Articles

Actualités, Articles, Informatique et libertés, Publication, Sécurité

Guide de la sécurité des données personnelles de 2024

/

La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre. Lire la suite Contenu du Guide de la sécurité des données personnelles de 2024 Guide de la sécurité des données personnelles de 2024 L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent. L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation. En effet, l’article 32 énonce que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD. En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques : • Fiche 1 : Piloter la sécurité des données ; • Fiche 22 : Cloud : Informatique en nuage ; • Fiche 23 : Applications mobiles : Conception et développement ; • Fiche 24 : Intelligence artificielle : Conception et apprentissage ; • Fiche 25 : API : interface de programmation applicative. La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD). Piloter la sécurité des données Guide de la sécurité des données personnelles de 2024 La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire. De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme. Cloud : informatique en nuage Guide de la sécurité des données personnelles de 2024 La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud.  Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité. Néanmoins, le guide rappelle que la sécurité des données appartient également au client. Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires. Ainsi des précautions sont nécessaires, tel que : Chiffrer les données ; Porter attention aux accès et autorisations ; Authentifier les utilisateurs ; Réaliser des sauvegardes. La conception et le développement d’application mobile Guide de la sécurité des données personnelles de 2024 La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs. Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques. Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données. Intelligence artificielle : conception et apprentissage Guide de la sécurité des données personnelles de 2024 Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques. La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées.  API : interface de programmation applicative Guide de la sécurité des données personnelles de 2024 La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges. Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires.  Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue. La mise à jour des recommandations existantes Guide de la sécurité des données personnelles de 2024 Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes.  Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes. La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau. Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct. Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security).  Ce guide s’adresse aussi bien aux délégués à la protection des

extension .xxx
Articles, Marques et noms de domaine, Publication

Nom de domaine en .fr : nouveau dispositif de vérification

/

L’Afnic souhaitant renforcer ses dispositifs visant à lutter contre les noms de domaine abusifs, a recueilli, en octobre et novembre 2023, l’avis des utilisateurs sur les modalités d’un nouveau dispositif de vérification, dit « dispositif fédéré de vérification » visant à renforcer le contrôle des données des titulaires de noms de domaine en .fr et ultramarins (.re, .pm, .tf, .wf et .yt). Lire la suite Obligation de vérification des données des titulaires Nom de domaine en .fr : nouveau dispositif de vérification L’obligation de fourniture des données exactes au moment de la création d’un nom de domaine et de les maintenir à jour n’est pas nouvelle. Elle résulte de l’article L45-5 Code des postes et des communications électroniques et de l’article 5.1 de la Charte de nommage de l’Afnic. Il incombe aux bureaux d’enregistrement de veiller à son respect par les titulaires de noms de domaine en .fr et ceux enregistrés sous les TLDs gérés par l’AFNIC (.re, .pm, .tf, .wf et .yt). L’Afnic a mis en place depuis plusieurs années un processus de qualification des données d’un titulaire en deux phases distinctes : 1. La valorisation permet sur signalement de tiers, décision de l’Afnic ou à l’initiative du bureau d’enregistrement de vérifier l’éligibilité et/ou la joignabilité d’un titulaire : – éligibilité à enregistrer ou renouveler un nom de domaine en .fr : • personne physique résidant sur le territoire d’un Etat membre de l’Union européenne ou un des pays suivants : Islande, Liechtenstein, Norvège, Suisse et • personne morale ayant son siège ou son établissement principal sur le territoire d’un Etat membre de l’Union européenne ou un des pays suivants : Islande, Liechtenstein, Norvège, Suisse, – joignabilité du titulaire par mél ou par téléphone ; 2. La justification : notification par l’Afnic au bureau d’enregistrement et au titulaire visant à solliciter des pièces justificatives, qui peut aboutir à la suppression d’un portefeuille et du contact titulaire en cas d’abus manifeste. Les tags « eligstatus » et « reachstatus », figurant sur les bases de données Whois, attestent ainsi des vérifications précitées concernant l’éligibilité et la joignabilité du titulaire d’un nom de domaine. Mise en conformité et nouveau dispositif de vérification Nom de domaine en .fr : nouveau dispositif de vérification Une analyse de l’Afnic révèle toutefois que moins de 20% des noms de domaine en .fr sont effectivement vérifiés par les procédures de qualification précitées, et ce, alors que la directive NIS 2 prévoit l’obligation pour les registres et les bureaux d’enregistrement de collecter et maintenir des données Whois exactes et complètes. Pour remédier à ces lacunes, dans un premier temps, l’Afnic a augmenté ses capacités de contrôle des données titulaires : c’est ainsi que le nombre de vérifications menées par l’Afnic est passé de 1698 en 2021, à 4331 en 2022. L’accélération s’est poursuivie en 2023 avec 4585 processus de valorisation entre janvier et août 2023. En parallèle, la mise en place du nouveau dispositif de vérification, dit dispositif fédéré de vérification, vise également à répondre à l’insuffisance de vérification des contacts titulaires dans la base Whois, via une collaboration accrue entre l’Afnic et les bureaux d’enregistrement dans le cadre de vérifications menées à l’initiative de ces derniers et post-enregistrement de noms de domaine. En effet, il ressort d’un sondage réalisé auprès des bureaux d’enregistrement que peu de vérifications ont lieu après la création des noms de domaines. De plus, les réponses des bureaux d’enregistrement révèlent qu’ils font remonter peu d’informations à l’Afnic. Établissement d’un cahier des charges Nom de domaine en .fr : nouveau dispositif de vérification L’enjeu du nouveau dispositif de vérification mis en place par l’Afnic, dit dispositif fédéré de vérification, est de définir un socle commun des procédures de vérification (valorisation), visant à améliorer la quantité et la qualité des données titulaires vérifiées. Il s’articule autour des axes suivants : 1. Augmentation du nombre de valorisations en envoyant aux bureaux d’enregistrement des listes de noms domaines suspects, en raison notamment : – de données titulaires fantaisistes ou – d’un radical faisant référence à un service public ou aux leaders du marché français ; 2. Vérification par les bureaux d’enregistrement de l’éligibilité et la joignabilité de chaque nouveau contact titulaire ; 3. Transmissions à l’Afnic du résultat dans le mois suivant la vérification du contact pour mise à jour de la base Whois. L’Afnic souhaite ainsi mieux contrôler et évaluer les vérifications mises en œuvre par les bureaux d’enregistrement, dans le cadre d’une démarche d’accompagnement des bureaux d’enregistrement qui pourront le cas échéant être sanctionnés par l’Afnic, qui en parallèle, a travaillé à la définition de sanctions graduées à l’égard des bureaux d’enregistrement défaillants (1). Pour résumer, le déploiement du nouveau dispositif de vérification est à suivre avec attention. En outre, le dispositif fédéré de vérification est à mettre en parallèle avec le Règlement eIDAS sur l’identification électronique et la transposition en droit français de la directive NIS 2. (1) Cf. notre article dédié aux sanctions : « Noms de domaine en .fr : vers une procédure de médiation pilotée par l’Afnic », Alain-Bensoussan.com, 14-03-2023. Created by potrace 1.16, written by Peter Selinger 2001-2019 Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Anne-Sophie Cantreau Avocate, Directrice du département Propriété industrielle conseil Avocate à la Cour d’appel de Paris, Anne-Sophie Cantreau est directrice du département Propriété Industrielle Conseil au sein du pôle Propriété intellectuelle. Elle intervient en droit des marques, des dessins et modèles, des noms de domaine, des signes d’origine et de qualité, des brevets. Elle est au classement 2024 du magazine Décideurs juridiques (Leaders League) des meilleurs cabinets d’avocats, dans le secteur Innovation, Technologies & Propriété intellectuelle, pour sa pratique réputée en « Brevets contentieux » et sa forte notoriété en « Marques contentieux». Phone:+33 (0)6 42 32 15 92 Email:anne-sophie-cantreau@lexing.law Charlène Winling Avocate, département Propriété industrielle Conseil Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Articles, Internet contentieux, Publication

Data Act : la protection des données industrielles de l’IoT

/

Le Data Act vise la protection des données industrielles de l’IoT par la promotion de l’équité dans l’accès et l’utilisation de ces données. Lire la suite L’OBJECTIF DE PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Règlement sur les données (« Data Act ») adopté en novembre 2023 s’inscrit dans la stratégie européenne pour le numérique. Il vise la construction d’un marché intérieur de la donnée. Le Data Act s’inscrit dans la lignée du Data Governance Act auquel il reprend la définition de la donnée. Il complète également le RGPD qui a consacré le droit à la portabilité des données. Néanmoins, alors que le RGPD protège uniquement les données personnelles, le Data Act s’intéresse aux données industrielles. Elles peuvent être personnelles ou non. En effet, le Règlement vise les données de l’internet des objets (IoT) et des services de traitement des données (cloud).   En effet, au cours de la dernière décennie, le marché européen a révélé une augmentation croissante des appareils connectés. Ils constituent ce que l’on appelle l’internet des objets (« lnternet of things » ou « IoT »). L’internet des objets désigne le processus de connexion d’objet physique à internet (ampoule, montre, tablette connectées). L’utilisation de ces objets va générer une quantité importante de données.  Le problème réside en ce que ce sont des acteurs dominants qui opèrent sur les marchés IoT. De plus, les fabricants ne conçoivent pas toujours leurs produits de manière à ce que les utilisateurs puissent accéder facilement à ces données.  Ces utilisateurs sont aussi bien des consommateurs que des professionnels. La protection des donnés industrielles de l’IoT va passer par la suppression des obstacles au bon fonctionnement du marché. UN DROIT D’ACCES ET DE PORTABILITE DES DONNEES AU PROFIT DES UTILISATEURS DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Data Act protège principalement les utilisateurs. Il leur garantit notamment : • un droit d’accès aux données générées par l’objet connecté qu’il a acheté ou loué (article 3) ; • un droit à la portabilité des données vers un tiers offrant le même type de service que l’entité qui lui a vendu ou loué le bien ou le service (article 5) ; L’article 3 du Règlement renforce la sécurité juridique en garantissant un droit d’accès. Des obligations pèsent sur les fabricants pour la conception et fabrication de leurs produits et services : • rendre les données générées accessibles par défaut, facilement et de manière sécurisée ; • faire preuve de transparence quant aux données accessibles et à la manière d’y accéder ; Si les données ne sont pas directement accessibles, l’entreprise mettra à disposition ces données. Cette mise à disposition devra s’opérer dans les meilleurs délais, gratuitement et en continu. Une des principales innovations est que les utilisateurs d’objets connectés pourront partager ces données avec des tiers. Ainsi, l’utilisateur d’un appareil connecté pourra demander au constructeur de partager certaines données générées avec un service après-vente. Ces services après-vente pourront ainsi offrir des prestations similaires à celles proposées par les fabricants (réparation, entretien). Cela permettra à de nouveaux concurrents d’émerger. L’OUVERTURE DU MARCHE DU CLOUD DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Règlement a pour but la suppression des barrières mises en place par les fournisseurs. Ces derniers empêchent souvent le passage d’un service de cloud à un autre. Le Règlement pose ainsi une obligation de commutation. Cette obligation s’accompagne d’une interdiction des frais de migration des données. Les utilisateurs pourront ainsi changer de fournisseur sans frais. Le Règlement va poser comme principe l’interopérabilité des services. C’est le pendant technique de l’obligation juridique de commutation. Cela va passer par l’exigence d’équivalence fonctionnelle des services. Le but est d’éviter la dépendance à un fournisseur et les effets de verrouillage de marché. Ainsi, les entreprises pourront passer d’un service de traitement des données à un autre. Ils pourront également utiliser plusieurs services de cloud en même temps (multicloud). L’ACCES ET L’UTILISATION DES DONNEES ENTRE ENTREPRISES DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Le Règlement a également pour objectif de protéger les PME des déséquilibres contractuels dans les contrats de partage de données. Il vise à rééquilibrer les pouvoirs de négociation entre les différents acteurs du marché numérique. Ainsi, le Règlement dresse une liste de clauses jugées abusives. Elle va interdire ces clauses contractuelles abusives imposées unilatéralement à une autre entreprise. C’est le cas par exemple pour les clauses ayant pour effet :   • d’exclure ou de limiter la responsabilité de la partie qui a unilatéralement imposé la clause en cas d’actes intentionnels ou de négligence grave ; • de donner à la partie qui a unilatéralement imposé la clause le droit exclusif de déterminer si les données fournies sont conformes au contrat ou d’interpréter toute clause contractuelle. Néanmoins des risques existent pour le secret des affaires ou la cybersécurité. Ainsi, le Règlement laisse la possibilité de refuser le partage de données pour préserver un secret d’affaires. UN ACCES AUX DONNEES POUR LE SECTEUR PUBLIC DATA ACT : LA PROTECTION DES DONNEES INDUSTRIELLES DE L’IOT Les organismes du secteur public pourront dans certains cas accéder aux données du secteur privé. Une entreprise privée devra mettre à disposition ses données en cas de situation exceptionnelle relevant de l’intérêt public.  Ce besoin exceptionnel doit avoir une portée et une durée limitée.  L’article 15 énonce trois situations : • l’urgence public (l’accès à la donnée sera gratuit) ; • la prévention de l’urgence publique (possible compensation) ; • le rétablissement à la suite de l’urgence (possible compensation). Ainsi, le Data Act va permettre la protection des données industrielles de l’IoT. Il garantit la réutilisation des données afin d’en stimuler la valeur. L’innovation ainsi permise va permettre l’émergence de nouveaux acteurs sur le marché numérique. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate, Directrice du pôle

Dépôt de plainte à distance
Articles, Contentieux informatique, Publication

Visioplainte : possibilité de dépôt de plainte à distance

/

Le décret du 23 févier 2024 va permettre aux victimes de certaines infractions de procéder à un dépôt de plainte à distance par visioplainte. Lire la suite MODALITES DE DEPOT DE PLAINTE EXISTANTES Visioplainte : possibilité de dépôt de plainte à distance En vertu des dispositions des articles 15-3 et 40 du code de procédure pénale, une victime peut déposer plainte : auprès d’un service de police ou de gendarmerie ; directement auprès du procureur de la République par lettre recommandée avec demande d’avis de réception ou par dépôt contre récépissé au greffe. PRE-PLAINTE EN LIGNE Visioplainte : possibilité de dépôt de plainte à distance Depuis un arrêté de 2011, les victimes peuvent choisir de déposer une pré-plainte en ligne. Elle ne concerne que le dépôt de plainte sur place et non par courrier. La pré-plainte permet de préparer via un formulaire sur internet la plainte sur place. La victime obtiendra un rendez-vous et pourra se rendre au commissariat ou dans une brigade de gendarmerie pour finaliser et signer la plainte. Cette pré-plainte concerne seulement les atteintes aux biens commis par un auteur inconnu. La pré-plainte ne joue pas pour les atteintes physiques aux personnes L’OUVERTURE DU DEPOT DE PLAINTE A DISTANCE Visioplainte : possibilité de dépôt de plainte à distance Un décret du 23 févier 2024 précise les modalités d’application du nouvel article 15-3-1-1 du code de procédure pénale.   La victime d’une infraction pourra désormais effectuer l’intégralité de son dépôt de plainte par voie de télécommunication audiovisuelle. La visioplainte se fera auprès d’un officier ou agent de police judiciaire. Ce dépôt de plainte à distance ne concerne pas toutes les infractions. Une audition en physique est obligatoire en cas d’agressions sexuelles ou d’atteintes sexuelles. De plus, si la nature ou la gravité des faits l’imposent, une audition supplémentaire en présence de la victime pourra avoir lieu. UNE VISIOPLAINTE RESPECTUEUSE DES DROITS ET LIBERTES DU PLAIGNANT Visioplainte : possibilité de dépôt de plainte à distance Cette nouvelle modalité de dépôt est facultative, le plaignant ne peut pas se la voir imposer. Il peut à tout moment et en toute circonstance décider de réaliser son dépôt de plainte auprès d’un service de police ou de gendarmerie ou directement entre les mains du procureur de la République. Des obligations pèsent sur l’officier ou l’agent de police judiciaire. Comme lors d’un dépôt de plainte sur place, il devra informer la victime de plusieurs éléments :  du caractère facultatif du dépôt de plainte à distance ; de la possibilité d’une audition ultérieure en présence de la victime ; de ses droits issus de l’article 10-2 du Code de procédure pénale comme le droit à la réparation du préjudice subi ou de se constituer partie civile ; des modalités de communication sur les suites données à la plainte et des modalités de recours contre une éventuelle décision de classement sans suite ; de la possibilité de faire l’objet d’une prise en charge psychologique. Un document énonçant ces différents droits est mis à disposition du plaignant sous un format électronique et imprimable. A cela s’ajoute que le procès-verbal doit mentionner tout incident qui a pu perturber la transmission. L’officier ou l’agent de police judiciaire adressent la plainte au plaignant par voie électronique avant la signature du procès-verbal. Le plaignant recevra les documents sous format numérique. A la suite de cela, il confirme par tout moyen ou par accord exprès qu’ils retranscrivent fidèlement ses déclarations et faits relatés.  Le cas échéant, il peut demander toute modification qu’il juge nécessaire. Le procès-verbal mentionnera son accord. L’officier ou l’agent de police judiciaire signent le récépissé et le procès-verbal, selon les modalités prévues par l’article 801-1, Le plaignant quant à lui n’a pas à signer. Si le plaignant en fait la demande, l’officier ou l’ agent lui transmet le récépissé, et la copie du procès-verbal dans les meilleurs délais. LES MODALITES DU PROCEDE DE TELECOMMUNICATION ENCORE A PRECISER Visioplainte : possibilité de dépôt de plainte à distance Une des garanties que doit prévoir ce nouveau système est l’identification sécurisée du plaignant par un téléservice. L’article pose également des exigences quant au moyen de télécommunication audiovisuelle utilisé : transmission fidèle, loyale et confidentielle des échanges entre le plaignant et l’officier ou l’agent de police judiciaire ; qualité de transmission des images permettant de s’assurer de l’identité du plaignant. Pour que cette nouvelle modalité de dépôt de plainte soit déployée, le ministre de l’Intérieur et le garde des Sceaux devront prendre un arrêté pour préciser les modalités de mise en place de ce moyen de télécommunication. La VISIOPLAINTE EN CAS DE CYBERATTAQUES Visioplainte : possibilité de dépôt de plainte à distance Cette nouvelle procédure est particulièrement intéressante en matière de cyberattaques.  L’article 5 de la loi d’orientation et de programmation du ministère intérieur (LOMPI) a en effet inséré un chapitre sur « L’assurance des risques de cyberattaques » dans le code des assurances. Ce chapitre est à ce jour composé d’un article unique, l’article L12-10-1, qui dispose : « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle ». Ainsi, en cas d’atteinte à un système de traitement automatisé des données, l’assuré doit procéder au dépôt d’une plainte dans les soixante-douze heures à compter de sa prise de connaissance de l’attaque. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en

cybermenace en 2023
Articles, Contentieux informatique, Publication

ANSSI : Publication du panorama de la cybermenace en 2023

/

La publication du Panorama de la cybermenace en 2023 de l’ANSSI permet de faire état des principales tendances de cybermenace en 2023. Le Panorama de la cybermenace de 2023 expose que l’espionnage informatique est la menace qui reste la plus importante. Les espions ciblent principalement les données sensibles de domaines stratégiques et industriels. Lire la suite Une diversité dans les intentions des acteurs de cybermenace ANSSI : PUBLICATION DU PANORAMA DE LA CYBERMENACE EN 2023 Parallèlement, les attaques à des fins d’extorsion ont augmenté de 30% en 2023 malgré une baisse en 2022. Cette augmentation des attaques par rançongiciel s’explique par la démocratisation d’outils accessibles même pour des acteurs limités techniquement (code source en open source). Les cybercriminels visent les entités qui sont particulièrement sensibles à des interruptions de service (santé, énergie, …). Dans le contexte géopolitique actuel, l’ANSSI a constaté une augmentation du nombre d’attaque de déstabilisation. Des activistes prorusses sont notamment à l’origine de DDoS (déni de service distribués) destinés à mettre en avant des discours politiques. Des attaques contribuent également à rendre des sites inaccessibles. Une amélioration des capacités d’attaque des cybercriminels ANSSI : PUBLICATION DU PANORAMA DE LA CYBERMENACE EN 2023 Les cybercriminels ont amélioré leur technique afin de réduire la détection et le suivi de leur activité. Ils utilisent notamment des réseaux d’anonymisation ou des moyens d’interceptions discrets (électromagnétique). Le Panorama de la cybermenace en 2023 souligne que le profil des cybercriminels se diversifie. La fuite de codes sources de rançon logiciels (notamment LockBit) permet à des acteurs moins expérimentés d’émerger.  Les cybercriminels s’appuient notamment sur des groupes privés qui distribuent des outils de vols d’information. De plus en plus, les cybercriminels visent les téléphones portables professionnels et personnels de personnes ciblées, et notamment des cadres dirigeants dans des secteurs stratégiques. De nombreuses faiblesses propices aux cyberattaques De nombreuses faiblesses propices aux cyberattaques L’ANSSI précise que même si les attaques sont parfois difficiles à prévenir, les systèmes d’information présentent souvent des faiblesses. Les cybercriminels peuvent tirer parti d’erreurs de configuration, de correctif tardif ou d’absence de mécanisme de chiffrement. L’ANSSI souligne les risques cyber lors de grands évènements comme les Jeux Olympiques et paralympiques de Paris 2024 (JOP2024). Le gouvernement a confié le pilotage de la stratégie de prévention des cyberattaques pour les JOP à l’ANSSI. Elle pourra ainsi effectuer des audits ou assurer un accompagnement technique pour les entités impliquées dans l’organisation. Note :Panorama de la cybermenace en 2023 de l’ANSSI. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocat, Directeur du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Raphaël Liotier Avocat, directeur d’activité pénal numérique Raphaël Liotier Avocat, directeur d’activité pénal numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

preuve illicite
Actualités, Articles, Procédure, Publication

Acceptation de la preuve illicite ou obtenue de manière déloyale

/

Le 22 décembre 2023, dans l’affaire n° 20-20.648, l’Assemblée plénière de la Cour de cassation effectue un revirement de jurisprudence et reconnaît la possibilité, pour une partie, d’utiliser une preuve illicite ou obtenue de manière déloyale (1). La singularité de l’affaire réside dans le fait qu’aucune autre preuve ne permettait de démontrer la faute commise par le salarié. Lire la suite Le cas d’espèce Acceptation de la preuve illicite ou obtenue de manière déloyale Licencié pour avoir commis une faute grave, un salarié conteste ce licenciement devant le Conseil de prud’hommes puis la Cour d’appel d’Orléans (2). L’employeur verse aux débats, afin d’établir la faute du salarié, l’enregistrement sonore d’un entretien au cours duquel il tient des propos ayant motivé son licenciement. Cet enregistrement a été réalisé à l’insu du demandeur. Selon la Cour d’appel d’Orléans, cette preuve était irrecevable car l’enregistrement été réalisé de manière déloyale. Le licenciement avait par conséquent été jugé sans cause réelle et sérieuse. L’employeur forme alors un pourvoi en cassation. La question à laquelle devait répondre la Cour est celle de savoir si la preuve obtenue par l’enregistrement d’entretiens entre l’employeur et le salarié, réalisé à l’insu de ce dernier, est recevable. LA POSITION ANTÉRIEURE DE LA COUR DE CASSATION Acceptation de la preuve illicite ou obtenue de manière déloyale Depuis longtemps, la position de la Cour de cassation était fondée sur l’irrecevabilité de la production d’une preuve recueillie à l’insu de la personne ou obtenue par une manœuvre ou un stratagème. Cette solution de 2011 repose sur le fait que : « la justice doit être rendue loyalement au vu de preuves recueillies et produites d’une manière qui ne porte pas atteinte à sa dignité et à sa crédibilité » (3). La présente décision de la Cour de cassation casse et annule l’arrêt de la Cour d’appel d’Orléans au visa de l’article 6, § 1, de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales et de l’article 9 du Code de procédure civile. L’irrecevabilité de la preuve illicite ou déloyale Acceptation de la preuve illicite ou obtenue de manière déloyale La Cour de cassation rappelle que, suivant les principes dégagés par la Cour européenne des droits de l’Homme dans son arrêt du 10 octobre 2006 contre la France (4), en matière civile, un droit à la preuve permet de déclarer recevable une preuve illicite ou déloyale : lorsque cette preuve est indispensable au succès de la prétention de celui qui s’en prévaut et ; que l’atteinte portée aux droits antinomiques en présence est strictement proportionnée au but poursuivi. Le revirement de jurisprudence Acceptation de la preuve illicite ou obtenue de manière déloyale Dans son arrêt du 22 décembre 2023, la Cour de cassation admet que l’application de sa jurisprudence « peut conduire à priver une partie de tout moyen de faire la preuve de ses droits ». Or, la CEDH ne retient pas, par principe, l’irrecevabilité des preuves considérées comme déloyales. En effet, lorsque le droit à la preuve tel que garanti par l’article 6, § 1, de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales entre en conflit avec d’autres droits et libertés, notamment le droit au respect de la vie privée, il appartient au juge de mettre en balance les différents droits et intérêts en présence. L’admission de la preuve illicite ou déloyale Acceptation de la preuve illicite ou obtenue de manière déloyale La Cour de cassation rappelle la position de la CEDH (5) sur ce sujet : • « L’égalité des armes implique l’obligation d’offrir, dans les différends opposant des intérêts à caractère privé, à chaque partie une possibilité raisonnable de présenter sa cause dans des conditions qui ne la placent pas dans une situation de net désavantage par rapport à son adversaire ». • L’article 6, § 1, de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales « implique notamment à la charge du juge l’obligation de se livrer à un examen effectif des moyens, arguments et offres de preuve des parties, sauf à en apprécier la pertinence pour la décision à rendre ». L’appréciation du juge Acceptation de la preuve illicite ou obtenue de manière déloyale Lorsque le droit à la preuve entre en conflit avec d’autres droits et libertés, notamment le droit au respect de la vie privée, il appartient au juge de mettre en balance les différents droits et intérêts présents. Dans un procès civil, le juge doit donc apprécier si une preuve obtenue ou produite de manière illicite ou déloyale porte une atteinte au caractère équitable de la procédure dans son ensemble. Pour cela, il doit mettre en balance le droit à la preuve et les droits antinomiques en présence. Par conséquent, le droit à la preuve peut justifier la production d’éléments portant atteinte à d’autres droits, à condition que cette production soit indispensable à son exercice et que l’atteinte soit strictement proportionnée au but poursuivi. Cass. Ass. plén. du 22-12-2023 n° 20-20648. CA Orléans du 28-07-2020 n° 18/00226. Cass. Ass. plén. du 07-01-2011 n° 09-14.316 et n° 09-14.667. CEDH du 10-10-2006 n° 7508/02 LL c/ France. CEDH du 01-12-2018 n° 65097/01 NN et TA c/ Belgique.   Created by potrace 1.16, written by Peter Selinger 2001-2019   Emmanuel Walle Avocat, Directeur du département Social numérique     Emmanuel Walle Avocat, Directeur du département Social numérique Avocat à la Cour d’appel de Paris, Emmanuel Walle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2008. Affirmant un positionnement novateur, le département Droit du travail numérique se définit comme une équipe d’avocats experts en droit du travail numérique spécialisée, tant en droit du travail qu’en droit de la protection sociale. Emmanuel Walle dirige une équipe ayant une expertise approfondie de l’impact et de l’évolution des technologies avancées en droit du travail (cybersurveillance, charte d’utilisation des systèmes d’informations, preuve fichier professionnel/personnel, etc.) Phone:+33 (0)6 21 56 42 08 Email:emmanuel-walle@lexing.law     Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir

Articles, Publication, Télécom

La surveillance et le suivi des objets spatiaux (STT)

/

L’utilisation de l’espace a contribué à renforcer l’économie mondiale, à apporter des avantages sociétaux, à soutenir les activités de protection de l’environnement et à garantir la souveraineté stratégique. Par conséquent, de nombreux secteurs et activités reposent sur la protection des appareils et instruments spatiaux contre les menaces telles que les débris spatiaux créés par l’homme, les phénomènes météorologiques spatiaux et les objets géocroiseurs ou NEO (Near Earth Objects). En particulier, lundi 2 octobre 2023, la Commission américaine des communications (FCC) a infligé une amende de 150 000 dollars (environ 143 000 euros) à un opérateur de satellites pour abandon de débris spatiaux sur une orbite jugée dangereuse (voir notre article à ce sujet). Ainsi, la surveillance et le suivi des objets spatiaux (ou SST pour Space Situation Tracking), qui incluent leur catalogage et leur analyse, sont nécessaires afin de se prémunir des menaces portées par leurs débris. Lire la suite L’approche de l’Union européenne en matière de surveillance et de suivi des objets spatiaux La surveillance et le suivi des objets spatiaux (STT) En 2021, le programme de surveillance et de suivi de l’espace de l’UE (EU SST) a été établi en tant que sous-composante de sécurité à part entière du programme spatial de l’UE (Space Situational Awareness ou SSA), créé par le Règlement (UE) 2021/696 du Parlement européen et du Conseil (1). Pour la mise en œuvre de ce programme, un partenariat SST de 15 États membres de l’UE (2) (SST Partnership) ainsi que l’Agence de l’Union européenne pour le programme spatial (European Union Agency for the Space Programme ou EUSPA), agissant en tant que guichet SST de l’UE, forment la coopération SST (SST Cooperation). Auparavant, le SST de l’UE a été établi en tant que cadre de soutien par la décision SST de 2014 (3), qui prévoyait la création d’un consortium SST des États membres de l’UE. Le consortium et le Centre satellitaire de l’Union européenne (SatCen) ont coopéré pour développer progressivement la « capacité SST » avec le soutien de l’UE dans le cadre de différentes lignes de financement (c’est-à-dire les programmes H2020, Galileo et Copernicus). L’EU SST est désormais financé par l’UE dans le cadre du SSA EU et des programmes Horizon Europe. La capacité SST se compose de trois fonctions principales : capter, traiter et fournir des services. Les capteurs des États membres fournissent des données qui sont analysées dans le cadre de la fonction de traitement et alimentent une base de données commune et, à terme, un catalogue ; à partir de là, des produits sont dérivés pour trois services, générés par les centres d’opérations (OC) et fournis aux utilisateurs via le portail de fourniture de services SST. Définition de la surveillance et du suivi des objets spatiaux La surveillance et le suivi des objets spatiaux (STT) La fonction capteur consiste en un réseau de capteurs permettant de surveiller et de suivre les objets spatiaux dans tous les régimes orbitaux. Le système repose début 2021 sur 51 capteurs de surveillance ou de suivi (4) pouvant être des trois types suivants : des radars (comme le radar Graves français ou le radar TIRA allemand), des télescopes optiques (par exemple le télescope OGS de l’Agence spatiale européenne) et des stations de télémétrie laser sur satellites (par exemple Matera en Italie). La fonction de traitement vise à coordonner le partage des données entre les différents centres d’observation par le biais d’une base de données commune et à traiter des milliers de mesures quotidiennes provenant des capteurs contribuant à la SST de l’UE. Ces données constituent la base d’un futur catalogue EU SST qui sera utilisé pour les services SST. L’Allemagne est chargée d’héberger la base de données SST de l’UE et de produire le futur catalogue SST de l’UE. La fonction de prestation de services est chargée de fournir trois services SST aux utilisateurs autorisés, à savoir : la prévention des collisions, l’analyse de rentrée et l’analyse de fragmentation. Ces prestations sont accessibles depuis le portail de fourniture de services SST, géré par l’EUSPA, qui joue le rôle de guichet. Actuellement, les CO français et espagnol sont responsables du service de prévention des collisions, tandis que le CO italien est chargé des services d’analyse de rentrée et d’analyse de fragmentation. Ainsi, plus de 190 organisations bénéficient de ces services et plus de 400 satellites sont protégés contre le risque de collision. En moyenne, plus d’un évènement d’importance majeure, incluant les collisions entre objets spatiaux, est évité par jour par l’EU STT (5).   L’émergence d’un marché commercial de la surveillance des objets spatiaux La surveillance et le suivi des objets spatiaux (STT) Diverses organisations privées ont élaboré leurs propres compétences pour offrir des services de SST des objets spatiaux. Cependant, la dimension stratégique liée à la surveillance de l’espace reste une préoccupation persistante pour les États. C’est la raison pour laquelle ces entités privées bénéficient du soutien et collaborent avec les acteurs publics. Pour résoudre les problèmes de gestion du trafic spatial et développer de futurs moyens de surveillance, il est essentiel de mettre en place un écosystème et une structure de gouvernance assurant la précision et l’efficacité des services, favorisant la coopération internationale, et établissant une gestion transparente des données générées par ces moyens. Il est impératif, pour ces programmes, de concevoir des structures de gouvernance appropriées et d’évaluer leur efficacité organisationnelle et opérationnelle. De même, les parties prenantes de ces initiatives doivent élaborer une stratégie fondée sur une évaluation des opportunités de marché pour le déploiement de solutions de surveillance spatiale, ainsi que sur des prévisions fiables de l’évolution du trafic spatial. Enfin, il est essentiel que toutes ces actions soient menées en conformité avec la réglementation, en particulier celle liée aux données relatives aux informations de surveillance de l’espace. A ce titre, tout exploitant primaire de données d’origine spatiale exerçant en France doit, sous certaines réserves, « préalablement en faire la déclaration à l’autorité administrative compétente » (6). Le Sénat a d’ailleurs pu rappeler à ce sujet que « les informations issues de la surveillance de l’espace sont des informations à

désignation de six contrôleurs d’accès
Actualités, Articles, Economie numérique, Internet conseil, Publication

DMA : désignation de six contrôleurs d’accès par la Commission européenne

/

Le 6 septembre 2023, la Commission a procédé à la désignation de six contrôleurs d’accès qui seront soumis au Digital Market Act (DMA). Lire la suite Le DMA, un nouveau cadre de règlementation du numérique en Europe DMA : désignation de six contrôleurs d’accès Le 14 septembre 2022, l’Union adopte le règlement sur les marchés numériques (DMA), pour réguler l’activité des géants du numérique. Depuis son entrée en vigueur le 11 novembre 2022, il constitue avec le Digital Services Act (DSA) l’un des deux piliers de la nouvelle règlementation européenne sur le numérique. Le DMA vise les plateformes en ligne, qualifiées de « contrôleur d’accès ». Ces contrôleurs d’accès jouent désormais un rôle central car ils proposent des services de plateforme essentiels. Ils mettent en effet en relation des entreprises utilisatrices avec des utilisateurs finaux (ex : magasins d’applications). Le DMA vise à lutter contre les pratiques anticoncurrentielles de ces géants du numérique et limiter leur position dominante sur le marché européen. Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) dominent à eux seuls le marché numérique avec 1544 milliards de chiffre d’affaires en 2023. Le DMA vient compléter le droit de la concurrence qui intervient en sanctionnant uniquement ex post les ententes ou abus de position dominante. En effet, le DMA est une régulation ex ante qui est spécifique au secteur du numérique. Il veille à ce que les marchés soient contestables et équitables. Il a pour objectif de favoriser l’émergence de nouveaux opérateurs économiques. Le DMA va ainsi protéger leur capacité à surmonter les barrières à l’entrée et à l’expansion des marchés. Il vise également à lutter contre les déséquilibres de droits et obligations des utilisateurs professionnels. La désignation de six contrôleurs d’accès par la Commission DMA : désignation de six contrôleurs d’accès Le DMA ne s’applique pas à toutes les entreprises du numérique mais seulement aux plus grandes, qualifiées de « contrôleurs d’accès ». Ces entreprises ont un poids économique important et constituent une barrière à l’entrée du marché intérieur. Une des singularités du règlement est qu’il vise des entreprises, établies ou non dans l’Union. L’article 3 du Règlement qualifie ces entreprises de contrôleurs d’accès lorsqu’elles remplissent trois critères cumulatifs : un poids important sur le marché : au moins 75 milliards d’euros de chiffre d’affaires au cours de chacun des trois derniers exercices ou 75 millions de capitalisation boursière au cours du dernier exercice et ce dans au moins trois Etats membres ; l’essentialité:  fournir un service de plateforme essentiel qui constitue un point d’accès majeur : enregistrer un nombre d’utilisateur de plus de 45 millions d’européens par mois et au moins 10 000 entreprises utilisatrices par an ; une position solide et durable sur le marché : fournir un service de plateforme essentiel dans au moins trois Etats membres. Les entreprises disposent de deux moins à partir de l’entrée en vigueur du règlement pour notifier à la Commission européenne si elles dépassent les seuils. Pour la première fois, le 6 septembre 2023, la commission a procédé à la désignation de six contrôleurs d’accès. On y retrouve les GAFAM avec Alphabet (Google), Amazon, Apple, Meta (Facebook) et Microsoft. Vient s’ajouter le groupe chinois ByteDance (Tik Tok). La Commission n’a finalement pas désigné Samsung qui était notifiante.  Suite à la désignation de ces six contrôleurs d’accès, les entreprises disposent d’un délai de 6 mois à pour se mettre en conformité avec le DMA. Les activités concernées par le DMA DMA : désignation de six contrôleurs d’accès La qualification de contrôleur d’accès nécessite la fourniture de « services de plateformes essentiels ». Dans le cas contraire, le DMA ne s’appliquera pas à ces entreprises. Ces services constituent des points d’entrée permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux.  Le DMA vise dix services de plateforme essentiel : les services d’intermédiation en ligne ; les services de recherche en ligne ; les services de réseaux sociaux en ligne ; les services de plateforme de partage de vidéos ; les services de communications interpersonnelles non fondés sur la numérotation ; les systèmes d’exploitation ; les navigateurs internet ; les assistants virtuels ; les services d’informatique en nuage (cloud) ; les services de publicité en ligne. Cette liste pourra être mise à jour. Il convient de noter qu’elle ne vise pas encore les plateformes de jeux vidéo ou les services d’intelligence artificielle générative. Lors de la désignation des six contrôleurs d’accès, la Commission vise vingt-deux de leurs services de plateforme essentiel (Google maps, Amazon marketplace). Les obligations et interdictions imposées par le DMA DMA : désignation de six contrôleurs d’accès La qualification de contrôle d’accès entraine le respect d’obligations et interdictions. En effet, la Commission n’a pas opté pour un système de vigilance ou de politique structurelle. Elle a posé une liste d’obligations et interdictions à respecter en tant que tel.  Les contrôleurs d’accès auront jusqu’au 6 mars 2024 pour se mettre en conformité sous peine de sanctions. Les contrôleurs d’accès devront notamment : rendre aussi facile l’abonnement que le désabonnement à leur service ; permettre de désinstaller facilement une application préinstallée ; permettre l’interopérabilité des fonctionnalités de leur service de messagerie instantanée avec d’autres concurrents. Les contrôleurs d’accès ne pourront plus : imposer par défaut des logiciels à l’installation (moteur de recherche par exemple) ; réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite ; favoriser leurs services et produits par rapport à ceux des autres vendeurs qui utilisent leur plateforme (auto-préférence). Ainsi, un utilisateur s’estimant lésé par un contrôleur d’accès pourra s’appuyer sur ces obligations et interdictions devant le juge national pour demander des dommages et intérêts. En cas de non-respect du DMA, la Commission pourra prononcer des sanctions de 10% du chiffre d’affaires mondial. Cette sanction pourra monter jusqu’à 20 % en cas de récidive. Une astreinte allant jusqu’à 5% du chiffre d’affaires journalier mondial pourra s’ajouter. En cas d’infraction systématique, la Commission pourra ordonner des mesures correctives comportementales ou structurelles. Le contrôleur d’accès pourra se voir contraindre de céder une part de son activité (vente d’actif, de droit de propriété intellectuelle). Il pourra également se voir interdire d’acquérir une autre entreprise qui fournit des services numériques. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace

Plainte du New York Times contre les IA d’OpenAI et Microsoft
Actualités, Articles, Propriété intellectuelle, Publication

Plainte du New York Times contre les IA d’OpenAI et Microsoft

/

Le 27 décembre 2023, le journal américain Le New York Times a porté plainte contre OpenAI et Microsoft leur reprochant d’avoir utilisé ses articles pour entraîner leurs IA génératives (1). Lire la suite Les données d’entraînement des IA génératives Plainte du New York Times contre les IA d’OpenAI et Microsoft OpenAI est largement reconnu pour ses avancées dans le domaine de l’intelligence artificielle. Notamment pour avoir développé des modèles de langage tels que GPT (Generative Pre-trained Transformer). Ces modèles d’IA sont entraînés à partir de vastes ensembles de données textuelles pour comprendre et générer du langage humain de manière cohérente. Les reproches du New York Times Plainte du New York Times contre les IA d’OpenAI et Microsoft Le New York Times affirme que ses articles ont été utilisés pour entraîner des modèles d’IA sans autorisation expresse. Cela aurait permis à OpenAI et Microsoft de bénéficier d’un travail journalistique sans compensation appropriée et en s’exonérant du respect des droits de propriété intellectuelle. Sans formuler de demande financière précise, le New York Times considère qu’OpenAI et Microsoft devraient être tenu responsables de « milliards de dollars de dommages statutaires et réels » liés à la « copie et à l’utilisation illégales des œuvres de grande valeur du Times« . Le New York Times exige que l’ensemble des modèles d’IA ayant été entraînés à l’aide de ses articles sans autorisation soient détruits. Cela concerne notamment ChatGPT. La question de l’utilisation des données pour entraîner les IA génératives Plainte du New York Times contre les IA d’OpenAI et Microsoft Cette affaire soulève des questions cruciales sur les limites de l’utilisation des données disponibles publiquement pour l’entraînement des modèles d’IA. Bien que ces données soient librement accessibles sur Internet, leur utilisation à grande échelle et à des fins commerciales pourraient entrer en conflit avec les lois sur la propriété intellectuelle. Les avancées rapides de l’IA interpellent quant à la façon dont les données sont collectées, utilisées et partagées. Elles invitent à une réflexion approfondie sur les meilleures pratiques pour concilier l’innovation technologique et le respect des droits de propriété intellectuelle. Si tant est qu’une atteinte puisse effectivement être qualifiée. L’AI Act a été adopté le 2 février 2024 par les Etats membres. Ce texte propose une régulation de l’intelligence artificielle, en encadrant le développement et l’utilisation de cette technologie. La prochaine étape est l’approbation par le Parlement européen prévue pour avril. (1) Plainte de The New York Times contre Microsoft : US DC SD NY 27-12-2023 Case 1:23-cv-11195 Created by potrace 1.16, written by Peter Selinger 2001-2019 Marie Soulez Avocat, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocat, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris, Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Marie Rouxel Avocate Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

La première version de Mickey Mouse est libre de droit
Articles, Propriété intellectuelle, Publication

Mickey Mouse tombe dans le domaine public

/

Le 1er janvier 2024, Mickey Mouse, le plus célèbre des personnages de Walt Disney, est tombé dans le domaine public, 95 ans après sa création. Lire la suite La première version de Mickey Mouse est libre de droit Mickey tombe dans le domaine public Après 95 ans d’existence, la première version de Mickey Mouse est tombée dans le domaine public le 1er janvier 2024. Cette version de Mickey Mouse est apparue pour la toute première fois, en 1928, dans le film « Steamboat Willie ». Depuis 1998, le copyright américain protège les œuvres « work for hire » créées avant 1978 pendant une durée de 95 ans. Seule cette première version devient libre de droit. Toute personne est désormais libre d’exploiter cette version du premier Mickey Mouse. L’intervention du droit des marques Mickey tombe dans le domaine public Le droit des marques américain permet de bénéficier d’une protection pour une durée illimitée. Pour parer à toutes les éventualités liées à la fin de la protection de son célèbre personnage, Disney a la possibilité, pour limiter l’exploitation des versions de Mickey Mouse qui tomberaient dans le domaine public, de les insérer dans ses logos qui sont protégeables par le droit des marques. Logos Mickey Mouse Disney aurait déjà inséré dans son logo, en 2007, la version de Mickey Mouse de 1928, à titre préventif. Les versions postérieures de Mickey Mouse toujours protégées Mickey tombe dans le domaine public Disney cherche à contourner les difficultés posées par la durée de protection de son personnage emblématique, par la création de nouvelles versions de la célèbre souris. En effet, à chaque fois que Disney modifie l’apparence de Mickey Mouse, le personnage est à nouveau protégé au titre du copyright. A titre d’exemple, le Mickey Mouse du film « Fantasia » est encore protégé jusqu’en 2036 et celui de « Mickey, il était une fois Noël », jusqu’en 2095. D’ailleurs, une des dernières versions de la célèbre souris Mickey, élaborée il y a quelques années, ressemble étrangement à la version réalisée en 1928, tombée dans le domaine public, ce 1er janvier 2024. Le fait que les anciennes versions de Mickey Mouse tombent dans le domaine public n’est pas problématique pour Disney dès lors que cette dernière continue à obtenir de nouveaux droits pour son célèbre personnage à mesure de sa modernisation au fil des années. Marie Soulez Avocat, Directrice du département Propriété intellectuelle Contentieux Marie Soulez Avocat, Directrice du département Propriété intellectuelle Contentieux Avocate à la Cour d’appel de Paris depuis 2006, titulaire d’un DEA de droit de la communication (Paris II), elle a rejoint le cabinet Lexing Alain Bensoussan Avocats en 2007. Marie Soulez est titulaire du certificat de spécialisation en droit de la propriété intellectuelle, avec la qualification spécifique « droit de la propriété littéraire et artistique ». Elle a développé une pratique de très haut niveau dans tous les domaines du droit des nouvelles technologies de l’information et de la communication. Marie Soulez est directrice du département Propriété intellectuelle Contentieux. Phone:+33 (0)7 85 53 57 52 Email:marie-soulez@lexing.law Sofia Schein Avocat Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Retour en haut