Internet conseil

Actualités, Articles, Internet conseil, Livre, Publication

L’Anssi publie son CyberDico à destination des professionnels

Le 15 juillet 2024, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié son CyberDico, destiné aux professionnels souhaitant approfondir leurs connaissances en matière cyber. Lire la suite CyberDico, Qu’est-ce que c’est ? Publication du CyberDico de l’Anssi Les enjeux en matière de sécurité des systèmes d’information sont aujourd’hui une préoccupation majeure des entreprises et des collectivités territoriales qui doivent faire face à une explosion, depuis plusieurs années, des attaques informatiques. En effet, le panorama de la cybermenace de l’Anssi publié en 2023, pointe une augmentation conséquente de 30% des signalements d’attaques informatiques par rançongiciels entre l’année 2022 et l’année 2023. La technicité et la dimension internationale de la matière ont rendues les campagnes de formation et de sensibilisation indispensables pour les acteurs des entreprises et des collectivités territoriales. L’explosion du numérique et l’éclosion de l’intelligence artificielle ont rendus indispensables le partage d’un lexique commun en matière cyber. Ce dictionnaire ne constitue pas un outil seulement dédié à la cybersécurité mais recense un nombre conséquent de définitions propres à la sphère cyber (exemple : Cloud, Keylogger, Blockchain, etc.). Le CyberDico de l’Anssi Publication du CyberDico de l’Anssi Par ailleurs, le CyberDico prend en compte la dimension internationale de la cybersécurité en énonçant : • le terme le plus couramment utilisé (exemple : « code malveillant ») ; • sa traduction en français ou en anglais (exemple : « malicious code ») ; • une définition en français (exemple : « Tout programme développé dans le but de nuire à ou au moyen d’un système informatique ou d’un réseau. Maliciel/logiciel malveillant ») ; • une définition en anglais (exemple : « Any program developed for the purpose of causing harm to or through a computer system or network. Malware/malicious software »). La publication de ce dictionnaire s’inscrit donc dans une démarche d’accompagnement et constituera un outil important des métiers pour comprendre les attaques informatiques et, plus généralement, pour appréhender le monde de demain et parfaire sa transition numérique. Nos avocats peuvent vous accompagner, n’hésitez pas à nous contacter : paris@lexing.law Created by potrace 1.16, written by Peter Selinger 2001-2019 Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Virginie Bensoussan-Brulé Avocate, Directrice du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Virginie Bensoussan-Brulé est titulaire du certificat de spécialisation en droit pénal, avec la qualification spécifique droit de la presse. Elle dirige le pôle Contentieux numérique et intervient dans les domaines du conseil et du contentieux en droit de la presse, en droit pénal du numérique et de l’informatique et en contentieux de l’Internet. Virginie Bensoussan-Brulé est nommée « Best Lawyer » dans la catégorie « Privacy and Data Security Law » en 2024 ainsi qu’en 2023. Phone:+33 (0)6 42 31 85 29 Email:virginie-bensoussan-brule@lexing.law Barthélémy Busse Avocat, Responsable d'activité Contentieux numérique au sein du Pôle Contentieux numérique Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Actualités, Articles, Contentieux informatique, Internet conseil, Pénal numérique, Publication

Traitement pour le suivi des signalements de vulnérabilités

L’arrêté du 18 juin 2024 prévoit la création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel ». Ce traitement est placé sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet arrêté fait suite à l’adoption de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense qui impose aux éditeurs de logiciels de notifier les vulnérabilités et incidents significatifs à l’ANSSI. Lire la suite Finalités du traitement pour le suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels, conformément à l’article L.2321-4-1 du code de la défense, aux fins de : « Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ; En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel. » (arrêté du 18-06-2024, art.1). Données personnelles collectées Traitement pour le suivi des signalements de vulnérabilités Le traitement pour le suivi des signalements de vulnérabilités collecte des données à caractère personnel relatives à l’identification de l’éditeur de logiciel, à la vulnérabilité ou à l’incident significatif et aux utilisateurs du produit affecté. Ces données sont conservées pendant une durée de trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident. Accès et destinataires des données collectées Traitement pour le suivi des signalements de vulnérabilités Dans le cadre des nouvelles prérogatives de l’ANSSI, les agents de l’ANSSI sont autorisés à accéder aux données mentionnées ci-dessus afin de pouvoir procéder à l’information des utilisateurs d’un produit affecté. En cas d’inaction de l’éditeur à la suite d’une mise en demeure de l’ANSSI, cette dernière a la possibilité de procéder à l’information des utilisateurs. Dans ce cas, les utilisateurs du produit affecté peuvent être destinataires des informations suivantes : • « Raison sociale et adresse postale de l’éditeur de logiciel concerné » ; • « Nom, prénom du dirigeant de l’éditeur de logiciel concerné ». L’ANSSI responsable du suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités En centralisant et en gérant les signalements de vulnérabilités de manière proactive, l’ANSSI assure non seulement la protection des utilisateurs finaux mais encourage également une plus grande responsabilité de la part des éditeurs de logiciels. Ce dispositif, qui s’inscrit dans le cadre des dispositions de la loi de programmation militaire, vise à établir un environnement numérique plus sûr et à renforcer la confiance des utilisateurs dans les produits logiciels qu’ils utilisent au quotidien. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Pour en apprendre davantage Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit     Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit Avocate à la Cour d’appel de Paris, Jennifer Knight est Responsable d’activité au sein du Pôle Informatique et Droit, elle intervient dans les domaines du conseil et du contentieux, principalement en droit de l’informatique et des contrats, ainsi que dans les domaines associés (propriété intellectuelle, données à caractère personnel, droit commercial et de la distribution, marchés publics). Phone:+33 (0)6 31 95 92 37 Email:jennifer-knight@lexing.law     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law     ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

deepfake
Actualités, Internet conseil

Les géants du numérique unis contre les dérives de l’IA dans les élections

Le 16 février 2024, les géants du numérique ont dévoilé l’accord : « Tech Accord to Combat Deceptive Use of AI in 2024 Elections » (1) contre les dérives de l’IA. Cette union vise à empêcher que l’intelligence artificielle ne génère des contenus fallacieux, dans le cadre spécifique des élections à travers le monde de 2024. L’accord réunit aussi bien producteurs (Google, OpenAI) que diffuseurs (Meta, Tiktok) de tels contenus. Lire la suite La régulation des contenus générés par IA en période électorale : un enjeu fondamental pour la démocratie Union géants du numérique contre les dérives de l’IA dans les élections L’essor des technologies d’IA générative bouleverse le paysage de la communication politique. Si ces outils offrent de nouvelles possibilités pour promouvoir des idées et des candidats, ils soulèvent également des inquiétudes quant à leur potentiel de manipulation et de désinformation. Les contenus générés par IA, tels que les deepfakes, peuvent être utilisés pour diffuser de fausses informations ou pour discréditer des candidats. Ces pratiques menacent l’intégrité des processus électoraux et la confiance des citoyens dans les institutions démocratiques. Face à ces enjeux, les principales entreprises du numérique ont conclu un accord le 16 février 2024 visant à lutter contre la diffusion de contenus politiques trompeurs générés par IA en période électorale. Sont spécialement visés : « les contenus audio, les vidéos ou les images convaincants générés par IA, qui, de façon malhonnête, simulent ou modifient l’apparence, la voix ou les actes de candidats, d’organisateurs de scrutins, ou d’autres acteurs-clés d’élections démocratiques, ou qui fournissent de fausses informations aux électeurs sur quand, où et comment voter ». Pour mener à bien cette mission contre les dérives de l’IA, les entreprises signataires envisagent plusieurs actions : • utiliser des logiciels pour détecter les contenus générés par IA; • développer des outils pour marquer et étiqueter ces contenus, assurant ainsi une meilleure traçabilité ; • renforcer la mise à disposition d’outils de signalement pour les internautes. L’évolution du cadre juridique : vers un encadrement plus précis Union géants du numérique contre les dérives de l’IA dans les élections En parallèle de cette initiative, les autorités publiques s’emparent du sujet. Au niveau national, le législateur français a récemment adopté la loi visant à sécuriser et à réguler l’espace numérique (SREN) (2). Cette loi, entrée en vigueur le 23 mai 2024, traite notamment des dérives de l’IA du genre deepfakes ou « hypertrucages ». Cet outil aspire à être efficace en matière de désinformation politique. La loi SREN modifie par exemple l’article 226-8 du code pénal qui prévoit dorénavant : « Est puni d’un an d’emprisonnement et de 15 000 euros d’amende le fait de porter à la connaissance du public ou d’un tiers, par quelque voie que ce soit, le montage réalisé avec les paroles ou l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention » (3). Au niveau européen, l’AI Act a complété le DSA (4) entré en vigueur le 17 février 2024 (5). L’AI Act qui entrera en vigueur en 2026 consacre l’obligation d’étiquetage des contenus générés par IA. Le règlement prévoit ainsi que « les fournisseurs de systèmes d’IA, y compris les systèmes GPAI, générant du contenu audio, graphique, vidéo ou textuel de synthèse, doivent veiller à ce que les sorties du système d’IA soient marquées dans un format lisible par machine et détectables comme étant générées ou manipulées artificiellement. Les fournisseurs veillent à ce que leurs solutions techniques soient efficaces, interopérables, robustes et fiables dans la mesure où cela est techniquement faisable, en tenant compte des spécificités et des limites des différents types de contenu, des coûts de mise en œuvre et de l’état de l’art généralement reconnu, tel que cela peut être reflété dans les normes techniques pertinentes ».  Les géants du numérique face au défi de l’autorégulation des contenus générés par IA Union géants du numérique contre les dérives de l’IA dans les élections Par cet accord, les géants du numérique cherchent à démontrer au législateur leur capacité à s’autoréguler en matière de contenus qu’ils produisent et diffusent. Toutefois, l’accord reste flou quant aux moyens d’action spécifiques que les entreprises signataires envisagent pour remplir cette mission. Cette prudence répond à une double exigence : il est essentiel de lutter contre les contenus trompeurs susceptibles d’influencer les électeurs, mais cette lutte ne doit pas compromettre la liberté d’expression des internautes. En effet, cette liberté est essentielle dans le cadre des débats démocratiques. Par conséquent, les actions du législateur et des entreprises concernées doivent veiller à ne pas restreindre cette liberté. Les internautes doivent avoir la possibilité d’utiliser l’IA pour créer et partager des contenus satiriques voire provocateurs. C’est pourquoi les entreprises signataires de l’accord précisent qu’elles devront « faire attention au contexte, et préserver l’expression éducative, documentaire, artistique, satirique ainsi que politique » des contenus. En conclusion, la régulation des contenus générés par une intelligence artificielle et le contrôle des éventuelles dérives de l’IA est un sujet particulièrement délicat. Une collaboration entre les entreprises du numérique et les législateurs est nécessaire pour contrôler efficacement les dérives potentielles. Une porte-parole d’OpenAI l’a récemment souligné dans un communiqué : « We agree that rigorous debate is crucial given the significance of this technology, and we’ll continue to engage with governments, civil society and other communities around the world » (6). Accord technologique pour combattre l’utilisation trompeuse de l’IA lors des élections de 2024. Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.  Art. 226-8 du Code pénal. DSA ou Digital Services Act (règlement européen sur les services numériques). Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE. « Nous sommes d’accord sur le fait qu’un débat rigoureux est crucial étant donné l’importance de cette technologie, et nous continuerons à dialoguer avec les gouvernements, la société civile et d’autres communautés à travers le monde ». Avec la collaboration d’Adrien Chevreuil,

Facebook
Articles, Internet conseil, Publication, Web 2.0

Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique

Le 10 avril 2024, l’Assemblée nationale donne son aval à l’adoption de la loi SREN. Elle a toutefois fait l’objet d’une saisine du Conseil constitutionnel n° 2024-866 le 17 avril 2024. Cette loi vise à sécuriser et à réguler l’espace numérique. Elle adapte le droit français au règlement européen sur les services numériques (DSA). Lire la suite Protection en ligne des mineurs à l’encontre de la pornographie Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique Les éditeurs ou les plateformes proposant du contenu pornographique en ligne devront rendre inaccessibles ces contenus aux mineurs. Cette protection passe par la mise en place de système de vérification d’âge. Dans cette optique de protection des mineurs, l’Arcom va voir ses prérogatives élargies. En effet, le DSA l’avait désigné comme « coordinateur des services numériques en France ». Il lui revient ainsi de déterminer un référentiel fixant des exigences techniques minimum à mettre en œuvre. Ces exigences s’articulent autour de la fiabilité du contrôle de l’âge et le respect de la vie privée. De plus, aucun contenu pornographique ne devra s’afficher tant que le système n’aura pas vérifié l’âge. A compter de la publication du référentiel par l’Arcom, les sites et hébergeurs auront trois mois pour s’y conformer. En cas de non-conformité, l’Arcom pourra ordonner sans concours du juge, leur blocage et déférencement sous 48 heures. La protection des mineurs passe également par la pénalisation du défaut de retrait de contenu pédopornographique. Les hébergeurs pourront recevoir une demande de retrait de contenu pédopornographiques d’une autorité administrative. Ils devront s’exécuter sous 24 heures. A défaut la loi prévoit une peine de prison d’un an et 250 000 euros d’amende. Renforcement de la protection contre les infractions de haine en ligne et de cyberharcèlement Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique La loi met également en place de nouvelles sanctions dans l’optique de condamner la haine en ligne, le cyberharcèlement. La SREN introduit en effet à l’article 131-35-1 du Code pénal une peine complémentaire. Le juge pourra en effet ordonner le bannissement des réseaux sociaux pour six mois Le réseau social qui ne bloquerait pas le compte litigieux pourra se voir infliger une sanction de 75 000 euros.  La création d’un nouveau délit d’outrage en ligne accompagne cette disposition. L’article 19 de la loi insère l’article 222-33-1-2 dans le code pénal qui sanctionnera la diffusion en ligne : « de tout contenu qui soit porte atteinte à la dignité d’une personne ou présente à son égard un caractère injurieux, dégradant ou humiliant, soit créé à son encontre une situation intimidante, hostile ou offensante ». La peine prévue s’élèvera à 3750 euros d’amende. Le juge pourra également prononcer des peines complémentaires comme un stage de sensibilisation. La SREN va également modifier l’article 226-8 du Code pénal qui condamne l’infraction de montage.  Elle va l’adapter pour inclure les deepfake. Les peines sont de deux ans d’emprisonnement et de 45 000 euros d’amende lorsque l’auteur réalise l’infraction en ligne.   De plus, la loi crée une infraction spécifique de deepfake à caractère sexuel. La peine encourue est de deux ans d’emprisonnement et de 60 000 euros d’amende. La loi prévoit une aggravation de cette peine pour l’infraction commise en ligne. Règlementation des services de cloud par l’adoption de la loi SREN Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique L’adoption de la loi SREN vise également à réduire la dépendance des entreprises aux fournisseurs d’informatique en nuage (cloud). Une poignée de géants du numériques (Microsoft, Google, Amazon) dominent en effet ce marché. L’objectif est l’ouverture du marché des données et une concurrence juste et équitable entre les acteurs. Le législateur a ainsi prévu plusieurs mesures : • encadrement des frais de transferts des données ; • encadrement des frais de changement de fournisseur ; • obligation pour les services de cloud d’être interopérable ; • transparence envers les utilisateurs. L’Arcep sera l’autorité chargé de la mise en œuvre de ces mesures. Le législateur vise également la protection de la souveraineté numérique de la France.  Des dispositions encadrent les administrations de l’Etat et ses opérateurs qui stockent des données stratégiques et sensible sur des cloud privés. Ils doivent veiller à ce que les prestataires mettent en œuvre des critères de sécurité et de protection des données. En vertu de l’article 31 de la loi, sont des données d’une sensibilité particulière : • les données qui relèvent des secrets protégés par la loi ; • les données nécessaires à l’accomplissement des missions essentielles de l’Etat (maintien de l’ordre public, protection de la santé, …). Les dispositions visent en particulier la protection contre les accès non autorisés par des autorités d’Etats tiers à l’Union. Concernant spécifiquement les données de santé, une obligation de certification pèse sur les activités d’archivage électronique. Règlementation des jeux à objets numériques monétisables (JONUM) Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique La SREN va également s’intéresser aux JONUM (jeux à objets numériques monétisables). En effet, ceux-ci sont à l’origine de nombreux risques tel que l’addiction ou le blanchiment d’argent. Le texte de loi prévoit donc des obligations comme : • le plafonnement des récompenses ; • la transparence des opérations de jeux ; • la protection des mineurs ; • l’interdiction des activités frauduleuses ou criminelles ; • la lutte contre le blanchiment de capitaux et de financement du terrorisme. Protection des utilisateurs contre les fraudes et arnaques Adoption de la loi SREN visant à sécuriser et à réguler l’espace numérique L’adoption de la loi SREN permet la mise en œuvre d’un filtre de cybersécurité anti-arnaque pour le public. L’objectif est de protéger les utilisateurs contre les sites ayant vocation à obtenir frauduleusement des données personnelles. Il vise également à lutter contre les fraudes bancaires. Un message d’alerte s’affichera pour les utilisateurs sur les sites présentant un risque avéré d’arnaque ou d’escroquerie. L’État fixe également pour objectif l’accès à une identité numérique gratuite à 100% des français d’ici 2027. Ainsi, ces nouvelles dispositions visent à sécuriser et

Actualités, Economie numérique, Internet conseil

L’entrée en vigueur du DSA pour tous les fournisseurs de services intermédiaires

Alors que le Digital Services Act est entré en application le 25 août 2023, uniquement pour ce qui concerne la catégorie des fournisseurs de très grandes plateformes en ligne et très grands moteurs de recherche (1), il est désormais entré en vigueur pour l’ensemble des acteurs concernés depuis le 17 février 2024. Tous les fournisseurs de services intermédiaires (2) doivent désormais être conformes aux exigences du règlement afin de garantir un environnement en ligne sûr, prévisible et fiable. Lire la suite Rappel des obligations des fournisseurs de services intermédiaires L’entrée en vigueur du DSA pour tous les fournisseurs de services intermédiaires Tous les fournisseurs de services intermédiaires sont tenus de respecter les obligations énumérées aux articles 11 à 15 du DSA : • la désignation de points de contact pour les autorités compétentes des Etats Membres, la Commission et le comité et pour les destinataires du service ; • la désignation d’un représentant légal dans un des Etats-membres dans lequel le fournisseur propose ses services ; • la mise à jour des conditions générales du service afin d’y renseigner notamment les restrictions ; • la publication de rapports sur les éventuelles activités de modération des contenus. Ensuite, selon la catégorie d’acteur à laquelle ils appartiennent les fournisseurs de services intermédiaires devront respecter des obligations supplémentaires : • bien qu’ils ne soient soumis à aucune obligation générale de surveillance ou de recherche active des faits, les fournisseurs de services d’hébergement (y compris les plateformes en ligne), au même titre que les hébergeurs visés par la LCEN (3), doivent néanmoins mettre en place un mécanisme de signalement de contenus illicites permettant d’assurer la modération des contenus, la politique de modération des contenus, les conséquences, etc. Les obligations des fournisseurs de services d’hébergement (y compris les plateformes en ligne) sont édictées aux articles 16 à 18 du DSA ; • les obligations des fournisseurs de plateformes en ligne (y compris les fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels et les fournisseurs de très grandes plateformes en ligne), qui font partie des fournisseurs de services d’hébergement, sont édictées aux articles 19 à 28 du DSA ; • s’agissant des fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels, qui font partie des fournisseurs de services d’hébergement et des plateformes en ligne, ils devront respecter les obligations mentionnées aux articles 29 à 32 du DSA ; • en ce qui concerne enfin les fournisseurs de très grandes plateformes et les très grands moteurs de recherche en ligne, qui font également partie des fournisseurs de services d’hébergement, des plateformes en ligne et éventuellement des fournisseurs de plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels, ils doivent respecter et justifier de l’application des articles 33 à 43 du DSA. Surveillance et sanctions L’entrée en vigueur du DSA pour tous les fournisseurs de services intermédiaires Aux termes de l’article 49 du DSA, chaque État membre doit désigner une des autorités compétentes comme leur coordinateur pour les services numériques assurant le contrôle du respect par les fournisseurs de services intermédiaires de leurs obligations, la mise en œuvre des sanctions et le traitement des plaintes à leur encontre. En France, le projet de loi visant à sécuriser et réguler l’espace numérique (« SREN »), attribue ce rôle à l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom). Ainsi, en cas de non-respect des obligations, les fournisseurs de services intermédiaires risquent notamment une sanction pécuniaire dont le montant est fixé par les États membres, ne pouvant cependant excéder 6 % du chiffre d’affaires mondial annuel au cours de l’exercice précédent (Article 52, 3. du DSA). Ce montant peut être assorti d’une astreinte (article 54, 2. du DSA).   Prochaine étape L’entrée en vigueur du DSA pour tous les fournisseurs de services intermédiaires Le projet de loi SREN, modifié par l’Assemblée nationale le 18 octobre 2023, est actuellement devant la CMP, Commission mixte paritaire, chargée de proposer un texte sur les dispositions restant en discussion. (1) « L’entrée en vigueur du DSA pour les très grandes plateformes en ligne », le 06/10/2023.(2) Pour rappel, un service intermédiaire est identifié comme un des services de la société de l’information, définit par la directive UE n°2015/1535 comme « tout service presté normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ».(3) Loi pour la confiance dans l’économie numérique, nᵒ 2004-575 du 21 juin 2004 (LCEN), art. 6-I-2. Created by potrace 1.16, written by Peter Selinger 2001-2019 Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Alexandra Massaux Avocate, Directrice du département Technologies émergentes Contentieux Avocate à la Cour d’appel de Paris depuis 2012, Alexandra Massaux est directrice du département Technologies émergentes Contentieux. Après une première expérience au sein d’une entreprise de services du numérique, elle a acquis une connaissance fine de la matière expertale et ainsi de la manière dont le contentieux se développe devant les juridictions civiles probatoires, l’expert et le juge chargé du contrôle des mesures d’instruction. Alexandra Masaux est nommée Best Lawyer dans la catégorie « Information Technology Law » des éditions 2024 et 2023 du classement de la revue américaine « Best Lawyers ». Phone:+33 (0)6 47 21 37 26 Email:alexandra-massaux@lexing.law Rosa Brunet Avocate, Responsable d’activité Technologies Émergentes Contentieux Rosa Brunet Avocate, Responsable d’activité Technologies Émergentes Contentieux Rosa Brunet a rejoint le cabinet en 2020. Responsable d’activité au sein du département Technologies Émergentes Contentieux, elle intervient principalement dans les domaines du droit de l’informatique et des nouvelles technologies ainsi qu’en droit commercial des affaires, aussi bien en conseil qu’en contentieux. Elle intervient également aux côtés du département Conformité et Certification en matière de protection des données personnelles. Phone: +33 (0)6 74 10 95 28 Email:rosa-brunet@lexing.law Pour en apprendre davantage À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations

webinaire ESIEE-IT - NIS 2
Actualités, Conférences, Evénement, Internet conseil

Le 11 avril 2024 Webinaire ESIEE-IT – NIS 2 cybersécurité

Ne manquez pas le webinaire ESIEE-IT – NIS 2 : ce qui va changer en octobre 2024, le Jeudi 11 avril 2024 à 11h30. Découvrez les clés pour comprendre et mettre en œuvre efficacement cette réglementation cruciale, avec Anthony SITBON, Consultant, Directeur du département Sécurité de Lexing Technologies. Lire la suite Au programme du webinaire NIS 2 : ce qui va changer en octobre 2024 Webinaire ESIEE-IT – NIS 2 cybersécurité Contexte Juridique : Retour sur l’échec de NIS1 Importance persistante de NIS1 : bonne base de conformité pour les entreprises déjà soumises à NIS1 en transition vers NIS2 Application : Champs d’application élargi Critère de taille élargi Pouvoir de désignation accru de l’ANSSI (utilisation très large) Nouvelles Mesures Obligatoires : Focus sur les articles clés 20, 21 et 23 de la directive La gouvernance Gestion des risques : notamment les risques sous-traitants Gestion des incidents cyber Sanctions et Pouvoirs de Contrôle de l’ANSSI : Parallèles avec les pouvoir de sanction de la Cnil en matière de non-respect de RGPD Implications des nouveaux pouvoirs de contrôle de l’ANSSI – Agence nationale de la sécurité des systèmes d’information Session Questions-Réponses Participez au Webinaire ESIEE-IT – NIS 2 du jeudi 11 avril 2024 Webinaire ESIEE-IT – NIS 2 cybersécurité Rejoignez-nous le jeudi 11 avril 2024 à 11h30 pour une session de 45 minutes qui pourrait transformer votre approche de la cybersécurité. Inscrivez-vous dès maintenant pour garantir votre place et faire le premier pas vers une sécurité numérique renforcée !   Created by potrace 1.16, written by Peter Selinger 2001-2019   Anthony Sitbon Consultant, Directeur du département Sécurité de Lexing Technologies     Anthony Sitbon Consultant, Directeur du département Sécurité de Lexing Technologies Consultant, Anthony Sitbon dirige le département Sécurité de Lexing Technologies. Il a la certification ISO 27005 en management du risque informatique du Professional Evaluation and Certification Board (PECB) (mars 2023), ainsi que la Certification « cybersécurité des TPE/PME » de l’Institut des Hautes Études de Défense Nationale (IHEDN) (octobre 2020). Anthony Sitbon accompagne ses clients les différents domaines relatifs à la cybersécurité. Phone:+33 (0)6 80 34 08 32 Email:anthony-sitbon@lexing-technologies.com     Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

désignation de six contrôleurs d’accès
Actualités, Articles, Economie numérique, Internet conseil, Publication

DMA : désignation de six contrôleurs d’accès par la Commission européenne

Le 6 septembre 2023, la Commission a procédé à la désignation de six contrôleurs d’accès qui seront soumis au Digital Market Act (DMA). Lire la suite Le DMA, un nouveau cadre de règlementation du numérique en Europe DMA : désignation de six contrôleurs d’accès Le 14 septembre 2022, l’Union adopte le règlement sur les marchés numériques (DMA), pour réguler l’activité des géants du numérique. Depuis son entrée en vigueur le 11 novembre 2022, il constitue avec le Digital Services Act (DSA) l’un des deux piliers de la nouvelle règlementation européenne sur le numérique. Le DMA vise les plateformes en ligne, qualifiées de « contrôleur d’accès ». Ces contrôleurs d’accès jouent désormais un rôle central car ils proposent des services de plateforme essentiels. Ils mettent en effet en relation des entreprises utilisatrices avec des utilisateurs finaux (ex : magasins d’applications). Le DMA vise à lutter contre les pratiques anticoncurrentielles de ces géants du numérique et limiter leur position dominante sur le marché européen. Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) dominent à eux seuls le marché numérique avec 1544 milliards de chiffre d’affaires en 2023. Le DMA vient compléter le droit de la concurrence qui intervient en sanctionnant uniquement ex post les ententes ou abus de position dominante. En effet, le DMA est une régulation ex ante qui est spécifique au secteur du numérique. Il veille à ce que les marchés soient contestables et équitables. Il a pour objectif de favoriser l’émergence de nouveaux opérateurs économiques. Le DMA va ainsi protéger leur capacité à surmonter les barrières à l’entrée et à l’expansion des marchés. Il vise également à lutter contre les déséquilibres de droits et obligations des utilisateurs professionnels. La désignation de six contrôleurs d’accès par la Commission DMA : désignation de six contrôleurs d’accès Le DMA ne s’applique pas à toutes les entreprises du numérique mais seulement aux plus grandes, qualifiées de « contrôleurs d’accès ». Ces entreprises ont un poids économique important et constituent une barrière à l’entrée du marché intérieur. Une des singularités du règlement est qu’il vise des entreprises, établies ou non dans l’Union. L’article 3 du Règlement qualifie ces entreprises de contrôleurs d’accès lorsqu’elles remplissent trois critères cumulatifs : un poids important sur le marché : au moins 75 milliards d’euros de chiffre d’affaires au cours de chacun des trois derniers exercices ou 75 millions de capitalisation boursière au cours du dernier exercice et ce dans au moins trois Etats membres ; l’essentialité:  fournir un service de plateforme essentiel qui constitue un point d’accès majeur : enregistrer un nombre d’utilisateur de plus de 45 millions d’européens par mois et au moins 10 000 entreprises utilisatrices par an ; une position solide et durable sur le marché : fournir un service de plateforme essentiel dans au moins trois Etats membres. Les entreprises disposent de deux moins à partir de l’entrée en vigueur du règlement pour notifier à la Commission européenne si elles dépassent les seuils. Pour la première fois, le 6 septembre 2023, la commission a procédé à la désignation de six contrôleurs d’accès. On y retrouve les GAFAM avec Alphabet (Google), Amazon, Apple, Meta (Facebook) et Microsoft. Vient s’ajouter le groupe chinois ByteDance (Tik Tok). La Commission n’a finalement pas désigné Samsung qui était notifiante.  Suite à la désignation de ces six contrôleurs d’accès, les entreprises disposent d’un délai de 6 mois à pour se mettre en conformité avec le DMA. Les activités concernées par le DMA DMA : désignation de six contrôleurs d’accès La qualification de contrôleur d’accès nécessite la fourniture de « services de plateformes essentiels ». Dans le cas contraire, le DMA ne s’appliquera pas à ces entreprises. Ces services constituent des points d’entrée permettant aux entreprises utilisatrices d’atteindre leurs utilisateurs finaux.  Le DMA vise dix services de plateforme essentiel : les services d’intermédiation en ligne ; les services de recherche en ligne ; les services de réseaux sociaux en ligne ; les services de plateforme de partage de vidéos ; les services de communications interpersonnelles non fondés sur la numérotation ; les systèmes d’exploitation ; les navigateurs internet ; les assistants virtuels ; les services d’informatique en nuage (cloud) ; les services de publicité en ligne. Cette liste pourra être mise à jour. Il convient de noter qu’elle ne vise pas encore les plateformes de jeux vidéo ou les services d’intelligence artificielle générative. Lors de la désignation des six contrôleurs d’accès, la Commission vise vingt-deux de leurs services de plateforme essentiel (Google maps, Amazon marketplace). Les obligations et interdictions imposées par le DMA DMA : désignation de six contrôleurs d’accès La qualification de contrôle d’accès entraine le respect d’obligations et interdictions. En effet, la Commission n’a pas opté pour un système de vigilance ou de politique structurelle. Elle a posé une liste d’obligations et interdictions à respecter en tant que tel.  Les contrôleurs d’accès auront jusqu’au 6 mars 2024 pour se mettre en conformité sous peine de sanctions. Les contrôleurs d’accès devront notamment : rendre aussi facile l’abonnement que le désabonnement à leur service ; permettre de désinstaller facilement une application préinstallée ; permettre l’interopérabilité des fonctionnalités de leur service de messagerie instantanée avec d’autres concurrents. Les contrôleurs d’accès ne pourront plus : imposer par défaut des logiciels à l’installation (moteur de recherche par exemple) ; réutiliser les données personnelles d’un utilisateur à des fins de publicité ciblée sans son consentement explicite ; favoriser leurs services et produits par rapport à ceux des autres vendeurs qui utilisent leur plateforme (auto-préférence). Ainsi, un utilisateur s’estimant lésé par un contrôleur d’accès pourra s’appuyer sur ces obligations et interdictions devant le juge national pour demander des dommages et intérêts. En cas de non-respect du DMA, la Commission pourra prononcer des sanctions de 10% du chiffre d’affaires mondial. Cette sanction pourra monter jusqu’à 20 % en cas de récidive. Une astreinte allant jusqu’à 5% du chiffre d’affaires journalier mondial pourra s’ajouter. En cas d’infraction systématique, la Commission pourra ordonner des mesures correctives comportementales ou structurelles. Le contrôleur d’accès pourra se voir contraindre de céder une part de son activité (vente d’actif, de droit de propriété intellectuelle). Il pourra également se voir interdire d’acquérir une autre entreprise qui fournit des services numériques. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace

Retour en haut