A propos de Murielle Cahen

https://www.murielle-cahen.fr/

Avocat à la cour (Paris 5eme arrondissement) J'interviens principalement en droit de la propriété intellectuelle, droit des nouvelles technologies, droit civil & familial, droit pénal, droit de l'immobilier, droit du travail, droit de la consommation Consultation juridique en ligne - Réponse en 24/48h max. (€100 TTC) Titulaire du certificat de spécialisation en droit de l'informatique et droit de l'internet. Editrice du site web : Avocat Online depuis 1999. Droit de l'informatique, du logiciel et de l'Internet. Propriété intellectuelle, licence, presse, cession, transfert de technologie. droit d'auteur, des marques, négociation et arbitrage... Cabinet d'avocats à Paris. Droit internet et droit social, droit des affaires spécialisé dans les nouvelles technologies et lois internet...

Articles de Murielle Cahen:

La courte citation d’une œuvre est licite dès lors qu’elle est justifiée par un caractère d’analyse

Le texte et la musique d’une chanson relevant de genres différents et étant dissociables, le seul fait que le texte soit séparé de la musique ne porte pas nécessairement atteinte au droit moral de l’auteur. Dans cette affaire, la publication d’un ouvrage reprenant les textes des chansons d’un artiste-interprète soulève la question de la validité de la citation au regard du droit d’auteur.

Si l’exception de courte citation répond à des conditions précisément définies par le Code de la propriété intellectuelle, qu’en est-il de son application lorsque l’ouvrage se compose intégralement d’extraits d’œuvres citées ? Selon la Cour de cassation, la citation est licite puisque l’œuvre a été divulguée, et qu’elle était strictement nécessaire à l’analyse critique des chansons qui faisaient l’objet de l’ouvrage.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

L’exception de courte citation est une disposition du droit d’auteur qui permet à toute personne de citer une œuvre protégée sans avoir besoin de l’autorisation de l’auteur titulaire des droits d’auteur, à condition que cette soit courte et qu’elle serve un but légitime, tel que l’illustration d’une idée ou d’un point de vue, la critique ou la recherche.

La définition de ce qui est considéré comme une « courte citation » peut varier selon les pays et les contextes, mais en général, il s’agit d’une citation brève extraite d’une œuvre plus vaste, qui ne nuit pas à l’exploitation normale de l’œuvre citée et qui mentionne clairement l’auteur et la source de la citation.

Il est important de noter que l’exception de courte citation est une exception limitée et qu’elle ne permet pas de reproduire ou de diffuser l’œuvre protégée dans son intégralité sans autorisation.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Selon la Cour de cassation, l’auteur jouit, au nom du droit moral, du droit au respect de son nom, de sa qualité et de son œuvre. L’exercice de ce droit peut être confié à un tiers après le décès de l’auteur. Toutefois, la divulgation de l’œuvre entraîne l’impossibilité pour l’auteur de s’opposer aux analyses ou courtes citations qui en seraient extraites dès lors que la source et le nom de l’auteur apparaissent. À propos de l’exception de courte citation, la maison d’édition aurait bien démontré que les extraits du répertoire de l’auteur ont servi à une analyse purement critique. La Cour de cassation rejette donc le pourvoi en ne relevant aucune atteinte au droit moral de l’auteur, ni de caractère illicite des citations en cause.

I. Absence d’atteinte au droit moral

A. Les droits d’auteur dont l’artiste est titulaire sur son œuvre empêchent toute autre personne de l’exploiter, sans l’autorisation de cet auteur

L’article L. 121-1 du code de la propriété intellectuelle délimite les contours de l’exercice du droit moral de l’auteur d’une œuvre de l’esprit puisque ce dernier « jouit du droit au respect de son nom, de sa qualité et de son œuvre ». Cohabitent avec ces dispositions celles de l’article L. 122-5 du même code qui définissent les exceptions légalement prévues au droit d’auteur. En d’autres termes, ce texte garantit toute reproduction libre et gratuite d’une œuvre sous réserve de respecter certaines conditions (N. Binctin, Droit de la propriété intellectuelle, 7e éd., Lextenso, 2022, p. 154, n° 178).

Selon la Cour de cassation, la divulgation de l’œuvre destitue l’auteur de son droit d’interdire les analyses et courtes citations. La divulgation de l’œuvre est un droit qui appartient à l’auteur et correspond à l’étape au cours de laquelle l’auteur décide de communiquer son œuvre à autrui.

La jurisprudence précise d’ailleurs que le premier usage que fait un auteur épuise son droit de divulgation.

Il convient de préciser ce qu’est ce premier usage. Le droit de divulgation s’exerce par la mise en œuvre de deux éléments : un fait matériel destiné à rendre l’œuvre publique et un élément intentionnel relatif à l’expression de la volonté de son auteur qui consent à cette mise à disposition du public (M. Vivant et J.-M. Brugière, Droit d’auteur et droits voisins, 4e éd., Dalloz, 2019, p. 485, n° 479).

Pour autant, le droit de divulgation demeure une prérogative fondamentale du droit d’auteur. À titre d’illustration, lorsque la Cour de cassation a été saisie de la question de savoir si la production au cours d’un débat judiciaire d’un manuscrit encore inédit d’un auteur pouvait constituer une atteinte à ce droit, elle a répondu par l’affirmative. Cette première communication au public n’avait pas été le fait de l’auteur qui n’y avait pas consenti, cela constitue donc une atteinte à son droit moral.

B. Dissociation des deux genres

Toujours à des fins d’écarter toute atteinte au droit moral, la Cour de cassation rappelle également que l’ouvrage se limitait à citer le texte de la chanson et que le texte et la musique relevant de genres différents et dissociables, il ne pouvait pas y avoir d’atteinte à l’intégrité de l’œuvre. En d’autres termes, les requérants invoquaient une modification de la forme de l’œuvre qui avait été réalisée par l’artiste-interprète et à laquelle ils n’avaient pas consenti et qui constituerait une dénaturation de l’œuvre.

Pourtant, selon la Cour de cassation, la dissociation de ces différents éléments ne constitue pas une atteinte à son intégrité puisqu’il n’y a pas de preuve de sa dénaturation. Nous pouvons y voir une illustration de la subtilité et la complexité de l’œuvre musicale : elle repose sur l’association de plusieurs compositions puisqu’elle se compose au moins d’une mélodie, d’un rythme auxquels peut être associé un texte. Le tout détermine l’originalité de l’œuvre (A. R. Bertrand, Droit d’auteur, Dalloz Action, 2010, n° 207.27).

II. L’exception de « courte citation » prévue à l’article L122-5-3-a du Code la propriété intellectuelle

A. Condition de l’exception de courte citation

Certaines conditions de l’exception de courte citation peuvent être mises en œuvre facilement :

S’agissant de la divulgation de l’œuvre citée, ce critère est rempli si celle-ci a par exemple fait l’objet d’une première publication par un éditeur ;

S’agissant de la mention du nom de l’auteur et de la source, cette condition a notamment vocation à permettre d’identifier la citation comme telle, et de respecter le droit moral de l’auteur. Il faut donc veiller à citer le nom de l’auteur, le titre de l’oeuvre, et le cas échéant, le nom de l’éditeur, la date d’édition, voire la page de l’extrait. Il faut ensuite isoler la citation de manière visible pour le lecteur, en utilisant des guillemets, des notes de bas de page ou en fin de chapitre.

L’exception de courte citation implique également de respecter d’autres conditions, plus complexes :

S’agissant du critère tenant à la brièveté : il s’apprécie par rapport à la longueur de l’œuvre dans laquelle la citation est insérée, mais aussi par rapport à l’œuvre dont la citation est extraite. Cette appréciation est délivrée au cas par cas en jurisprudence : il n’existe pas en effet de pourcentage ou autre échelle précise à partir desquels la citation ne peut être considérée comme courte. Néanmoins, en toutes hypothèses, l’exception de courte citation ne peut permettre de reproduire intégralement l’œuvre citée ou de la reproduire dans une mesure substantielle. L’œuvre citante doit ainsi pouvoir exister malgré le retrait des citations qu’elle contient.

La courte citation doit être justifiée par le caractère critique, polémique, pédagogique, scientifique ou d’information de l’œuvre qui l’incorpore. A défaut, l’exception de courte citation ne s’applique pas. Il faut préciser d’ailleurs que selon les termes de l’article L122-5-3-a, la citation doit être incorporée dans une œuvre « seconde » : la citation doit ainsi permettre d’illustrer en principe une discussion ou une argumentation formant la matière principale de cette seconde oeuvre.

Enfin, le respect du droit moral de l’auteur forme la dernière condition à une courte citation licite. Il ne s’agit pas expressément d’une condition de l’article L122-5 précité, mais d’une condition qui s’applique à toute exploitation d’une œuvre de l’esprit, et donc aux citations. Il convient de veiller en particulier à ne pas porter atteinte au respect de l’œuvre, en déformant par exemple la pensée de son auteur.

Il faut souligner que l’exception de courte citation n’est pas limitée au domaine littéraire, et qu’elle peut s’appliquer au domaine musical ou audiovisuel, avec quelques adaptations. Elle ne s’applique toutefois pas en principe aux œuvres graphiques, plastiques ou photographiques, car celles-ci sont considérées comme indivisibles.

L’exception de courte citation peut donc être ardue à mettre en œuvre, en raison des conditions précitées qui donnent prise à une certaine part de subjectivité. En conséquence, si vous avez un doute quant à la licéité de vos citations, il est conseillé de demander à l’auteur ou à ses ayant droits une autorisation expresse et écrite, ou de solliciter l’analyse d’un avocat compétent en droit de la propriété intellectuelle.

B. La licéité de la citation justifiée par son caractère d’information

Le recours à l’exception de courte citation est conditionné par le respect de ces prérogatives de l’auteur. C’est ce que vérifie la Cour de cassation en confrontant le principe et son exception pour finalement retenir que la divulgation défait l’interdiction de citer l’œuvre, d’autant plus lorsque cette citation est justifiée « par le caractère critique, polémique, pédagogique, scientifique ou d’information de l’œuvre » à laquelle elle est incorporée.

Est bien entendu rappelée l’obligation de mentionner l’auteur de l’œuvre ainsi que sa source. D’une certaine façon, elle procède à une mise en balance des intérêts en jeu : d’un côté, celui de l’auteur qui revendique la protection légitime de son droit moral et, de l’autre, celui qui utilise la citation à des fins informationnelles ou analytiques et donc tournées vers une finalité très générale et pas vraiment personnelle. Partant de ces considérations, la citation en cause est licite.

En effet, l’exception visée par le troisième alinéa de l’article L. 122-5 du code de la propriété intellectuelle traite de l’analyse et de la courte citation. En réalité, la première est souvent caractérisée corrélativement à la seconde (M. Vivant et J.-M. Bruguière, Droit d’auteur et droits voisins, 4e éd., Dalloz, 2019, p. 656, n° 651). Le cas d’espèce est particulièrement illustratif de cette appréciation puisque la Cour de cassation évoque l’analyse et l’aspect pédagogique de l’ouvrage comme justification de la citation effectuée en énonçant que « chacune des citations était nécessaire à l’analyse critique de la chanson ». Pourtant, l’analyse et la citation répondent à des situations bel et bien distinctes. L’analyse consiste en l’exposé d’un point de vue alors que la citation reproduit de façon strictement identique l’extrait d’une œuvre.

C’est finalement l’opposition entre protection du droit d’auteur et exercice de la liberté d’expression justifiant l’exception de citation qui se trouve illustrée dans cette solution. L’article L. 122-5 du code de la propriété intellectuelle vise explicitement en son troisième alinéa « les analyses et courtes citations justifiées par le caractère critique, polémique, pédagogique, scientifique ou d’information de l’œuvre ». En d’autres termes, il y a citation licite dès lors que la reprise de l’œuvre d’origine poursuit une finalité d’instruction, qu’elle est courte et ne porte pas atteinte au droit moral de l’auteur.

Les conditions relatives à la mise en œuvre de cette citation tiennent comme son nom l’indique à la longueur de la citation : elle doit être courte selon le Code de la propriété intellectuelle, « quelque chose de bref est nécessairement court » (J.-M. Bruguière, « Les courtes citations », in J.-M. Bruguière [dir.], Les standards de la propriété intellectuelle, Dalloz, coll. « Thèmes et commentaires », 2018, p. 44). Ainsi, la brièveté exclut de reprendre intégralement l’œuvre.

La difficulté en l’espèce ne reposait pas sur la taille des citations, mais plutôt sur le fait que l’ouvrage était constitué de citations de cet artiste-interprète. Mais prises individuellement, les citations correspondaient bien à cette limite de taille.

Par ailleurs, la Cour de cassation retient également dans sa motivation que les citations étaient nécessaires « à l’analyse critique de la chanson » et « ne s’inscrivaient pas dans une démarche commerciale ou publicitaire, mais étaient justifiées par le caractère pédagogique et d’information de l’ouvrage », lequel était dédié à l’œuvre de l’artiste-interprète et présentait une finalité documentaire. En plus de rappeler la brièveté de la citation, elle insiste également sur sa nécessité.

En d’autres termes, la citation est licite puisque l’œuvre a été divulguée, qu’elle présente les caractères de l’article L. 122-5, 3°, du code de la propriété intellectuelle puisque l’auteur de l’ouvrage avait précisément démontré pourquoi leur présence était nécessaire à l’analyse critique de la chanson visée. Cette solution est donc justifiée à la fois au regard des critères légaux, mais on peut également y voir l’exercice de libertés bien particulières qui est celui de la liberté d’expression et de la liberté d’information. En effet, cette solution est justifiée par un impératif d’information du public puisque la démarche allait bien au-delà d’une simple finalité commerciale ou publicitaire.

Pour lire un article plus complet sur le droit à courte citation, cliquez

Sources :
Kamilia Bentaïeb, Docteure en droit privé et ATER à l’Université Toulouse Capitole
Cour de cassation, civile, Chambre civile 1, 8 février 2023, 21-23.976, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Cour de cassation, civile, Chambre civile 1, 11 décembre 2013, 11-22.031 11-22.522, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Cour de Cassation, Chambre civile 1, du 25 février 1997, 95-13.545, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Article L121-1 – Code de la propriété intellectuelle – Légifrance (legifrance.gouv.fr)
Article L122-5 – Code de la propriété intellectuelle – Légifrance (legifrance.gouv.fr)

Par internet-et-droit, Newsletter • Tags: , , ,

LES DEADBOTS POUR CONTINUER D’ECHANGER AVEC LES MORTS

La société est rentrée dans une ère qui n’est pas prête à reculer. C’est l’ère du numérique et de son impact dans tous les domaines de notre vie. La technologie a aussi emprunté les pas à cet essor continuel du numérique. L’intelligence artificielle fruit du développement continue de la technologie n’est pas en reste.

L’intelligence artificielle (IA) recouvre un large champ de technologies en évolution rapide et peut procurer de nombreux avantages économiques et sociétaux dans l’ensemble des secteurs économiques et des activités sociales. Voilà que l’intelligence artificielle fait parler désormais les morts. Si dès 2013, la série Black Mirror imaginait une application mobile permettant à une jeune femme de converser avec son compagnon décédé, le procédé est aujourd’hui passé de la fiction à la quasi-réalité. En 2018, le journaliste américain James Vlahos avait réussi à intégrer une intelligence artificielle à l’application Facebook Messenger afin de poursuivre des conversations avec son père mort des suites d’un cancer. Ce fut la naissance de ce que l’on nomme les deadbots (contraction de « mort » et « robot» en français) autrement appelés «anges gardiens».

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le contact virtuel, sorte d’avatar du défunt papa, reprenait sa façon d’écrire, recueillie au cours des dernières heures de sa vie et grâce à des algorithmes puisant dans ses anciens tweets, posts et même textos. Soit un sacré packaging de données personnelles permettant à James Vlahos de retarder le moment de faire son deuil. Depuis, ce genre de technologie s’est multipliée à travers le monde, incluant même la voix de la personne disparue.

Ces IA engrangent d’énormes quantités de données et utilisent bien évidemment les données personnelles des personnes concernées. Sans cette armada de données engrangées, difficile sera leur fonctionnement. En outre, la question de l’utilisation de ces données pose souvent question. Idem pour la responsabilité de ces IA en cas de défaut donne lieu à débat tous les jours.

De nombreuses start-up, essentiellement chinoises et anglosaxonnes – en France, la technologie se heurte à la loi informatique et libertés –, travaillent, avec l’accord des utilisateurs, à collecter les données au cours de l’existence ou au moment où la fin est proche.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

I. Notion de l’Intelligence Artificielle

L’intelligence artificielle fait partie de notre quotidien, qu’il s’agisse de la reconnaissance vocale sur nos téléphones portables, des suggestions personnalisées de films sur des plates-formes de streaming (certes, plus ou moins convaincantes…) ou des systèmes de reconnaissance d’images permettant de « taguer » des visages ou de filtrer des contenus violents ou pornographiques publiés sur les réseaux sociaux.

L’intelligence artificielle est un « ensemble de système qui font preuve d’un comportement intelligent en analysant l’environnement et en permettant des mesures avec un certain degré d’autonomie pour atteindre des objectifs précis. »

Ce système permet à une machine d’interagir avec les données et de les analyser afin d’atteindre un objectif spécifique.

C’est donc une science dont la finalité est de faire par une machine des tâches que l’homme utilise son intelligence pour les faire.

Pour l’un des fondateurs de la discipline de l’IA, c’est : « La construction de programmes informatiques qui s’adonne à des taches qui sont pour l’instant accomplis de façon plus satisfaisante par des êtres humains car demande des processus plus précis ».

Au sens large, le terme désigne en effet indistinctement des systèmes qui sont du domaine de la pure science-fiction (les IA dites « fortes », dotées d’une forme conscience d’elles-mêmes) et des systèmes déjà opérationnels en capacité d’exécuter des tâches très complexes (reconnaissance de visage ou de voix, conduite de véhicule – ces systèmes sont qualifiés d’IA « faibles » ou « modérées »).

L’intelligence artificielle n’est pas une technologie à proprement parler mais plutôt un domaine scientifique dans lequel des outils peuvent être classés lorsqu’ils respectent certains critères. Pour se familiariser avec ce domaine, il peut être utile de se référer au glossaire de l’IA publié par la CNIL.

Pour le Parlement européen, l’intelligence artificielle représente tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ».

Cette définition pourrait être élargie en incluant les comportements dépassant les capacités humaines, puisque les ordinateurs actuels parviennent aujourd’hui à les surpasser dans certaines tâches (bien que la compétence de l’ordinateur s’arrête généralement à l’exécution de cette tâche). À titre d’exemple, le système d’IA AlphaGo, capable de battre le champion du jeu de go Lee Sedol, est très doué pour élaborer des stratégies à ce jeu, mais ses capacités s’arrêtent ici. Il sera incapable de jouer aux échecs ou d’effectuer d’autres tâches tant que celles-ci ne lui auront pas été inculquées.

Tout système mettant en œuvre des mécanismes proches de celui d’un raisonnement humain pourrait ainsi être qualifié d’intelligence artificielle.

Les premières applis permettant de « converser » avec un proche disparu font leur arrivée sur le marché. Une véritable économie de l’« immortalité numérique » commence à poindre. Tout cela repose sur les progrès en intelligence artificielle, couplés à l’accès sans cesse étendu à nos données personnelles…. En l’espèce, le deadbot mis en place pour communiquer avec une personne disparue est belle et bien une œuvre de l’intelligence artificielle. Toutefois, on pourrait se demander comment les données de la personne décédée sont introduite dans cette IA pour qu’elle représente le défunt ?

II. L’utilisation de deadbot qui utiliserait les données personnelles de défunts pour continuer à dialoguer avec des personnes décédées

Il s’articule encore autour de la loi pour une République numérique à propos de la prise de décision automatisée ou du Règlement général sur la protection des données (RGPD) au sujet des données identifiantes et de la protection de la vie privée. L’expansion de l’intelligence artificielle requiert l’acceptation de la société civile. Pour y parvenir, chacun doit être en confiance avec les usages de l’intelligence artificielle.

La confiance accordée par la société civile à l’intelligence artificielle dépend aussi de la connaissance de ses mécanismes et de ses enjeux. C’est pourquoi des mesures concrètes comme, par exemple, pour que le principe de la privacy by design énoncé dans le RGPD devienne effectif ou pour que des tests de détection de biais soient exécutés compte tenu des déterminants les plus influents qui sont au coeur d’une prise de décision automatisée.

Il est très difficile pour un responsable de site de faire la différence entre un profil inactif parce que son titulaire ne n’utilise plus et un profil inactif parce que son titulaire est décédé.

À ce titre, il ne peut pas prendre l’initiative de supprimer ces comptes s’il ne connait pas la cause de l’inactivité. C’est dans ce contexte que les réseaux sociaux ont organisé des plateformes de suppression ou de désactivation des profils des personnes décédées.

Par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances.

C’est toute une industrie qui s’est mise en place pour récupérer les données personnelles des personnes vivantes avec leur accord pour les faire revivre quand elles passeront de vie à trépas. Le but est de récupérer la voix (la manière de parler de la personne concernée), sa manière de converser manuellement sur les réseaux sociaux etc pour ensuite l’intégrer dans une IA et de continuer son existence même après son décès.

Estimant que ces deadbots devraient, à court terme, faire l’objet d’un encadrement technique et juridique, le Comité national pilote d’éthique du numérique (CNPEN) milite pour que des règles soient définies concernant le consentement de la personne décédée, le recueil et la réutilisation de ses données, mais également le temps de fonctionnement des deabots, le lexique utilisé, le nom leur étant attribué ou encore les conditions de leur utilisation.

Dans ce cadre on pourrait facilement imaginer un lien avec le droit des personnes concernées à définir des « directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès », droit posé par l’article 85 de la Loi informatiques et libertés.

Le consentement de la personne concernée est indispensable pour atteindre ce but. Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Les conditions applicables au consentement sont définies aux articles 4 et 7 du RGPD.

III. Réglementation de l’Intelligence artificielle en Europe

Le 21 avril 2021, la Commission Européenne a rendu publique l’AI Act (Artificial Intelligence Act), son projet de réglementation sur l’intelligence artificielle. Cette initiative vise à encadrer l’intelligence artificielle de façon à la rendre digne de confiance, centrée sur l’humain, éthique, durable et inclusive.

Le Parlement européen a aussi accompli un travail considérable dans le domaine de l’IA. En octobre 2020, il a adopté un certain nombre de résolutions relatives à l’IA, notamment en ce qui concerne les aspects éthiques, le régime de responsabilité et les droits de propriété intellectuelle.

En 2021, celles-ci ont été suivies par des résolutions relatives à l’utilisation de l’IA dans les affaires pénales et dans les domaines de l’éducation, de la culture et de l’audiovisuel. Dans sa résolution concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes, le Parlement européen recommande expressément à la Commission de proposer des mesures législatives visant à exploiter les possibilités et les avantages offerts par l’IA, mais aussi à garantir la protection des principes éthiques. La résolution comprend un texte de la proposition législative pour un règlement sur les principes éthiques relatifs au développement, au déploiement et à l’utilisation de l’IA, de la robotique et des technologies connexes.

Conformément à l’engagement politique pris par la présidente von der Leyen dans ses orientations politiques en ce qui concerne les résolutions adoptées par le Parlement européen au titre de l’article 225 du traité sur le fonctionnement de l’Union européenne (TFUE), la présente proposition tient compte de la résolution du Parlement européen susmentionnée dans le plein respect des principes de proportionnalité et de subsidiarité ainsi que de l’accord « Mieux légiférer».

Dans ce contexte politique, la Commission présente la proposition de cadre réglementaire relatif à l’IA dont les objectifs spécifiques sont les suivants :

  • veiller à ce que les systèmes d’IA mis sur le marché de l’Union et utilisés soient sûrs et respectent la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union;
  • garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA;
  • renforcer la gouvernance et l’application effective de la législation existante en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA;
  • faciliter le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance, et empêcher la fragmentation du marché.

Afin d’atteindre ces objectifs, la présente proposition présente une approche réglementaire horizontale équilibrée et proportionnée de l’IA qui se limite aux exigences minimales nécessaires pour répondre aux risques et aux problèmes liés à l’IA, sans restreindre ou freiner indûment le développement technologique ni augmenter de manière disproportionnée les coûts de mise sur le marché de solutions d’IA. La proposition établit un cadre juridique solide et souple.

D’une part, le cadre est complet et conçu pour résister à l’épreuve du temps dans ses choix réglementaires fondamentaux, y compris dans les exigences fondées sur des principes auxquelles les systèmes d’IA devraient se conformer. D’autre part, il met en place un système réglementaire proportionné centré sur une approche réglementaire bien définie fondée sur le risque qui ne crée pas de restrictions commerciales injustifiées, et en vertu duquel l’intervention juridique est adaptée aux situations concrètes dans lesquelles des préoccupations légitimes existent ou sont raisonnablement prévisibles dans un avenir proche. Par ailleurs, le cadre juridique prévoit des mécanismes souples qui permettent de l’adapter de manière dynamique à l’évolution de la technologie et aux nouvelles situations préoccupantes.

La proposition établit des règles harmonisées pour le développement, la mise sur le marché et l’utilisation de systèmes d’IA dans l’Union suivant une approche proportionnée fondée sur le risque. Elle contient une définition de l’IA unique et à l’épreuve du temps. Certaines pratiques d’IA particulièrement néfastes sont interdites en raison de leur caractère contraire aux valeurs de l’Union, tandis que des restrictions et des garanties spécifiques sont proposées en ce qui concerne certaines utilisations de systèmes d’identification biométrique à distance à des fins répressives. La proposition établit une méthode solide d’évaluation du risque permettant de recenser les systèmes d’IA dits « à haut risque» qui présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes.

Les systèmes d’IA en question devront satisfaire à un ensemble d’exigences obligatoires horizontales garantissant une IA digne de confiance et faire l’objet de procédures d’évaluation de la conformité avant de pouvoir être mis sur le marché de l’Union. Des obligations prévisibles, proportionnées et claires sont aussi imposées aux fournisseurs et aux utilisateurs de ces systèmes afin de garantir la sécurité et le respect de la législation existante en matière de protection des droits fondamentaux tout au long du cycle de vie des systèmes d’IA. Pour certains systèmes d’IA spécifiques, seules des obligations minimales en matière de transparence sont proposées, en particulier lorsque des dialogueurs ou des trucages vidéo ultra-réalistes sont utilisés.

Cette proposition est le résultat de nombreuses études, livres blancs, analyses etc. débutées en 2018 qui ont souligné que la législation en place actuellement présentait des lacunes à combler. L’AI Act va maintenant être soumis au Parlement Européen et au Conseil de l’Union Européenne, de sorte à ce qu’il puisse être accepté d’ici 2022 et mis en application à partir de 2024.

Ce nouveau règlement est composé de règles proportionnées et souples prévues pour faire face aux risques spécifiques liés aux différents systèmes d’intelligence artificielle. On peut donc parler d’une approche basée sur les risques, ces derniers étant classifiés en quatre typologies :

les systèmes d’intelligence artificielle “inacceptables” ;

ceux possédant des “risques élevés” ;

ceux avec des “risques acceptables” ;

et enfin, l’intelligence artificielle aux “risques minimes”.

L’AI Act concerne principalement les deux premières catégories de systèmes : ceux présentant des risques “inacceptables” et ceux présentant des risques “élevés”. Pour les deux catégories restantes, la réglementation sera basée sur la logique de responsabilité. Cependant, il conviendra pour les acteurs de réaliser une cartographie précise des risques afin de classifier au plus juste dans quelle catégorie se trouvent leurs IA. Cette logique de responsabilité devra donc pousser les acteurs à être attentifs aux traitements opérés dans le cadre de leurs activités.

IV. Qu’est-ce que l’IA inacceptable au sens du Règlement ?

L’intelligence artificielle considérée comme “inacceptable” comprend tous les systèmes dont l’utilisation est considérée comme allant à l’encontre des valeurs de l’Union Européenne. Il s’agira notamment des systèmes qui présentent des aspects fondamentalement contraires aux droits fondamentaux, à travers, par exemple, la manipulation inconsciente des comportements ou bien l’exploitation des vulnérabilités de certains groupes pour influencer leur comportement. La notation sociale basée sur l’intelligence artificielle à des fins générales par les autorités publiques ainsi que l’utilisation de systèmes d’identification biométrique “en temps réel” dans les espaces publics (sauf exceptions) sont deux autres cas d’intelligence artificielle inacceptables. L’AI Act propose tout simplement d’interdire ce genre de systèmes.

Qu’est-ce que l’IA présentant des risques élevés au sens du Règlement ?

L’intelligence artificielle qui présente des “risques élevés” englobe tous les systèmes qui créent un risque élevé pour la santé et la sécurité ou les droits fondamentaux des personnes physiques (définis par la Commission Européenne). On trouve deux grandes catégories de systèmes à haut risque. D’une part, il y a les systèmes d’intelligence artificielle destinés à être utilisés comme composants de produits de sécurité, et, d’autre part, les systèmes d’intelligence artificielle autonomes ayant principalement des implications sur les droits fondamentaux (ces systèmes sont explicitement énumérés dans l’AI Act). La médecine assistée, les tris automatiques de CV, la notation d’examens et le scoring pour l’attribution d’un crédit sont des exemples types d’intelligence artificielle à hauts risques. Ce type de système devra systématiquement être soumis à une évaluation de conformité strict par un tiers. Pour être mise sur le marché, la technologie IA devra:

. Être supervisée par un humain

. Posséder un système adéquat pour atténuer les risques

. Avoir des jeux de données de qualité élevée

. Disposer de résultats traçables

. Fournir une documentation détaillée et à jour en cas de contrôle

. Assurer un haut niveau de robustesse, de sécurité et d’exactitude

. Procurer des informations claires aux consommateurs

Le responsable de traitements au sens du Règlement devra donc être particulièrement attentif à qualifier justement les différentes AI qu’il utilise dans le cadre de ses activités afin de mesurer au plus juste les potentiels impacts et risques associés. Cette logique de responsabilité étant accompagnée de sanctions spécifiques. Il conviendra dans cette cartographie de se faire accompagner en amont du déploiement de ces AI mais aussi dans un second temps dans le suivi.

Qu’est-ce que l’IA présentant des risques acceptables et minimes au sens du Règlement ?

L’intelligence artificielle avec des “risques acceptables” concerne tous les systèmes qui interagissent avec les humains, qui sont utilisés pour détecter des émotions ou déterminer l’association avec catégories sociales basées sur des données biométriques et qui génèrent ou manipulent du contenu.

Enfin, l’intelligence artificielle avec des “risques minimes” concerne tous les systèmes qui appliquent un code de conduite incluant des engagement relatifs à la durabilité environnementale, à l’accessibilité des personnes possédant un handicap, à la participation des parties prenantes à la conception et au développement des systèmes d’intelligence artificielle; ainsi qu’à la diversité des équipes de développement.

De par son focus sur des cas spécifiques (c’est-à-dire lorsque les droits des citoyens Européens sont compromis), la Commission montre sa volonté de réguler l’intelligence artificielle tout en permettant un essor de l’innovation et le développement d’un marché unique pour les applications d’intelligence artificielle légales, dignes de confiance et éthiques.

Des sanctions conséquentes analogues à celles du RGPD en cas de méconnaissance du Règlement.

En cas de violation de l’AI Act, les sanctions encourues suivent la même logique que celle du régime du RGPD. L’AI Act va même plus loin en augmentant les sanctions lorsqu’il est question d’usages “inacceptables” de l’intelligence artificielle. En effet, en cas de non-respect des règles dans cet usage la personne encourt une amende de 30 millions d’euros ou pouvant aller jusqu’à 6% du chiffre d’affaires pour une entreprise. En ce qui concerne les autres cas de violation de l’AI Act, l’amende encourue sera de 20 millions d’euros, ou 5% du chiffre d’affaires dans le cas d’une entreprise.

L’AI Act prévoit aussi des amendes pour manquement de coopération avec les autorités nationales au sein de l’Union Européenne, pouvant s’élever jusqu’à 10 millions d’euros d’amendes ou 2% du chiffre d’affaires.

Pour lire une version plus adaptée aux mobiles de cet article sur les deadbots  et les morts, cliquez

Sources :

  1. (https://www.coe.int/fr/web/artificial-intelligence/what-is-ai)
  2. ( https://www.cnil.fr/fr/intelligence-artificielle/glossaire-ia)
  3. (https://www.europarl.europa.eu/news/fr/headlines/society/20200827STO85804/intelligence-artificielle-definition-et-utilisation)
  4. (https://www.anthropotechnie.com/deadbots-une-economie-de-limmortalite-numerique/)
  5. https://www.cnil.fr/fr/le-rgpd-fete-ses-quatre-ans
  6. https://info.haas-avocats.com/droit-digital/comment-prevenir-les-derives-des-chatbots
  7. Article 85 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
  8. https://www.cnil.fr/fr/reglement-europeen-protection-donnees
  9. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0206
  10. https://www.cnil.fr/fr/intelligence-artificielle-lavis-de-la-cnil-et-de-ses-homologues-sur-le-futur-reglement-europeen
  11. https://france.devoteam.com/paroles-dexperts/reglementation-de-lintelligence-artificielle-en-europe-vers-un-rgpd-de-lia/#:~:text=Le%2021%20avril%202021%2C%20la,%2C%20éthique%2C%20durable%20et%20inclusive.

Par Newsletter

PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)

L’évolution du paysage des menaces de piratage informatique a conduit la Commission à effectuer une révision de la directive « sécurité des réseaux et des systèmes d’information ».

Initié en juillet 2020, la révision de la directive « sécurité des réseaux et des systèmes d’information » a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Adopté par le Parlement européen le 10 novembre 2022, chaque État membre de l’Union européenne dispose désormais d’un délai de 21 mois afin de transposer en droit national les différentes exigences réglementaires. La directive devrait donc entrer en vigueur en France au deuxième semestre 2024, au plus tard.

Les changements opérés dans la stratégie des cyberattaquants nécessitent de moderniser la directive. Les secteurs touchés par les cyberattaques sont de plus en plus nombreux et les conséquences désastreuses. La révision de la directive SRI a permis de rafraîchir la liste des secteurs qui devront s’y conformer afin de faire preuve de résilience face aux différentes attaques dont ils sont les cibles.
La mise à jour de la directive semble vouloir « prendre le mal à la racine » en s’adaptant aux nouvelles pratiques et méthodes des attaquants.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

En outre, la directive promet de déployer une nouvelle stratégie de sensibilisation afin de lutter contre l’illectronisme des citoyens qui constituent le noyau des activités économiques.

Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière. Cette coopération devrait permettre d’accroître les échanges et donc de diffuser des informations relatives aux nouvelles pratiques des attaquants afin d’anticiper leur survenance. Elle devrait également permettre de communiquer les connaissances acquises par les différents États membres afin d’assurer une meilleure résilience lors de la survenance de cyberattaques.

La révision de la directive SRI n’est pas la seule à apporter de nouvelles obligations en la matière. D’autres domaines, tout aussi importants, mais surtout en lien avec l’ensemble de cette réglementation font également l’objet d’un encadrement plus strict. L’utilisation des objets connectés nécessite dans le même temps d’être réglementée pour rendre effective la stratégie de la directive. Des domaines tels que le secteur de la finance nécessitent aussi d’accroître leur sécurité afin de renforcer les besoins en confiance.

La numérisation de la société nécessite aujourd’hui un travail constant afin d’adapter le cadre des obligations et d’assurer un niveau correct de sécurité. L’élargissement de la réglementation devrait permettre de répondre à ces nouvelles menaces (I). Le déploiement d’une nouvelle stratégie non seulement en matière de sensibilisation, mais aussi de coopération devrait d’accroître la réactivité et l’efficacité des États membres dans la lutte contre la cybercriminalité (II).

I. La (nécessaire) modernisation du cadre juridique de la directive SRI

L’élargissement du cadre juridique de la directive à l’occasion de sa révision témoigne de la volonté de renforcer les obligations de sécurité pour tous les étages de l’économie qui se numérisent (A). La Commission a également mis à jour certaines définitions et a restructuré les exigences pour les opérateurs de services essentiels (B).

A. L’extension du champ d’application de la directive à de nouveaux secteurs

La transformation numérique s’étend de plus en plus à tous les secteurs de l’économie. En procédant à la dématérialisation de nos échanges, des processus de travail, et en étendant les usages à tous les étages, en passant de l’Administration, aux déclarations fiscales en ligne, à la dématérialisation des dossiers patients, et bientôt des factures électroniques pour les entreprises, un besoin urgent de renforcer le niveau général en matière de cybersécurité s’est fait ressentir.

Force est de constater que les cyberattaques touchent tous les secteurs de notre économie. La protection du secret des affaires, du secret industriel, des inventions, mais également les données des citoyens deviennent une priorité pour les États membres. Nombreuses sont les conséquences politiques, sociales, économiques liées à la protection des réseaux et des systèmes d’information. La nécessité de renforcer la confiance est d’autant plus accrue face à ses nouveaux enjeux.

  • L’extension du champ d’application de la directive à de nouveaux secteurs d’activités

La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de revoir à la hausse la liste des secteurs et des activités soumis à des obligations. (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR)

La première version de la directive SRI était applicable à sept secteurs. Étaient et sont toujours concernés les secteurs de la santé, de l’énergie, bancaire et aux infrastructures de marchés financiers, aux fournisseurs de service, aux transports, aux fournisseurs d’eau et aux infrastructures numériques qui fournissent trois types de services numériques (les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage).
Sa nouvelle version englobe à présent les secteurs qui opèrent dans le domaine spatial, les services postaux, les producteurs de certains produits, de la nourriture, des administrations publiques, des services de communication, des eaux usées et de la gestion des déchets.

Au regard de l’actualité en Europe, cet élargissement semble le bienvenu. Les cyberattaques ont des objectifs divers et variés. Cependant, certaines d’entre elles font peser des menaces sans précédent qui vont jusqu’à remettre en cause la sécurité nationale. Il n’est pas sans rappeler que le 16 août 2022, l’opérateur nucléaire ukrainien, Energoatom, a été victime d’une cyberattaque russe « sans précédent » contre son site.

En outre, la directive s’appliquera sans distinction aux entités qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. Cette mesure semble logique pour rendre effective la stratégie déployée et coïncide avec les notions développées par le Règlement à la protection des données (RGPD).

Finalement, la directive aura vocation à s’appliquer à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. A l’échelle nationale, cela représente environ 600 types d’entités différentes qui seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

  • L’application facultative à certaines entités

La révision de la directive permet d’imposer des obligations de sécurité à une liste de secteurs clairement établie tandis que pour certains d’entre eux, une option est laissée aux États membres.

Ainsi l’article 2 de la directive dispose que les États membres peuvent prévoir que le périmètre de la directive s’applique « aux entités de l’administration publique au niveau local […] » Autrement dit, il appartient à chaque État membre d’apprécier la nécessité d’élargir l’application de la directive à ses collectivités territoriales.

En France, le rapport réalisé par l’ANSSI intitulé « Panorama de la cybermenace 2022 » a permis de constater « une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents. » (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf)

Ce rapport révèle également que les collectivités locales constituent la deuxième catégorie de victime la plus affectée par des attaques par rançongiciel derrière les TPE, PME et ETI. Elles représentent ainsi 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI en 2022.

  • L’exclusion des entités dont l’activité concerne la sécurité nationale

Elle exclut cependant de son champ d’application les entités de « l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. »

Cette directive permet d’adopter des solutions afin d’améliorer la cyber résilience et de réagir plus efficacement aux cyberattaques, en particulier celles ciblant des activités essentielles pour l’économie et la société, tout en respectant les compétences des États membres, y compris la responsabilité qui est la leur en matière de sécurité nationale.

La Commission se refuse à s’immiscer dans les affaires internes des États membres et respecte ainsi le principe de souveraineté de chacun.

B. La restructuration des opérateurs de services essentiels

La nouvelle directive a pour objectif de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

Les États membres ne seront plus responsables de la détermination des entités considérées comme opérateurs essentiels. Cette notion « d’opérateur de services essentiels », utilisée dans la précédente directive, disparaît donc.

Le périmètre de ces opérateurs régulés sera divisé en deux typologies d’acteurs prévus à l’article 3 de la directive. D’une part, les entités essentielles (EE) et d’autres part, les entités importantes (EI), dont la différenciation se fera par la criticité des secteurs associés. Elle comprend désormais toutes les entités de taille moyenne et grande dont les activités entrent dans le champ de la directive.

Dès lors, sont automatiquement considérées comme des entités « essentielles » ou « importantes » les entités qui emploient plus de 250 personnes et ont un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros. Les entités essentielles et importantes sont confrontées aux mêmes obligations, mais celles qui relèvent de la deuxième catégorie sont soumises à un régime d’application plus léger.

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. »

Les obligations se voient renforcées, en effet, il ne suffit pas d’adopter des mesures techniques, elles doivent également être opérationnelles et organisationnelles.

Cette stratégie devra également prendre en compte les sous-traitants, alors qu’ils représentent encore le maillon le plus faible dans la chaîne de valeur, notamment en raison des attaques par rebond engagées par les cyberattaquants afin de remonter vers un prestataire plus important.

Prévu par l’article 20 de la directive, les États membres et leurs autorités nationales compétentes devront s’assurer de la mise en œuvre de cette stratégie. Elle permet d’une part d’éveiller les entités visées par la directive à l’importance de la mise en œuvre de mesures appropriées pour garantir la sécurité de leurs réseaux et de leurs systèmes d’information. D’autre part, elle tend à responsabiliser la direction des entités concernées par la directive qui pourra voir sa responsabilité engagée en cas de non-conformité.

Enfin, conformément à l’article 3. 3) de la directive, les États membres devront établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres devront dresser cette liste au plus tard pour le 17 avril 2025 et procéder à sa mise à jour régulièrement, puis au moins tous les deux ans par la suite. Le contenu de cette liste est fixé par son article 3.4)

La directive prévoit également que les États membres devraient pouvoir décider que les entités identifiées comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Il est également précisé que les États membres pourront mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.

Mentionnée à l’article 3.5), les États membres se voient imposer une obligation de communication à la Commission des informations relatives aux entités essentielles et importantes. La communication de ces informations permettra un suivi en temps réel de la situation au niveau européen ainsi qu’une meilleure coordination en vue d’adopter une stratégie commune.

La révision de la directive SRI a permis d’étendre son champ d’application afin de renforcer les besoins actuels en cybersécurité et en résilience. Il s’agit d’une simple mise à jour qui, dans le même temps, promet de favoriser une meilleure coopération à l’échelle européenne.

II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité

La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de prendre des mesures afin remédier à la fragmentation du marché intérieur. Pour ce faire, elle accroît les exigences et les obligations envers les États membres notamment en matière de sensibilisation. Elle prévoit également la désignation d’autorités compétentes afin d’organiser la coopération à différentes échelles (A).
Enfin, la Commission complète la réglementation en la matière en adoptant de nouveaux règlements qui ciblent des domaines annexes (B).

A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)

La cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

L’analyse d’impact menée par la Commission a permis de constater des disparités dans l’application des exigences en la matière. Face au faible niveau de cybersécurité des entreprises établies dans l’Union et au degré de résilience variable en fonction des États membres et des secteurs concernés, une prise de conscience de la situation et l’adoption d’une réponse conjointe à la crise semblaient nécessaires.

Si les objectifs initiaux de la directive SRI lors de son adoption en 2016 étaient de « créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société ».
La révision de la directive « sécurité des réseaux et des systèmes d’information » reprend ces objectifs tout en y ajoutant une forte volonté de coopération et d’harmonisation au regard des divergences d’application entre les États membres afin de pallier la fragmentation du marché intérieur.

  •           La sensibilisation comme pilier de la stratégie déployée par la directive

Précisé à l’article 7 de la directive, « Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. »

Cet article instaure un certain nombre de points dans lesquels chaque état devra œuvrer. Parmi ces différents points, il est possible de retenir que chacun devra élaborer « un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité. »

Comme le soulignait déjà Eric Hazane en 2016, « si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »

La cybersécurité doit s’immiscer dans les plus petites structures et auprès des citoyens afin de rendre effective la stratégie européenne et pour cela, la sensibilisation devra en être un des piliers. L’erreur humaine reste en effet une des principales sources des cyber incidents qui surviennent en entreprise (téléchargement d’une pièce jointe infectée par un malware).

En outre, l’usage du numérique ne concerne pas que les entreprises. En effet, les jeunes générations de plus en plus connectées ne sont pas toujours informées des risques. Cette stratégie devra également être déployée auprès des plus jeunes.

Pour endiguer ce problème, l’état français déploie une nouvelle « stratégie numérique pour l’éducation 2023-2027 » qui repose sur une série de mesures pour renforcer les compétences numériques des élèves.

  • La désignation d’autorités compétentes en vue de favoriser la coopération

Afin d’établir une stratégie commune plus réactive et plus efficace, les États membres devront communiquer entre eux. Pour ce faire, chaque État membre devra en vertu de l’article 8, désigner quelle(s) autorité(s) compétentes seront chargées d’une part de la cybersécurité et, d’autre part, de la gestion des incidents de cybersécurité majeurs et des crises. Cette coopération sera assurée par la collaboration entre trois autorités.

On retrouve aux articles 10 et 11, la mise en place des « centres de réponse aux incidents de sécurité informatique ». Il s’agit d’un centre établi par (et dans) chaque État membre, conformément la directive SRI de 2016, chargée de répondre aux incidents de sécurité.

Conformément à l’article 23 de la directive, les incidents « importants » devront être signalés aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou à leur autorité compétente. Pour éviter que les définitions et les seuils ne varient d’un État membre à l’autre, la Commission européenne a défini les cas où les incidents sont jugés importants.

Est également inclus, le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités nationales et coordonne leur action.

Enfin, la directive intègre à son article 16 le réseau « CyCLONe ». Créé en 2020, ce réseau a pour objectif de contribuer à la mise en œuvre d’un plan d’action en cas de cyberattaque ou de crise transfrontalière, et de permettre aux entreprises de mieux partager l’information relative aux menaces. Il complète les structures de cybersécurité existantes au niveau de l’Union européenne en reliant les instances de coopération des niveaux technique (CSIRT Network) et politique (IPCR). (https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/)

La révision de la directive « sécurité des réseaux et des systèmes d’information » initie ainsi la collaboration entre ces trois intervenants et permet d’envisager une coopération transfrontalière accrue.

B. L’intervention de la réglementation dans des domaines annexes

Comme vu précédemment, la révision de la directive SRI a permis de moderniser son cadre juridique et de prévoir une coopération transfrontalière à différentes échelles. Afin de rendre effectif le déploiement de ces efforts, elle nécessite d’être accompagnée de mesures complémentaires qui touchent des domaines annexes.

  • La régulation dès la conception des objets connectés

À peine adoptée, la directive NIS 2 doit être complétée par un nouveau texte relatif à la cybersécurité des objets connectés. Le « Cyber Resilience Act », au stade de la proposition législative, doit renforcer la sécurité informatique des produits numériques en s’attaquant notamment au problème de la vulnérabilité des objets connectés. La Commission européenne souhaite apporter un socle commun de règles applicables qui vise à réguler la fabrication et les services liés à ces technologies. (https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act)

À travers l’adoption de cette loi, la Commission entend agir plus fermement sur la sécurité des produits connectés en introduisant la cybersécurité dès la conception et prémunir les consommateurs contre la multiplication des défaillances.

Pour faire respecter ces futures obligations, la Commission européenne table sur des sanctions administratives pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 2,5% du chiffre d’affaires annuel mondial pour le régime de pénalités le plus élevé.

  • Améliorer la résilience opérationnelle informatique des acteurs des services financiers

La nouvelle directive a été alignée sur la législation sectorielle, en particulier sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) à des fins de clarté juridique et de cohérence entre la directive SRI 2 et ces actes.

Le règlement DORA adopté par la Commission européenne devrait entrer en vigueur le 17 janvier 2025 au plus tard. (https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595)

Son principal objectif est d’harmoniser les exigences en matière de risques liés aux technologies de l’information et de la communication à travers l’Europe. Ce règlement permet à l’Union d’exiger des garanties de la part des organisations en les invitant à se plier au respect d’un cadre normatif pour résister notamment aux incidences cyber qui deviennent de plus en plus critiques.

Dans un contexte d’exposition grandissante des services numériques de la banque, il est possible de distinguer trois catégories de fraude. La première concerne la fraude externe autour des moyens de paiements qui vise principalement la carte bancaire et les chèques (vol des moyens de paiements, vol des informations de la carte bancaire pour effectuer des paiements à distance, système de cavalerie). La seconde catégorie va se baser sur l’usurpation d’identité du client.

Les attaquants vont trouver des techniques (phishing) afin de récupérer les informations du client dans l’objectif de prendre la main sur leur compte en ligne et in fine d’effectuer des sorties de fonds vers des comptes de passages. La troisième catégorie correspond aux attaques massives. Cela consiste à attaquer les systèmes d’information des banques. Ces cyberattaques ont pour objectif de déstabiliser, de saboter, de voler des données afin de les revendre sur le Darknet.

Ce sont des risques opérationnels pour l’entreprise qui nécessitent un cadre de résilience. Le règlement DORA devrait donc permettre de préserver la stabilité et l’intégrité des marchés financiers, mais aussi d’assurer un niveau élevé de protection des investisseurs et des consommateurs.

Pour lire une version plus complète de cet article sur la révision de la directive européenne sur la protection des réseaux, cliquez

Sources :

Par internet-et-droit

FORCLUSION PAR TOLERANCE ET DECHEANCE POUR TROMPERIE DU FAIT DU TITULAIRE

Comment un juge peut-il décider d’une forclusion de marque et de sa déchéance ?

Après que le titulaire de la marque Les Galettes de Belle Isle a assigné en contrefaçon le titulaire des marques Petits Sablés de Belle-Île et Le Petit Bellilois, il est reconnu forclos en ce que la relation concurrentielle entre les parties laisse présupposer de sa connaissance des marques postérieures.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Que l’action en nullité soit engagée par la voie administrative ou judiciaire, le titulaire d’un droit antérieur qui a toléré pendant une période de cinq années consécutives l’usage d’une marque postérieure enregistrée en connaissance de cet usage n’est plus recevable à demander la nullité de la marque postérieure, sauf mauvaise foi du déposant (CPI, art. L. 716-2-8).

Le point de départ du délai de cinq ans est la connaissance qu’a pu avoir le titulaire du droit antérieur de l’usage de la marque enregistrée (cf. CA Paris, 13 mars 2002, Ann. propr. ind. 2003, p. 271). La bonne foi étant toujours présumée, c’est à celui qui allègue la mauvaise foi d’en apporter la preuve. Il a par ailleurs été jugé que seule une citation ou un commandement était de nature à interrompre ce délai de forclusion, à l’exclusion d’une simple mise en demeure par lettre recommandée (cf. CA Paris, 7 mars 2001, Ann. propr. ind. 2001, p. 223).

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

L’article L. 714-5 du code de la propriété intellectuelle, ainsi que l’article 58, § 1, a), du règlement (UE) no 2017/1001 du 14 juin 2017, subordonnent la déchéance à un défaut d’usage pendant une période ininterrompue de cinq ans. La sanction de la déchéance est encourue dès que les cinq années d’inexploitation se sont écoulées.

Le point de départ de cette période est fixé au plus tôt à la date de l’enregistrement de la marque (CPI, art. L. 714-5). Si la marque n’a jamais été exploitée, le délai commence donc à courir lorsque la procédure d’enregistrement est terminée (cf. S. Benoliel-Claux et N. Dreyfus, La computation des délais en matière de déchéance de marque non exploitée se précise, D. 2002, p. 2732 ; sur la déchéance d’une marque communautaire).

Si la marque a fait l’objet d’une exploitation après son enregistrement, le délai commence à courir à compter du dernier acte d’exploitation.

Si la demande en déchéance est formée à titre reconventionnel, en matière de marque de l’Union européenne, la date pertinente à retenir pour déterminer si la période ininterrompue de cinq ans pendant laquelle l’absence d’usage du signe doit être observée est la date d’introduction de la demande en déchéance (CJUE, 17 déc. 2020, aff. C-607/19, Husqvarna AB c/ Lidl Digital International).

I. Appréciation de la connaissance des faits ouvrant le délai de forclusion par tolérance

L’article L. 716-5 du code de la propriété intellectuelle, dans sa version applicable au cas d’espèce, dispose en son quatrième alinéa qu’« est irrecevable toute action en contrefaçon d’une  marque postérieure enregistrée dont l’usage a été toléré pendant cinq ans, à moins que son dépôt n’ait été effectué de mauvaise foi. Toutefois, l’irrecevabilité est limitée aux seuls produits et services pour lesquels l’usage a été toléré ». La jurisprudence considère que la connaissance de la marque seconde, nécessaire à la reconnaissance de la forclusion par tolérance, laquelle entraîne l’irrecevabilité de l’action en contrefaçon, s’apprécie de façon casuistique, au regard des faits d’espèce (Paris, 17 nov. 2017, n° 16/20736).

La société Biscuiterie du Guer reproche à l’arrêt d’appel d’avoir rejeté son action en contrefaçon après que la société Kerfood ait invoqué la forclusion par tolérance à son égard. Si la marque Petits Sablés de Belle-Île a été déposée le 3 mars 2004, elle soutient qu’elle n’a découvert son existence que le 21 juin 2007.

Concernant la marque Le Petit Bellilois déposée le 29 novembre 2004, elle précise qu’elle ne connaît son existence que depuis le 4 octobre 2007. Elle en déduit qu’à la date de l’assignation, le 21 janvier 2011, il ne pouvait lui être invoqué de forclusion par tolérance.

Toutefois, il a été relevé que le gérant de la société Biscuiterie du Guer avait envoyé un courrier à la société La Bien Nommée (désormais Kerfood), en date du 30 septembre 1998, concernant le dépôt par cette dernière de la marque Les Biscuits Bellilois. La société Biscuiterie du Guer soutenait en effet qu’il pouvait exister un risque de confusion entre la marque Bellilois qu’elle prétendait détenir (même à défaut d’enregistrement en ce sens) et la marque Les Biscuits Bellilois de la société Kerfood.

Après transaction, la société Biscuiterie du Guer avait accepté de ne plus utiliser le terme Bellilois. De plus, le 30 juillet 2008, la société La Bien Nommée a porté plainte contre la société Biscuiterie du Guer pour pratiques commerciales trompeuses.

La Cour de cassation confirme la cour d’appel de Rennes en ce qu’elle déduit des faits d’espèce une connaissance réciproque des parties depuis le 30 septembre 1998 et une vigilance particulière du gérant de la société Biscuiterie du Guer à l’égard de l’activité de la société concurrente, dont le succès commercial est indéniable.

Elle en déduit donc que la forclusion par tolérance est opposable à la société Biscuiterie du Guer et que son action en contrefaçon est irrecevable.

Cette appréciation du point de départ du délai de forclusion, laquelle repose sur un faisceau d’indices, n’est pas sans rappeler un autre litige. Dans l’affaire opposant la société L’Oréal à la société Cosmetica Cabinas, les juges ont déduit des campagnes publicitaires réalisées dans les mêmes magazines et sur les mêmes salons professionnels, que la société L’Oréal avait nécessairement connaissance, depuis plus de cinq ans au jour de l’assignation en contrefaçon, de l’exploitation de la marque AINHOA par la société Cosmetica Cabinas.

La Cour a reconnu la connaissance de cet usage par la société L’Oréal « avec un degré de certitude suffisant » et a confirmé la forclusion par tolérance.

Le délai de forclusion par tolérance ne court donc pas uniquement à compter de la connaissance directe de la marque seconde. Le délai de forclusion par tolérance court aussi à compter de l’établissement de la surveillance de l’activité d’un concurrent, laquelle laisse présupposer de la connaissance des marques déposées ou exploitées depuis lors.

II. Déchéance de la marque du fait du titulaire proposant des conditionnements trompeurs

La société Kerfood forme également une demande reconventionnelle en nullité de la marque Les Galettes de Belle Isle. Elle invoque les dispositions de l’article L. 711-3, c), du code de la propriété intellectuelle, selon lequel ne peut être adoptée comme marque un signe de nature à tromper le public, notamment sur la nature, la qualité ou la provenance géographique du produit ou du service.

Selon elle, la marque Les Galettes de Belle Isle serait de nature à tromper le public sur l’origine géographique des produits commercialisés, en ce qu’elle renverrait à la célèbre île de Belle-Île-en-Mer, laissant croire aux consommateurs que les produits en cause y seraient fabriqués.

Les juges écartent cette demande au motif que c’est le signe lui-même qui doit être trompeur au regard des produits désignés, ce qui n’est pas le cas en l’espèce, en ce qu’il désigne bien des galettes en faisant référence à la localité de Belle Isle, où le titulaire exerce son activité depuis des décennies.

À titre subsidiaire, la société Kerfood soutient que la marque Les Galettes de Belle Isle est devenue trompeuse du fait de son titulaire et de ses conditions d’exploitation. Elle invoque ainsi les dispositions de l’article L. 714-6, b), du code, qui dispose qu’encourt la déchéance de ses droits le propriétaire d’une marque, devenue de son fait, propre à induire en erreur, notamment sur la nature, la qualité ou la provenance du produit ou du service. La Cour de cassation confirme l’arrêt d’appel en ce qu’il reconnaît que la marque Les Galettes de Belle Isle déposée le 18 mai 1995 apparaît de nature à induire en erreur le public du fait des modifications intervenues dans les conditions de son exploitation.

Les juges relèvent que le gérant de la société Biscuiterie du Guer avait volontairement changé la dénomination sociale au profit de Les Galettes de Belle Isle, afin de permettre aux produits commercialisés de bénéficier de la notoriété de Belle-Île-en-Mer. En ce sens, il a multiplié les références à cette localité sur les boîtes en fer dans lesquelles sont commercialisées ses galettes.

Des photographies des lieux les plus connus de l’île accompagnées d’un panneau touristique mentionnant clairement Belle-Île-en-Mer caractérisaient ainsi les emballages, sans qu’aucune mention évidente du lieu de fabrication des produits apparaisse, sauf à retourner la boîte.

Ces circonstances laissaient croire aux consommateurs que les produits commercialisés provenaient de Belle-Île-en-Mer, dans le Morbihan, alors qu’ils étaient fabriqués à presque 200 km, à Belle-Isle-en-Terre, dans les Côtes-d’Armor. C’est ainsi que les juges déduisent que la marque Les Galettes de Belle Isle est devenue propre à induire en erreur, sur la provenance géographique des produits commercialisés. Elle prononce donc sa déchéance.

III. Concurrence déloyale résultant des conditionnements trompeurs

En première instance, la société Kerfood a obtenu réparation du préjudice moral résultant des pratiques commerciales trompeuses suscitées, en ce qu’elles ont porté atteinte à ses efforts tendant à proposer des produits naturels et de qualité.

Les juges retiennent ainsi que la société Kerfood, membre de l’Association Produit fait en Bretagne, gage de qualité des matières premières utilisées et des produits commercialisés, a souffert des actes commis par la société Biscuiterie du Guer, dont l’œuvre est de moins bonne qualité.

Sur le préjudice commercial, étant établi que la société Biscuiterie du Guer commercialise ses produits dans plusieurs boutiques de Belle-Île-en-Mer où la tromperie du consommateur est encore plus aisée, la Cour retient que si les chiffres comptables fournis ne permettent pas d’établir une baisse du chiffre d’affaires réalisé par la société Kerfood, cette activité freinait de façon évidente son développement commercial. En caractérisant ce préjudice commercial, la Biscuiterie du Guer est donc reconnue responsable d’actes de concurrence déloyale résultant de conditionnements trompeurs.

Pour lire une version plus adaptée aux mobiles sur la forclusion et déchéance de marque, cliquez

Sources :

Pierre Favilli, Juriste Marques : Marques en Bretagne : forclusion par tolérance et déchéance pour tromperie du fait du titulaire
Cour de cassation, civile, Chambre civile 3, 9 février 2017, 15-26.822 15-28.260, Inédit – Légifrance (legifrance.gouv.fr)
Cour de Cassation, Chambre commerciale, du 10 mai 2006, 04-13.424, Inédit – Légifrance (legifrance.gouv.fr)
Cour de cassation, civile, Chambre commerciale, 9 novembre 2010, 09-13.144, Inédit, rectifié par un arrêt du 7 juin 2011 – Légifrance (legifrance.gouv.fr)
Cour de cassation, civile, Chambre commerciale, 5 juillet 2016, 14-18.540, Inédit – Légifrance (legifrance.gouv.fr)

Par Newsletter

«< 30 31 32 33 34 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2026
Powered by WordPressThemify WordPress Themes