prévenu aient été pour partie en accès libre sur internet ne retire rien au caractère déloyal de cette collecte ». L’appréciation du caractère déloyal de la collecte Le libre accès des données retire-t-il le caractère déloyal de la collecte ? Dans son arrêt, la Cour de cassation relève le caractère déloyal de la collecte « dès lors qu’une telle collecte, de surcroît réalisée à des fins dévoyées de profilage des personnes concernées et d’investigation dans leur vie privée, à l’insu de celles-ci, ne pouvait s’effectuer sans qu’elles en soient informées ». Ainsi, la Cour de cassation estime déloyale la collecte de données effectuée sans avertissement des personnes concernées. Elle considère également comme déloyale la collecte réalisée dans un but détourné de sa finalité. Pour conclure, cette décision renforce le droit à l’information des personnes sur l’utilisation de leurs données à caractère personnel, en particulier dans les relations entre employeurs et employés. Cass crim 30-04-2024 n° 23-80962. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Actualités, Articles, Publication, Santé

Parution du nouveau référentiel de certification HDS : quels changements ?

/

Vient d’être publié l’arrêté du 26 avril 2024 modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel. Début 2022, cinq ans après la mise en œuvre de la certification HDS, la Délégation du Numérique en Santé (« DNS ») et l’Agence du Numérique en Santé (« ANS ») ont lancé une démarche de révision du référentiel de certification HDS (ci-après « nouveau référentiel de certification HDS ») (1). Ces instances se sont associées notamment à la Commission nationale de l’informatique et des libertés (« Cnil »), laquelle a rendu un avis favorable sur le projet de référentiel le 13 juillet dernier (2). En décembre 2023, l’ANS a soumis le projet d’arrêté « modifiant l’arrêté du 11 juin 2018 portant approbation du référentiel d’accréditation des organismes de certification et du référentiel de certification pour l’hébergement de données de santé à caractère personnel » à la Commission européenne (3). Nota bene : Seul le référentiel de certification pour l’hébergement de données de santé à caractère personnel (« référentiel de certification HDS ») nous intéressera dans la suite de nos développements. Ce référentiel HDS est à destination des hébergeurs et non des certificateurs comme le référentiel d’accréditation des organismes de certification. Lire la suite Le cadre juridique de ce référentiel Nouveau référentiel de certification HDS L’hébergement des données de santé à caractère personnel est encadré en France par les articles L.1111-8 et R.1111-8 et suivants du Code de la santé publique (« CSP »). Cette règlementation pose l’obligation d’être certifiée HDS pour toute personne qui : héberge sur support numérique des données de santé à caractère personnel recueillies à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social, pour le compte de personnes physiques ou morales à l’origine de la production ou du recueil de ces données ou pour le compte du patient lui-même. L’objectif de cette règlementation est de garantir aux usagers et aux professionnels de santé que les données de santé à caractère personnel, particulièrement protégées par le RGPD, confiées dans le cadre d’une prise en charge médicale, sont sécurisées. Les modifications apportées Nouveau référentiel de certification HDS Précisions sur l’activité 5 Pour mémoire, le périmètre des activités d’hébergement certifiées couvre la mise à disposition et le maintien en condition opérationnelle : des sites physiques permettant d’héberger l’infrastructure matérielle du système d’information utilisé pour le traitement des données de santé ; de l’infrastructure matérielle du système d’information utilisé pour le traitement de données de santé ; de l’infrastructure virtuelle du système d’information utilisé pour le traitement des données de santé ; de la plateforme d’hébergement d’applications du système d’information ; l’administration et l’exploitation du système d’information contenant les données de santé ; la sauvegarde des données de santé. L’un des objectifs du nouveau référentiel de certification HDS est de clarifier les activités pour lesquelles les hébergeurs ont obtenu la certification, en particulier l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». En effet, à ce jour, l’activité dite « d’administration et d’exploitation d’applications du système d’information (« SI ») de santé », correspondant à l’activité 5 de la certification HDS, n’a toujours pas été supprimée du périmètre de la certification, malgré les questionnements qu’elle suscite du fait notamment de son absence de définition. (4) Or, cette activité, relative à l’application métier, avait conduit de nombreux acteurs (éditeurs de logiciels, fabricants de dispositifs médicaux, etc.) à s’interroger sur la nécessité d’être certifiés. (5) Le nouveau référentiel de certification HDS propose une définition du champ d’application de l’activité 5 correspondant à « l’administration et l’exploitation du système d’information contenant les données de santé ». Selon cette définition, l’activité 5 recouvre : l’encadrement et la gestion des accès occasionnels des tiers mandatés par le client de l’organisation, par exemple, à des fins d’audit, d’expertise, de déploiement ou de maintenance, et qui ont accès via le Socle d’Infrastructure HDS à l’Application métier ; le maintien en condition de sécurité du Socle d’Infrastructure HDS et le centre de support au client ; et la tenue à jour de la documentation assurant la cohérence et la complétude des garanties de sécurité fournies par les différents acteurs participant à la mise en œuvre du service. Ainsi, certaines opérations exercées par des éditeurs de logiciels ou des fabricants de dispositifs médicaux (maintenance par exemple) se retrouveraient exclues du périmètre de l’obligation de certification HDS. A faire : L’hébergeur devra vérifier s’il exerce toujours l’activité d’ « administration et exploitation du système d’information contenant les données de santé » compte tenu de la nouvelle définition et amender le contrat le cas échéant. Nouvelles exigences du contrat HDS Le nouveau référentiel de certification HDS vise à clarifier les obligations contractuelles de l’hébergeur en intégrant les clauses obligatoires déjà prévues par l’article R.1111-11 du Code de la santé publique dans les contrats HDS. A faire : L’hébergeur devra auditer son contrat HDS pour s’assurer qu’il intègre les clauses obligatoires de l’article R.1111-11 du Code de la santé publique et, à défaut, amender le contrat pour qu’il reprenne l’ensemble de ces clauses obligatoires. Le nouveau référentiel de certification HDS vise également à améliorer la lisibilité des garanties apportées par l’hébergeur à chaque client faisant appel à ses services. Il impose à l’hébergeur HDS qu’il reproduise dans le contrat ses garanties et celles de sous-traitants éventuels. L’objectif est d’être transparent sur la participation réelle de chaque acteur à la sécurité des données confiées par le client et de standardiser la présentation des garanties mises en place par l’hébergeur permettant de couvrir toute défaillance éventuelle de sa part. A faire : L’hébergeur devra intégrer le tableau reproduit dans le nouveau référentiel de certification HDS listant les acteurs qui participent au traitement des données dans le cadre de la prestation HDS. Nouvelles exigences de transparence et d’hébergement dans l’EEE S’agissant des exigences de transparence, le nouveau référentiel de certification HDS s’inscrit dans une démarche de protection du client et des données de santé à caractère personnel qui sont confiées à

Articles, Informatique et libertés, Publication, Santé, Secteur santé

Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux

/

Dans une décision du 22 février 2024 (1), le Garant de la protection des données personnelles (« GPDP »), homologue italien de la Cnil, a infligé une amende de 75 000€ à une société gérant sept hôpitaux pour accès non autorisé à des dossiers médicaux par son personnel. Lire la suite Quel est le contexte de la décision ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Le GPDP consécutivement au dépôt de trois plaintes à l’encontre de la société gérant les hôpitaux, concernant des accès répétés et non autorisés à des dossiers patients électroniques par des membres du personnel médical non impliqués dans le suivi desdits patients. Par exemple, une professionnelle de santé avait réussi à consulter les analyses de laboratoire de son ex-mari sans son consentement, alors même qu’elle n’était pas impliquée dans sa prise en charge. Quels sont les manquements observés dans l’accès aux dossiers médicaux ? Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux L’Autorité italienne a fondé sa décision sur les articles 5, 9, 25 et 32 du Règlement général sur la protection des données (« RGPD »), afin de retenir le « caractère illicite du traitement des données personnelles effectué par la société ». Pour le GPDP, la société a manqué à son obligation de sécurité du traitement des données de santé à caractère personnel, notamment en : • permettant au personnel d’accéder aux dossiers patients électroniques, par auto-certification ; • autorisant par défaut un large éventail de professionnels, y compris le personnel administratif sans lien avec les soins des patients, à avoir accès aux dossiers patients électroniques ; • ne mettant en place aucun système d’alerte afin de détecter les comportements anormaux ou à risque liés aux opérations effectuées par les responsables de traitement. D’après le GPDP ces différents manquements constituent à la fois des violations du RGPD et une transgression des « Lignes directrices sur les dossiers médicaux » émises en juin 2015. Ces lignes directrices rappellent notamment que l’accès au dossier médical doit être limité aux seuls personnels de santé qui interviennent dans le processus de prise en charge des patients. En plus de l’amende administrative de 75 000€ infligée à la société, le GPDP a également ordonné de mettre en œuvre des mesures techniques et organisationnelles nécessaires afin d’assurer la sécurité des données personnelles traitées et d’éviter tout accès non autorisé aux dossiers médicaux des patients. Conclusion Le GPDP sanctionne l’accès non autorisé aux dossiers médicaux Cette décision fait écho à la sanction infligée par l’Autorité Espagnole de Protection des Données (« AEPD ») à un hôpital en novembre 2022 pour défaut de précautions empêchant l’accès non autorisé aux dossiers médicaux des patients (2). De son côté, la Cnil a récemment mis en demeure plusieurs établissements de santé d’adopter des mesures pour sécuriser le dossier patient électronique (3). Elle a insisté sur la nécessité de restreindre l’accès aux données médicales aux seuls professionnels habilités et justifiant d’un besoin légitime. Notes de bas de page : Décision n° 10001279 rendue par le GPDP, du 22 février 2024 Décision de l’AEPD du 18 novembre 2022 Communiqué de la CNIL du 9 février 2024. Avec la collaboration d’Eva Deniau, stagiaire étudiante en Master 2 Droit de la santé et de la protection sociale. Created by potrace 1.16, written by Peter Selinger 2001-2019 Isabelle Chivoret Avocate, Directrice du département Santé numérique Isabelle Chivoret Avocate, Directrice du département Santé numérique Avocate à la Cour d’appel de Paris, Isabelle Chivoret est directrice du département Droit de la santé numérique. Elle intervient dans les domaines du conseil et du contentieux en Droit de la santé et des Sciences de la vie, tant auprès de laboratoires pharmaceutiques, fabricants de dispositifs médicaux, sociétés de biotechnologie, que d’établissements et professionnels de santé, de groupement de coopération sanitaire et de GHT. Phone:+33 (0)6 79 40 91 20 Email:isabelle-chivoret@lexing.law Émilie Brulon Avocate, Département Santé numérique Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Facebook
Articles, Internet conseil, Publication, Web 2.0

Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique

/

Le 10 avril 2024, l’Assemblée nationale donne son aval à l’adoption de la loi SREN. Elle a toutefois fait l’objet d’une saisine du Conseil constitutionnel n° 2024-866 le 17 avril 2024. Cette loi vise à sécuriser et à réguler l’espace numérique. Elle adapte le droit français au règlement européen sur les services numériques (DSA). Lire la suite Protection en ligne des mineurs à l’encontre de la pornographie Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique Les éditeurs ou les plateformes proposant du contenu pornographique en ligne devront rendre inaccessibles ces contenus aux mineurs. Cette protection passe par la mise en place de système de vérification d’âge. Dans cette optique de protection des mineurs, l’Arcom va voir ses prérogatives élargies. En effet, le DSA l’avait désigné comme « coordinateur des services numériques en France ». Il lui revient ainsi de déterminer un référentiel fixant des exigences techniques minimum à mettre en œuvre. Ces exigences s’articulent autour de la fiabilité du contrôle de l’âge et le respect de la vie privée. De plus, aucun contenu pornographique ne devra s’afficher tant que le système n’aura pas vérifié l’âge. A compter de la publication du référentiel par l’Arcom, les sites et hébergeurs auront trois mois pour s’y conformer. En cas de non-conformité, l’Arcom pourra ordonner sans concours du juge, leur blocage et déférencement sous 48 heures. La protection des mineurs passe également par la pénalisation du défaut de retrait de contenu pédopornographique. Les hébergeurs pourront recevoir une demande de retrait de contenu pédopornographiques d’une autorité administrative. Ils devront s’exécuter sous 24 heures. A défaut la loi prévoit une peine de prison d’un an et 250 000 euros d’amende. Renforcement de la protection contre les infractions de haine en ligne et de cyberharcèlement Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique La loi met également en place de nouvelles sanctions dans l’optique de condamner la haine en ligne, le cyberharcèlement. La SREN introduit en effet à l’article 131-35-1 du Code pénal une peine complémentaire. Le juge pourra en effet ordonner le bannissement des réseaux sociaux pour six mois Le réseau social qui ne bloquerait pas le compte litigieux pourra se voir infliger une sanction de 75 000 euros.  La création d’un nouveau délit d’outrage en ligne accompagne cette disposition. L’article 19 de la loi insère l’article 222-33-1-2 dans le code pénal qui sanctionnera la diffusion en ligne : « de tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit créé à son encontre une situation intimidante, hostile ou offensante ». La peine prévue s’élèvera à 3750 euros d’amende. Le juge pourra également prononcer des peines complémentaires comme un stage de sensibilisation. La SREN va également modifier l’article 226-8 du Code pénal qui condamne l’infraction de montage.  Elle va l’adapter pour inclure les deepfake. Les peines sont de deux ans d’emprisonnement et de 45 000 euros d’amende lorsque l’auteur réalise l’infraction en ligne.   De plus, la loi crée une infraction spécifique de deepfake à caractère sexuel. La peine encourue est de deux ans d’emprisonnement et de 60 000 euros d’amende. La loi prévoit une aggravation de cette peine pour l’infraction commise en ligne. Règlementation des services de cloud par l’adoption de la loi SREN Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique L’adoption de la loi SREN vise également à réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage (cloud). Une poignée de géants du numériques (Microsoft, Google, Amazon) dominent en effet ce marché. L’objectif est l’ouverture du marché des données et une concurrence juste et équitable entre les acteurs. Le législateur a ainsi prévu plusieurs mesures : • encadrement des frais de transferts des données ; • encadrement des frais de changement de fournisseur ; • obligation pour les services de cloud d’être interopérable ; • transparence envers les utilisateurs. L’Arcep sera l’autorité chargé de la mise en œuvre de ces mesures. Le législateur vise également la protection de la souveraineté numérique de la France.  Des dispositions encadrent les administrations de l’Etat et ses opérateurs qui stockent des données stratégiques et sensible sur des cloud privés. Ils doivent veiller à ce que les prestataires mettent en œuvre des critères de sécurité et de protection des données. En vertu de l’article 31 de la loi, sont des données d’une sensibilité particulière : • les données qui relèvent des secrets protégés par la loi ; • les données nécessaires à l’accomplissement des missions essentielles de l’Etat (maintien de l’ordre public, protection de la santé, …). Les dispositions visent en particulier la protection contre les accès non autorisés par des autorités d’Etats tiers à l’Union. Concernant spécifiquement les données de santé, une obligation de certification pèse sur les activités d’archivage électronique. Règlementation des jeux à objets numériques monétisables (JONUM) Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique La SREN va également s’intéresser aux JONUM (jeux à objets numériques monétisables). En effet, ceux-ci sont à l’origine de nombreux risques tel que l’addiction ou le blanchiment d’argent. Le texte de loi prévoit donc des obligations comme : • le plafonnement des récompenses ; • la transparence des opérations de jeux ; • la protection des mineurs ; • l’interdiction des activités frauduleuses ou criminelles ; • la lutte contre le blanchiment de capitaux et de financement du terrorisme. Protection des utilisateurs contre les fraudes et arnaques Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique L’adoption de la loi SREN permet la mise en œuvre d’un filtre de cybersécurité anti-arnaque pour le public. L’objectif est de protéger les utilisateurs contre les sites ayant vocation à obtenir frauduleusement des données personnelles. Il vise également à lutter contre les fraudes bancaires. Un message d’alerte s’affichera pour les utilisateurs sur les sites présentant un risque avéré d’arnaque ou d’escroquerie. L’État fixe également pour objectif l’accès à une identité numérique gratuite à 100% des français d’ici 2027. Ainsi, ces nouvelles dispositions visent à sécuriser et

Actualités, Articles, Informatique et libertés, Publication, Sécurité

Guide de la sécurité des données personnelles de 2024

/

La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre. Lire la suite Contenu du Guide de la sécurité des données personnelles de 2024 Guide de la sécurité des données personnelles de 2024 L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent. L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation. En effet, l’article 32 énonce que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD. En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques : • Fiche 1 : Piloter la sécurité des données ; • Fiche 22 : Cloud : Informatique en nuage ; • Fiche 23 : Applications mobiles : Conception et développement ; • Fiche 24 : Intelligence artificielle : Conception et apprentissage ; • Fiche 25 : API : interface de programmation applicative. La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD). Piloter la sécurité des données Guide de la sécurité des données personnelles de 2024 La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire. De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme. Cloud : informatique en nuage Guide de la sécurité des données personnelles de 2024 La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud.  Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité. Néanmoins, le guide rappelle que la sécurité des données appartient également au client. Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires. Ainsi des précautions sont nécessaires, tel que : Chiffrer les données ; Porter attention aux accès et autorisations ; Authentifier les utilisateurs ; Réaliser des sauvegardes. La conception et le développement d’application mobile Guide de la sécurité des données personnelles de 2024 La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs. Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques. Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données. Intelligence artificielle : conception et apprentissage Guide de la sécurité des données personnelles de 2024 Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques. La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées.  API : interface de programmation applicative Guide de la sécurité des données personnelles de 2024 La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges. Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires.  Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue. La mise à jour des recommandations existantes Guide de la sécurité des données personnelles de 2024 Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes.  Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes. La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau. Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct. Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security).  Ce guide s’adresse aussi bien aux délégués à la protection des

Retour en haut