Murielle Cahen Cabinet d’avocats Paris

11 Mai 2023

L’utilisation d’une image libre de droits ne dispense pas du respect du droit moral de l’auteur

La décision rendue par la cour d’appel de Rennes permet de rappeler qu’un écrit mentionnant qu’une photographie était libre de droits n’affranchit pas l’utilisateur du respect des prérogatives morales du photographe.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Les faits présentés sont les suivants : un individu prétend exercer une activité de journaliste-reporter-photographe, alors qu’il ne dispose pas de carte professionnelle. Il est également le directeur et fondateur d’un journal depuis 1988. La municipalité l’avait sollicité en 2016 afin de réaliser un reportage sur la ville. Un devis de 2 500 € avait été établi le 30 juin 2016 à la suite duquel plusieurs clichés avaient été pris. La facture émise le 7 octobre 2016 et réglée, faisait état de la mention suivante : « les photographies sont libres de droits ». Au changement de municipalité, le photographe a perdu ses accréditations pour les évènements organisés par la commune. Pourtant, sur le site internet de la municipalité était publiée l’une de ses photographies, recadrée et utilisée sans son accord.

Le photographe assigne donc la municipalité en contrefaçon de droit d’auteur et en paiement de diverses sommes ; des demandes pour lesquelles les juges du fond le déboutent finalement. L’appel interjeté vise à faire reconnaître que la commune est coupable d’actes de contrefaçon et responsable du préjudice subi qui découle de l’atteinte aux droits moraux et patrimoniaux, au non-respect de l’œuvre.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

I. L’appréciation de l’originalité de la photographie

A. Source de l’exigence

L’exigence d’originalité n’est pas formulée de manière expresse par le législateur français, sauf pour les titres des œuvres (CPI, art. L. 112-4), où elle est d’ailleurs d’application délicate. Mais la jurisprudence s’y réfère constamment depuis des décennies.

Notion d’originalité – d’abord, l’appréciation de l’originalité de la photographie se situe à L’article L. 112-2 du code de la propriété intellectuelle qui dresse une liste non exhaustive des œuvres dites de l’esprit bénéficiant de la protection au titre du droit d’auteur. Figure au neuvième alinéa de cet article une mention relative aux œuvres photographiques. En ce sens, les photographies sont considérées par principe comme des œuvres de l’esprit, ce qui octroie au photographe un droit d’auteur sur ces dernières. Mais la protection de la photographie en tant que telle relève en réalité d’un contentieux particulièrement dense.

L’originalité s’entend traditionnellement en droit français de l’empreinte de la personnalité de l’auteur. Elle s’oppose ainsi à la notion objective de nouveauté, qui renvoie à l’absence d’antériorité. C’est sur la base de cette distinction que la Cour de cassation a censuré, au visa des articles L. 112-1 et L. 112-2 du Code de la propriété intellectuelle , l’arrêt qui avait déduit l’originalité d’un ouvrage sur la Corse de la conjonction de caractéristiques éditoriales tenant notamment au format adopté, à la couleur et à la qualité du papier choisi et à l’apposition de simples légendes, caractéristiques qui se trouvaient pour la première fois réunies, en lui reprochant d’avoir ainsi fondé sa décision sur l’absence d’antériorité de toutes pièces et le caractère nouveau des choix opérés, sans caractériser en quoi ces choix, pour arbitraires qu’ils soient, portaient l’empreinte de la personnalité de ses auteurs.

Une approche plus objective a toutefois été retenue par la Cour de justice dans l’affaire Infopaq où la notion d’originalité a été érigée en notion autonome de droit de l’Union et l’œuvre originale définie comme la « création intellectuelle propre à (son) auteur » (CJCE, 16 juill. 2009, aff. C-5/08, pt 35).

Œuvres techniques – L’approche subjective de l’originalité n’est pas très facile à concilier avec l’accès à la protection des œuvres de caractère technique. La difficulté a surtout été relevée pour les logiciels. La loi n° 85-660 du 3 juillet 1985 les a ajoutés à la liste des œuvres protégeables, mais s’est bien gardée de préciser en quoi peut consister cette originalité. La directive 91/250/CEE du 14 mai 1991 (« consolidée » par la directive 2009/24/CE du 23 avril 2009), transposée en droit français par la loi n° 94-361 du 10 mai 1994, ne jette aucune lumière dans ce débat en définissant le programme original comme celui qui est « la création intellectuelle propre à son auteur » (art. 1.3).

Œuvres premières et œuvres dérivées – L’œuvre peut répondre à la condition d’originalité tout en empruntant à une œuvre préexistante des éléments donnant prise au droit d’auteur. L’article L. 112-3 du Code de la propriété intellectuelle admet ainsi au bénéfice de la protection les « traductions, adaptations, transformations ou arrangements » (V. pour une traduction, relevant « l’existence d’un dialogue intime » avec l’œuvre première, CA Paris, pôle 5-1, 7 juin 2016, n° 15/03475 : Propr. intell. 2016, p. 428, 2e esp., obs. J.-M. Bruguière. – Mais V. pour une traduction non originale, témoignant seulement du savoir-faire et de l’érudition du traducteur, CA Paris, pôle 5-1, 29 juin 2021, n° 18/21198 : LEPI janv. 2022, p. 2, obs. A. Zollinger), de même que les « anthologies et recueils d’œuvres diverses », « le caractère relatif de l’originalité n’est pas exclusif de l’empreinte de la personnalité »), ce qui, bien sûr, n’empêche pas l’œuvre seconde d’être contrefaisante si son auteur n’a pas obtenu l’autorisation de l’auteur de l’œuvre première.

Pour la même raison, l’emprunt à des éléments du domaine public n’empêche pas l’œuvre seconde d’être originale. On en déduit par exemple, dans le domaine musical, que l’œuvre peut être inspirée du folklore (V. pour des improvisations du guitariste Manitas de Plata : Cass. 1re civ., 1er juill. 1970) et que peuvent être protégées des partitions permettant de faire revivre, à partir de sources lacunaires ou altérées, les œuvres du « maître de musique » français Michel-Richard de Lalande.

Copies et restaurations d’œuvres graphiques ou plastiques – La Cour de cassation n’a pas hésité à ériger en principe que : « les copies d’œuvres d’art plastique jouissent de la protection instituée par le Code de la propriété intellectuelle, dès lors, qu’exécutées de la main même de leur auteur, elles portent l’empreinte de sa personnalité ». . On rapprochera cette jurisprudence de celle admettant la protection par le droit d’auteur de la « reconstitution » de sculptures de la façade du château de Versailles, de la restauration du « grand parterre central de broderies » du parc de Vaux-le-Vicomte (CA Paris, 4e ch., 11 févr. 2004, n° 2002/10230), et de la « restructuration » dans le style classique de l’orgue de chœur de la cathédrale de Strasbourg construit en 1878 dans le style romantique (CE, 14 juin 1999, n° 181023).

B. Preuve de l’originalité

L’originalité ne pouvant s’attacher à un genre, elle doit être constatée cas par cas, décidant que l’obligation d’apprécier l’originalité de chaque photographie, objet du litige, n’interdit pas de « les regrouper, en fonction de leurs caractéristiques », admettant que la reconnaissance de la contrefaçon d’une masse d’œuvres n’oblige pas le juge pénal à les identifier précisément, ni même à caractériser leur originalité individuellement.

Le juge ne saurait exclure l’originalité d’une œuvre, qui doit être appréciée dans son ensemble, au seul motif que les éléments la constituant sont banals. C’est normalement à celui qui se prévaut du monopole d’auteur de démontrer que l’œuvre remplit les conditions pour être investie de la protection légale, ce qui suppose qu’il la verse aux débats.

Il faut bien voir cependant que pour la plupart des œuvres, l’originalité coule de source et ne donne lieu à aucune contestation, de sorte que tout se passe en pratique comme si l’œuvre bénéficiait d’une présomption d’originalité. Ainsi, l’originalité des dessins, peintures, sculptures, gravures, lithographies et illustrations visés par l’article L. 112-2 du Code de la propriété intellectuelle se déduit nécessairement de la paternité et elle est rarement discutée. C’est seulement dans les cas limites où la nature de l’œuvre fait douter de la possibilité de la protection, que le débat sur l’originalité revient au premier plan et que les règles de droit commun sur la charge de la preuve reçoivent application.

Tel est le cas pour les logiciels, dont l’originalité est, dans la pratique, établie à partir de rapports d’expertise, pour les œuvres des arts appliqués. Pour les photographies dites « de plateau », qui servent notamment à fournir des repères lors du montage d’un film. Toutefois, si l’assignation doit décrire et identifier l’œuvre revendiquée, elle n’a pas à établir son originalité.

II. Prérogatives accordées aux auteurs

A. Droit moral

Article L121-1 CPI L’auteur jouit du droit au respect de son nom, de sa qualité et de son oeuvre. Ce droit est attaché à sa personne. Il est perpétuel, inaliénable et imprescriptible. Il est transmissible à cause de mort aux héritiers de l’auteur.

Le droit moral est dit extra-patrimonial. Il est attaché à la personne du titulaire qui, de son vivant, en a le seul exercice. En outre, il est perpétuel et inaliénable. On ne peut ni le céder, ni y renoncer. Le droit moral est également imprescriptible. Cela signifie qu’il ne s’acquiert ni ne se perd par l’écoulement du temps.

Le droit moral se définit comme le lien juridiquement protégé, unissant le créateur à son œuvre et lui conférant des prérogatives souveraines à l’égard des usagers, l’œuvre fut- elle entrée dans le circuit économique. Le code de la propriété intellectuelle décline le droit moral en quatre prérogatives : le droit de divulgation, le droit de repentir, le droit à la paternité, le droit au respect de l’œuvre. Le code de la propriété intellectuelle précise le droit moral à l’article L111-1 dans lequel il est précisé qu’outre la partie du droit du créateur et les droits patrimoniaux « comportent des attributs d’ordre intellectuel et moral »

1) Droit de divulgation

Le droit de divulgation correspond à la phase de mise en contact de l’œuvre avec le public, celle-ci ne peut être décidée que par l’auteur « seul » sauf cas des œuvres collectives ou œuvre participative dans lesquelles les règles sont différentes. Le droit de divulgation se consomme dès son premier usage. Les conditions et les procédés choisis pour la divulgation sont aux seuls choix de l’auteur, un créancier de l’auteur ne peut pas exercer ce droit de divulgation en lieu et place de l’auteur débiteur, la divulgation de l’œuvre ne peut pas être contrainte par exécution forcée. Ainsi, le droit de divulgation correspond à un droit personnel, tous les actes postérieurs à la divulgation relèveront du droit patrimonial de l’œuvre.

Il est nécessaire lors de la divulgation d’un fait matériel de publication et un critère intentionnel démontrant la volonté de l’auteur de communiquer son œuvre au public, la remise à un tiers n’entraîne pas la divulgation. Ces deux critères sont cumulatifs pour intenter une action en divulgation.

2) Droit de repentir

Le droit de repentir correspond au droit de revenir sur son œuvre, il arrive pour un auteur de regretter une œuvre ou même de la trouvé imparfaite peu de temps après sa divulgation, ce droit de repentir prévu à l’article L121-4 du Code de la propriété intellectuelle , cet article prévoit que l’auteur a un droit de repentir même après la divulgation de son œuvre et non le support de celle-ci. Ce droit porte sur toutes les œuvres à l’exception de celles exclues expressément par certains textes spéciaux tels que pour le logiciel.

Le droit de repentir ne s’applique que dans le cadre contractuel, tel que le contrat de cession ou de licence. Afin de mettre en œuvre le droit de repentir, cela nécessite une indemnisation du cessionnaire par l’auteur les conditions relatives à l’indemnisation son prévu à l’article L121-4 du code la propriété intellectuelle.

3) Le droit à la paternité

Le droit à la paternité est une faculté accordée à l’auteur de revendiquer sa qualité d’auteur et d’exiger la figuration de son nom à côté de l’œuvre. L’auteur de l’œuvre jouit du droit au respect de son nom, de sa qualité et de son œuvre. Ce droit à la paternité de l’auteur est lié à la divulgation de l’œuvre.

4) Le droit au respect de l’œuvre

L’article L121-1 précise que l’auteur jouit du droit au respect de son nom, de sa qualité et de son œuvre. Ce droit est attaché à sa personne. Il est perpétuel, inaliénable et imprescriptible. Il est transmissible à cause de mort aux héritiers de l’auteur. L’exercice peut être conféré à un tiers en vertu de dispositions testamentaires. »

B. Droits patrimoniaux

La composition des droits patrimoniaux.

La nature de ces droits consiste essentiellement en un privilège exclusif reconnu à l’auteur, puis à ses ayants droit, d’une exploitation temporaire de ses oeuvres. Les droits patrimoniaux se composent de quatre attributs :

Tout d’abord le premier attribut est le droit de reproduction. Ce droit consiste dans la fixation matérielle de l’œuvre au public par tous les procédés qui permettent de la communiquer au public de manière indirecte (art. L. 122-3 CPI). Le Code cite notamment : « l’imprimerie, la photographie et tout procédé des arts graphiques et plastiques ainsi que l’enregistrement mécanique cinématographique ou magnétique ». L’autorisation de l’auteur est requise pour chaque mode d’exploitation de l’oeuvre, que la copie soit pérenne ou éphémère. L’usage est dit public lorsque la reproduction est destinée à une autre personne que celle l’ayant réalisée.

Ensuite le second attribut est le droit de représentation. La loi précise que la communication de l’oeuvre au public peut se faire « notamment » de deux façons : soit directement, par la représentation d’un spectacle vivant, la projection publique d’un film ou la diffusion publique d’un disque, par exemple, soit indirectement, en rendant l’oeuvre accessible au public par télédiffusion.

Le troisième attribut des droits patrimoniaux est le droit d’adaptation. Par ce droit, l’auteur autorise ou non l’acquéreur à procéder à une modification de l’œuvre en vue de l’adapter. À titre d’exemple, un logiciel peut s’avérer vétuste passé un délai de trois ans et nécessiter une mise à niveau en rapport avec les besoins de son utilisateur, sans toutefois avoir besoin de le remplacer. Dans le domaine musical ce droit s’appelle le droit de synchronisation mais l’on est ici à la limite du respect du droit moral de l’auteur.

Enfin les droits patrimoniaux sont composés d’un quatrième attribut, il s’agit du droit de suite. Le droit de suite est un droit qui bénéficie exclusivement aux auteurs d’œuvres graphiques ou plastiques. Ces auteurs disposent du droit inaliénable de participer au produit de la vente de leurs œuvres faites aux enchères publiques ou par l’intermédiaire d’un commerçant (art. L. 122-8 CPI).

Les caractères des droits patrimoniaux

Les caractères des droits patrimoniaux sont au nombre de quatre :

D’une part il s’agit de droits universels. Dans tous les pays qui admettent le principe de la propriété littéraire et artistique, des droits pécuniaires sont reconnus aux auteurs. Ce type de droit est consacré au niveau international par les conventions de Berne1 et de Genève2.

D’autre part il s’agit de droits exclusifs. C’est-à-dire que les droits patrimoniaux appartiennent en propre à l’auteur. Lui seul peut fixer les conditions d’exploitation de son oeuvre. Avec cette conséquence, que lui revient directement ou indirectement, le produit de cette exploitation. En revanche, on remarque qu’un des quatre droits pécuniaires ne répond pas à ces règles générales, il s’agit du droit de suite, qui concerne essentiellement les auteurs d’œuvres plastiques.

Ensuite les droits patrimoniaux sont des droits cessibles. Alors que les droits moraux sont inaliénables, les droits patrimoniaux peuvent être librement cédés ou concédés à des tiers, à titre gratuit ou onéreux. Le cessionnaire ou le concessionnaire peuvent indifféremment être des personnes physiques ou morales. Toutefois des limites existent au droit de cession. À l’instar du droit moral, le droit de suite n’est pas cessible. Quant aux droits de représentation et de reproduction, des restrictions ont été adoptées concernant notamment la cession globale d’oeuvres futures.

Enfin en dernier lieu, les droits patrimoniaux sont des droits temporaires. À l’inverse du droit de propriété, qui est perpétuel, l’idée est que le monopole d’exploitation accordé à l’auteur ne doit pas devenir exorbitant par rapport au droit du public d’accéder aux œuvres. Passée une certaine durée, suivant le décès de l’auteur, les œuvres tombent dans le domaine public et deviennent de ce fait libres de droits, c’est-à-dire qu’il n’est alors plus nécessaire d’obtenir d’autorisation, ni de verser une quelconque rémunération. Sauf cas particulier, cette durée est de soixante-dix ans pour les ayants droits à compter du 1er janvier de l’année civile suivant celle du décès de l’auteur.

III. L’atteinte au droit moral de l’auteur

La violation du droit moral de l’auteur (par exemple quelqu’un porte atteinte au droit de divulgation ou de paternité de l’auteur, atteinte au droit au respect de l’oeuvre) ;

La violation de ses droits patrimoniaux (reproduction et/ou représentation intégrale ou partielle de l’oeuvre sans autorisation de l’auteur).

En cas de litige, la victime peut saisir le juge civil par le biais d’une assignation devant le Tribunal de Grande Instance afin d’obtenir entre autres mesures :

l’allocation de dommages et intérêts à l’auteur en réparation du préjudice subi

la cessation de l’exploitation de l’oeuvre contrefaisante

La victime peut également saisir le juge pénal par un dépôt de plainte auprès du Procureur de la République.

Ces infractions donnent lieu à des sanctions pénales (article L. 335-2 CPI : 3 ans d’emprisonnement, 300 000 euros d’amende et, le cas échéant, confiscation des recettes procurées par l’infraction ou des objets contrefaisants).

Dans le cas d’espèce cité ci-dessus, la question était de savoir si le fait d’avoir recadré et publié la photographie sans l’accord de l’auteur était constitutif à la fois d’un acte de contrefaçon et causait un préjudice moral distinct ?

La cour d’appel de Rennes considère que différents éléments illustrent l’originalité de la photographie de laquelle se déduit l’empreinte de la personnalité de son auteur. Elle ordonne que le jugement soit infirmé sur ce point. Elle admet également l’atteinte au droit moral de l’auteur, mais rejette la demande fondée sur l’atteinte au droit patrimonial puisque le devis signé faisait mention du fait que les photographies étaient libres de droits. L’auteur avait donc renoncé à sa rémunération. Enfin, elle considère qu’il n’y a pas de préjudice moral distinct du droit moral de l’auteur. En motivant ainsi sa décision, la cour d’appel de Rennes vient alimenter le contentieux en la matière et procède de façon relativement classique à l’appréciation de l’originalité de la photographie. Elle poursuit en distinguant l’atteinte au droit moral de celle du droit patrimonial, mais rejette l’existence d’un préjudice moral distinct.

Les juges ont ainsi condamné la municipalité à verser à l’auteur la somme de 500 €, en raison du recadrage de l’œuvre, et de l’absence d’apposition du nom du photographe sur le site Internet de la municipalité, et ce sans autorisation de l’auteur.

La mention libre de droit ne peut donc viser, selon la cour, que l’absence de rémunération puisque « la gratuité d’utilisation ne pouvait être confondue avec une utilisation modifiée sans autorisation et sans le nom de son auteur, le droit moral étant incessible ».

Pour lire une version plus complète de cet article sur la protection des images, cliquez

Sources :

Cour d’appel de Rennes, 1re chambre, 17 janvier 2023, n° 20/05121 | Doctrine
Cour de Cassation, Chambre civile 1, du 11 février 1997, 95-13.176, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Cour de Cassation, Chambre civile 1, du 17 février 2004, 01-16.415, Inédit – Légifrance (legifrance.gouv.fr)
Cour de Cassation, Chambre civile 1, du 9 novembre 1993, 91-17.061, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Cour de cassation, civile, Chambre sociale, 24 avril 2013, 10-16.063 10-30.676, Inédit – Légifrance (legifrance.gouv.fr)
Cour de cassation, criminelle, Chambre criminelle, 27 février 2018, 16-86.881, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Cour de cassation, civile, Chambre civile 1, 5 avril 2012, 11-10.463, Publié au bulletin – Légifrance (legifrance.gouv.fr)
Cour de Cassation, Chambre civile 1, du 12 janvier 1994, 91-15.718, Inédit – Légifrance (legifrance.gouv.fr)
http://www.jurizine.net/2005/09/02/11-les-droits-patrimoniaux-de-l-auteur-sur-son-oeuvre

Par Murielle Cahen • Newsletter • • Tags: *auteur, création, droit à l'effacement, oeuvre, photo, protection oeuvre

11 Mai 2023

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

Chaque personne a des droits sur le traitement de ses données personnelles, en vertu du Règlement Européen sur la Protection des Données (RGPD). Ces droits s’appliquent à tous les citoyens européens, sans distinction.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Face à la manipulation de nos données par les entreprises du numérique, l’exercice de ces droits est une réponse aux dérives potentielles de leur utilisation. D’une part, ces droits sont un moyen de sensibiliser les utilisateurs et, d’autre part, ils permettent aux utilisateurs de prendre le contrôle de leurs informations personnelles. Bien que garanti par le RGPD, l’exercice de ces droits n’est pas absolu et nécessite des conditions de mise en œuvre. En outre, le responsable du traitement doit respecter les contraintes visant à faciliter la mise en œuvre de ces droits.

I. Les dispositions communes à tous les droits de la personne concernée

Qualité des personnes titulaires des droits

Les droits conférés par le RGPD sont exclusivement accordés aux personnes physiques, et ne s’étendent pas aux données relatives aux personnes morales. En principe, seul l’individu concerné par le traitement de ses données personnelles est habilité à exercer ses droits. Toutefois, il peut arriver que la jurisprudence autorise d’autres personnes physiques à se prévaloir de la qualité de « personne concernée » lorsque leurs données personnelles font l’objet d’un traitement. Cette situation s’est présentée pour la première fois dans le cadre d’un arrêt du Conseil d’État en date du 29 juin 2011 concernant le droit d’accès, exercé en vertu de la loi « Informatique et Libertés ». Cependant, ces circonstances sont rares et se sont jusqu’à à présent appliquées uniquement aux héritiers de personnes décédées. Il est important de souligner que la demande doit être justifiée par la nécessité d’obtenir les données personnelles du défunt.

Les modalités d’exercice des demandes de droits

Pour exercer ses droits en matière de protection des données personnelles, il convient de s’adresser directement au responsable du traitement des données. Si ce dernier a attribué cette tâche à un sous-traitant, il est possible de s’adresser également à-ci. Les demandes peuvent être effectuées par tout moyen, que ce soit à distance ou sur place. Bien qu’il ne soit pas obligatoire de les formuler par écrit, il est recommandé de le faire afin de disposer d’une preuve de la demande et de son point de départ pour le délai de réponse du responsable de traitement.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les obligations des responsables de traitements

Lorsqu’une demande d’exercice de droit est destinée à un organisme, celui-ci doit respecter un ensemble d’obligations telles que la vérification de l’identité de la personne qui fait la demande, ainsi que la mise en place de garanties pour le traitement de la demande.

Les vérifications préalables

Avant de traiter une demande d’exercice de droits formulée par une personne physique, le responsable de doit traiter des vérifications pour s’assurer de la qualité de l’intéressé et de son identité. Dans certains cas, la communication d’un justificatif peut être exigée, mais ce n’est plus systématique. Ces vérifications sont nécessaires pour pouvoir traiter la demande en toute sécurité et peuvent être facilitées par l’utilisation de données d’identité numérique.

Les modalités de réponse et les garanties assorties

Les modalités et les délais de réponse

Conformément à l’article 12 du RGPD, le responsable du traitement dispose d’un mois pour répondre à une demande d’exercice du droit de la personne concernée. Cependant, ce délai peut être prolongé à trois mois si la demande est complexe ou si l’organisme a reçu un grand nombre de demandes. Dans ce cas, le responsable doit informer le demandeur de la prolongation dans un délai d’un mois.

Si la demande est effectuée en personne et ne peut être traitée immédiatement, le demandeur doit recevoir un accusé de réception signé et daté. Si la demande est incomplète, le responsable du fichier peut demander des informations supplémentaires, suspendant ainsi le délai de réponse jusqu’à la réception de ces informations.

Si la demande est faite par courrier électronique, la réponse doit être transmise de manière sécurisée, au moins que le demandeur ne donne des instructions contraires. Si la réponse doit être envoyée par la poste, il est conseillé d’utiliser une lettre recommandée avec accusé de réception. Si la réponse est envoyée via une clé USB, la transmission doit être sécurisée.

Si le responsable ne répond pas dans les délais impartis ou ne justifie pas une prolongation de délai, le demandeur peut porter plainte auprès de la CNIL en fournissant les preuves de ses démarches. Pendant ce délai, la personne concernée peut demander une « limitation du traitement », c’est-à-dire la suspension de l’utilisation de ses données.

Il est important de noter que le responsable du traitement n’est pas tenu de répondre à une demande qui se manifeste infondée ou excessive, notamment si les données ont été supprimées. En cas de refus, le responsable doit motiver sa réponse et informer la personne concernée des voies et délais de recours pour contester la décision.

Les garanties assorties à l’exercice du droit des personnes

Le responsable du traitement doit veiller à ce que l’exercice d’un droit par une personne concernée ne porte pas atteinte aux droits et aux libertés d’autrui, en ne communiquant que les données de cette personne. De plus, il doit également s’assurer que la communication de ces données ne nuit pas au secret des affaires ou à la propriété intellectuelle. L’exercice des droits des personnes concernées est en principe gratuit. Cependant, le responsable de traitement peut exiger le paiement de frais raisonnables lorsque les demandes sont manifestement infondées ou excessives, comme en cas de demande répétitive. Les frais raisonnables ne doivent cependant pas être un obstacle à l’exercice des droits de la personne concernée.

Les obligations spécifiques à l’exercice de certains droits

Selon l’article 19 du RGPD, le responsable de traitement est tenu d’informer chaque destinataire à qui les données personnelles ont été communiquées de toute rectification, suppression ou limitation de traitement effectué conformément aux articles 16, 17(1) et 18, sauf si cette communication est impossible ou exigeait des efforts disproportionnés. Si la personne concernée en fait la demande, le responsable de traitement doit également fournir des informations sur ces destinataires. Ainsi, le responsable du traitement a l’obligation de notifier les destinataires de ces actions concernant les données personnelles.

II. Les dispositions particulières propres à chaque droit

Le droit d’accès

Selon l’article 15 du RGPD, toute personne concernée a le droit de demander au responsable du traitement de confirmer si des données personnelles la concernant sont effacées ou non, et si tel est le cas, d’accéder à ces données personnelles. En outre, le responsable de fichier est généralement tenu de fournir des informations supplémentaires telles que la finalité du traitement, les destinataires des données, la durée de conservation, etc. Cependant, ce droit d’accès absolu est assorti de deux limites : d’une part, les fichiers de police ou liés à la sécurité de l’État ne peuvent pas faire l’objet d’une demande d’accès, et d’autre part, le responsable du traitement n’est pas tenu de répondre si la demande est infondée ou excessive.

Le droit de rectification

L’article 16 du RGPD reconnaît le droit de rectification, qui permet aux personnes concernées de corriger des données inexactes ou d’ajouter des données manquantes en rapport avec la finalité du traitement. Ce droit permet de garantir l’exactitude et l’actualisation des données. Cependant, il convient de noter que ce droit ne s’applique pas aux traitements à des fins littéraires, artistiques ou journalistiques.

Le droit à l’effacement (ou « droit à l’oubli »)

L’article 17 du RGPD prévoit le droit à l’effacement, qui permet à toute personne concernée de demander la suppression de ses données en ligne. Le droit au déréférencement, également appelé « droit à l’oubli », est différent du droit à l’effacement.

En effet, le droit à l’effacement permet de supprimer les données à caractère personnel qui ne sont plus nécessaires, tandis que le droit au déréférencement permet de faire supprimer les résultats de recherche d’un moteur de recherche. Le droit à l’effacement n’est pas absolu et peut être limité dans certaines situations, notamment lorsque les données concernées sont nécessaires à la liberté d’expression et d’information, à des fins archivistiques, de recherche scientifique ou statistique, etc.

Le droit à la limitation du traitement

Prévue par l’article 18 du RGPD, la limitation poursuit avant tout une finalité conservatoire au bénéfice des personnes concernées venant ainsi en complément ou, parfois, en alternative, aux autres droits qu’a accordés aux individus la réglementation à l’exception des traitements exclusivement nationaux de défense et de sûreté de l’État.

En pratique, les responsables de traitement peuvent avoir recours à différentes techniques de limitation à l’instar de celles de ségrégation ou encore de marquage, l’essentiel étant de rendre inaccessibles à d’autres utilisateurs ou bloquer la réutilisation des données personnelles soumises à limitation.

L’exercice de ce droit est limité à quatre hypothèses prévues par le RGPD. Il se retrouve ainsi ouvert lorsque la personne concernée conteste l’exactitude des données personnelles, si le traitement est illicite, mais la personne concernée préfère que le traitement soit limité plutôt que ses données soient effacées.

Son exercice est également possible lorsque le responsable de traitements n’a plus besoin des données, mais que la personne concernée en a toujours besoin pour défendre ses droits ou exercer une action judiciaire.

La limitation peut aussi être invoquée temporairement, pour prévoir une vérification par le responsable de traitements en cas d’opposition au traitement.

En outre, la personne concernée qui a obtenu la limitation du traitement doit être informée par le responsable du traitement avant que la limitation du traitement ne soit levée. Il s’agit là d’une mesure évidente de transparence qui vise à permettre, le cas échéant, à l’intéressé de continuer à se prévaloir de son droit à la limitation, mais sur un autre fondement.

Le droit à la portabilité des données à caractère personnel

Le RGPD a introduit le droit à la portabilité comme un « nouveau » droit. Auparavant, il ne faisait l’objet de réglementation dans certains secteurs réglementés tels que les communications électroniques, permettant aux abonnés de téléphonie mobile de conserver leur numéro en cas de changement d’opérateur. La loi dite « Hamon » n° 2014-344 du 17 mars 2014 l’a également étendue au secteur bancaire afin de faciliter la mobilité entre établissements. Étant donné que toutes ces informations sont des données à caractère personnel, il était logique d’inclure le droit à la portabilité dans le règlement européen.

L’exercice de ce droit permet de demander au responsable de traitement de transmettre des données personnelles à un autre responsable de traitements, et ce, directement et ce sans que le responsable de traitement initial « y fasse obstacle » lui interdisant dès lors d’entraver une telle demande de quelque façon que ce soit (Groupe de l’article 29, Lignes directrices relatives au droit à la portabilité des données, 5 avr. 2017, WP 242 rév. 01, pt II, p. 5 et 6).

Ce principe s’applique même lorsque le « destinataire » est « potentiellement son concurrent ». À tel point d’ailleurs que le Groupe de l’article 29 a vu dans l’introduction du droit à la portabilité « l’occasion de rééquilibrer la relation entre les personnes concernées et les responsables de traitements ».

Le droit à la portabilité n’est toutefois pas absolu. Pour être exercé, le droit à la portabilité doit répondre à quatre conditions dont l’application est cumulative.

La première d’entre elles est que seules peuvent donner lieu à portabilité des données personnelles, c’est-à-dire celles se rapportant à la personne concernée elle-même soit de manière directement identifiante soit sous une forme pseudonymisée (à l’exclusion en revanche des informations anonymes). Il convient de préciser que compte tenu de leur lien intrinsèque avec la souveraineté, les traitements exclusivement nationaux à des fins de défense et de sûreté de l’État ne peuvent faire l’objet d’une demande de droit à la portabilité.

La deuxième condition est que le droit à la portabilité ne s’applique qu’à l’égard de données personnelles ayant fait l’objet d’un traitement effectué à l’aide de procédés automatisés, excluant donc par principe ceux qui ne l’ont pas été à l’instar de fichiers exclusivement papiers ou manuels.

La troisième condition posée à l’article 20 du RGPD prévoit que l’application du droit à la portabilité varie en fonction du fondement juridique des traitements en cause, n’étant admis qu’à l’égard de ceux étant soumis soit au consentement, y compris s’il porte sur des données sensibles, soit parce qu’ils sont nécessaires à l’exécution d’un contrat.

Tous les consentements prévus par le règlement ne donnent en effet pas lieu à portabilité. Seuls y figurent ceux qui ont été accordés au titre soit de l’article 6 du RGPD, soit de l’article 9 de ce texte qui ne s’applique qu’aux de données dites sensibles.

Enfin, la quatrième et dernière condition exigée par l’article 20 du RGPD est relative à la manière dont les informations ont été initialement recueillies par le responsable de traitement. Dès lors, peuvent donner lieu à portabilité les données personnelles soit sciemment et activement fournies par l’intéressé lui-même, soit celles découlant de l’observation de son activité.

Par souci d’effectivité, le droit à la portabilité a fait l’objet de prescriptions spécifiques quant aux modalités techniques à respecter, en prévoyant une obligation, non pas de résultat, mais de moyens, d’assurer l’interopérabilité entre les systèmes au moyen d’un format structuré, couramment utilisé et lisible par machine.

Le droit d’opposition

Le droit d’opposition, énoncé à l’article 21 du RGPD, permet à une personne concernée de s’opposer à l’utilisation de ses données personnelles par une organisation pour une finalité spécifique. Ce droit s’applique notamment lorsque le traitement repose sur l’intérêt légitime ou l’intérêt public.

Les personnes concernées ont toujours le droit de s’opposer, sans donner de raison particulière, au traitement de leurs données personnelles dans le cadre d’opérations de prospection commerciale.

Si la demande d’opposition ne concerne pas la prospection, l’organisme peut justifier son refus en invoquant des motifs légitimes et impérieux pour traiter les données ou en affirmant que les données sont nécessaires pour justifier, exercer ou défendre des droits en justice. Cette justification est également valable lorsque la personne concernée a consenti au traitement, car seule la révocation du consentement permet de mettre fin au traitement.

En outre, le droit d’opposition ne s’applique pas lorsque la personne concernée est liée par contrat avec l’organisme ou lorsque ce dernier a une obligation légale de traiter les données. Enfin, si le traitement est nécessaire pour sauvegarder les intérêts vitaux de la personne concernée ou d’une autre personne physique, le droit d’opposition ne s’applique pas non plus.

Le droit de ne pas faire l’objet d’une décision individuelle automatisée

L’article 22 du RGPD accorde à toute personne le droit de s’opposer à une décision automatisée (y compris le profilage), sauf dans certains cas où le traitement est fondé sur l’existence d’un contrat, le consentement de la personne concernée, ou la réponse à une obligation légale.

III. Les sanctions

Le RGPD prévoit des sanctions pour les organismes qui ne respectent pas les règles de protection des données personnelles. Ces sanctions peuvent être très lourdes, pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial de l’entreprise concernée, selon le montant le plus élevé.

Les autorités de contrôle, comme la CNIL en France, sont chargées de veiller à la mise en œuvre du RGPD et de sanctionner les organismes qui ne respectent pas les règles. Elles peuvent ordonner la cessation du traitement des données, la rectification, l’effacement ou le verrouillage des données, ou encore la suspension ou le retrait de l’autorisation de traitement des données.

En outre, les personnes concernées peuvent également intenter des actions en justice pour obtenir des dommages et intérêts pour le préjudice subi du fait du traitement de leurs données personnelles en violation du RGPD.

Il est donc très important pour les organismes qui travaillent avec des données personnelles de se conformer aux règles du RGPD afin d’éviter des sanctions financières lourdes et de protéger la vie privée des personnes concernées.

Pour lire une version plus complète de cet article sur la protection de la vie privée, cliquez

SOURCES :

Par Murielle Cahen • internet-et-droit • • Tags: droit à l'oubli; vie privée; droit à l'image; google; contenu;, rgpd

12 Avr 2023

LES DEADBOTS POUR CONTINUER D’ECHANGER AVEC LES MORTS

La société est rentrée dans une ère qui n’est pas prête à reculer. C’est l’ère du numérique et de son impact dans tous les domaines de notre vie. La technologie a aussi emprunté les pas à cet essor continuel du numérique. L’intelligence artificielle fruit du développement continue de la technologie n’est pas en reste.

L’intelligence artificielle (IA) recouvre un large champ de technologies en évolution rapide et peut procurer de nombreux avantages économiques et sociétaux dans l’ensemble des secteurs économiques et des activités sociales. Voilà que l’intelligence artificielle fait parler désormais les morts. Si dès 2013, la série Black Mirror imaginait une application mobile permettant à une jeune femme de converser avec son compagnon décédé, le procédé est aujourd’hui passé de la fiction à la quasi-réalité. En 2018, le journaliste américain James Vlahos avait réussi à intégrer une intelligence artificielle à l’application Facebook Messenger afin de poursuivre des conversations avec son père mort des suites d’un cancer. Ce fut la naissance de ce que l’on nomme les deadbots (contraction de « mort » et « robot» en français) autrement appelés «anges gardiens».

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le contact virtuel, sorte d’avatar du défunt papa, reprenait sa façon d’écrire, recueillie au cours des dernières heures de sa vie et grâce à des algorithmes puisant dans ses anciens tweets, posts et même textos. Soit un sacré packaging de données personnelles permettant à James Vlahos de retarder le moment de faire son deuil. Depuis, ce genre de technologie s’est multipliée à travers le monde, incluant même la voix de la personne disparue.

Ces IA engrangent d’énormes quantités de données et utilisent bien évidemment les données personnelles des personnes concernées. Sans cette armada de données engrangées, difficile sera leur fonctionnement. En outre, la question de l’utilisation de ces données pose souvent question. Idem pour la responsabilité de ces IA en cas de défaut donne lieu à débat tous les jours.

De nombreuses start-up, essentiellement chinoises et anglosaxonnes – en France, la technologie se heurte à la loi informatique et libertés –, travaillent, avec l’accord des utilisateurs, à collecter les données au cours de l’existence ou au moment où la fin est proche.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

I. Notion de l’Intelligence Artificielle

L’intelligence artificielle fait partie de notre quotidien, qu’il s’agisse de la reconnaissance vocale sur nos téléphones portables, des suggestions personnalisées de films sur des plates-formes de streaming (certes, plus ou moins convaincantes…) ou des systèmes de reconnaissance d’images permettant de « taguer » des visages ou de filtrer des contenus violents ou pornographiques publiés sur les réseaux sociaux.

L’intelligence artificielle est un « ensemble de système qui font preuve d’un comportement intelligent en analysant l’environnement et en permettant des mesures avec un certain degré d’autonomie pour atteindre des objectifs précis. »

Ce système permet à une machine d’interagir avec les données et de les analyser afin d’atteindre un objectif spécifique.

C’est donc une science dont la finalité est de faire par une machine des tâches que l’homme utilise son intelligence pour les faire.

Pour l’un des fondateurs de la discipline de l’IA, c’est : « La construction de programmes informatiques qui s’adonne à des taches qui sont pour l’instant accomplis de façon plus satisfaisante par des êtres humains car demande des processus plus précis ».

Au sens large, le terme désigne en effet indistinctement des systèmes qui sont du domaine de la pure science-fiction (les IA dites « fortes », dotées d’une forme conscience d’elles-mêmes) et des systèmes déjà opérationnels en capacité d’exécuter des tâches très complexes (reconnaissance de visage ou de voix, conduite de véhicule – ces systèmes sont qualifiés d’IA « faibles » ou « modérées »).

L’intelligence artificielle n’est pas une technologie à proprement parler mais plutôt un domaine scientifique dans lequel des outils peuvent être classés lorsqu’ils respectent certains critères. Pour se familiariser avec ce domaine, il peut être utile de se référer au glossaire de l’IA publié par la CNIL.

Pour le Parlement européen, l’intelligence artificielle représente tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ».

Cette définition pourrait être élargie en incluant les comportements dépassant les capacités humaines, puisque les ordinateurs actuels parviennent aujourd’hui à les surpasser dans certaines tâches (bien que la compétence de l’ordinateur s’arrête généralement à l’exécution de cette tâche). À titre d’exemple, le système d’IA AlphaGo, capable de battre le champion du jeu de go Lee Sedol, est très doué pour élaborer des stratégies à ce jeu, mais ses capacités s’arrêtent ici. Il sera incapable de jouer aux échecs ou d’effectuer d’autres tâches tant que celles-ci ne lui auront pas été inculquées.

Tout système mettant en œuvre des mécanismes proches de celui d’un raisonnement humain pourrait ainsi être qualifié d’intelligence artificielle.

Les premières applis permettant de « converser » avec un proche disparu font leur arrivée sur le marché. Une véritable économie de l’« immortalité numérique » commence à poindre. Tout cela repose sur les progrès en intelligence artificielle, couplés à l’accès sans cesse étendu à nos données personnelles…. En l’espèce, le deadbot mis en place pour communiquer avec une personne disparue est belle et bien une œuvre de l’intelligence artificielle. Toutefois, on pourrait se demander comment les données de la personne décédée sont introduite dans cette IA pour qu’elle représente le défunt ?

II. L’utilisation de deadbot qui utiliserait les données personnelles de défunts pour continuer à dialoguer avec des personnes décédées

Il s’articule encore autour de la loi pour une République numérique à propos de la prise de décision automatisée ou du Règlement général sur la protection des données (RGPD) au sujet des données identifiantes et de la protection de la vie privée. L’expansion de l’intelligence artificielle requiert l’acceptation de la société civile. Pour y parvenir, chacun doit être en confiance avec les usages de l’intelligence artificielle.

La confiance accordée par la société civile à l’intelligence artificielle dépend aussi de la connaissance de ses mécanismes et de ses enjeux. C’est pourquoi des mesures concrètes comme, par exemple, pour que le principe de la privacy by design énoncé dans le RGPD devienne effectif ou pour que des tests de détection de biais soient exécutés compte tenu des déterminants les plus influents qui sont au coeur d’une prise de décision automatisée.

Il est très difficile pour un responsable de site de faire la différence entre un profil inactif parce que son titulaire ne n’utilise plus et un profil inactif parce que son titulaire est décédé.

À ce titre, il ne peut pas prendre l’initiative de supprimer ces comptes s’il ne connait pas la cause de l’inactivité. C’est dans ce contexte que les réseaux sociaux ont organisé des plateformes de suppression ou de désactivation des profils des personnes décédées.

Par principe, un profil sur un réseau social ou un compte de messagerie est strictement personnel et soumis au secret des correspondances.

C’est toute une industrie qui s’est mise en place pour récupérer les données personnelles des personnes vivantes avec leur accord pour les faire revivre quand elles passeront de vie à trépas. Le but est de récupérer la voix (la manière de parler de la personne concernée), sa manière de converser manuellement sur les réseaux sociaux etc pour ensuite l’intégrer dans une IA et de continuer son existence même après son décès.

Estimant que ces deadbots devraient, à court terme, faire l’objet d’un encadrement technique et juridique, le Comité national pilote d’éthique du numérique (CNPEN) milite pour que des règles soient définies concernant le consentement de la personne décédée, le recueil et la réutilisation de ses données, mais également le temps de fonctionnement des deabots, le lexique utilisé, le nom leur étant attribué ou encore les conditions de leur utilisation.

Dans ce cadre on pourrait facilement imaginer un lien avec le droit des personnes concernées à définir des « directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès », droit posé par l’article 85 de la Loi informatiques et libertés.

Le consentement de la personne concernée est indispensable pour atteindre ce but. Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Le RGPD impose que ce consentement soit libre, spécifique, éclairé et univoque. Les conditions applicables au consentement sont définies aux articles 4 et 7 du RGPD.

III. Réglementation de l’Intelligence artificielle en Europe

Le 21 avril 2021, la Commission Européenne a rendu publique l’AI Act (Artificial Intelligence Act), son projet de réglementation sur l’intelligence artificielle. Cette initiative vise à encadrer l’intelligence artificielle de façon à la rendre digne de confiance, centrée sur l’humain, éthique, durable et inclusive.

Le Parlement européen a aussi accompli un travail considérable dans le domaine de l’IA. En octobre 2020, il a adopté un certain nombre de résolutions relatives à l’IA, notamment en ce qui concerne les aspects éthiques, le régime de responsabilité et les droits de propriété intellectuelle.

En 2021, celles-ci ont été suivies par des résolutions relatives à l’utilisation de l’IA dans les affaires pénales et dans les domaines de l’éducation, de la culture et de l’audiovisuel. Dans sa résolution concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes, le Parlement européen recommande expressément à la Commission de proposer des mesures législatives visant à exploiter les possibilités et les avantages offerts par l’IA, mais aussi à garantir la protection des principes éthiques. La résolution comprend un texte de la proposition législative pour un règlement sur les principes éthiques relatifs au développement, au déploiement et à l’utilisation de l’IA, de la robotique et des technologies connexes.

Conformément à l’engagement politique pris par la présidente von der Leyen dans ses orientations politiques en ce qui concerne les résolutions adoptées par le Parlement européen au titre de l’article 225 du traité sur le fonctionnement de l’Union européenne (TFUE), la présente proposition tient compte de la résolution du Parlement européen susmentionnée dans le plein respect des principes de proportionnalité et de subsidiarité ainsi que de l’accord « Mieux légiférer».

Dans ce contexte politique, la Commission présente la proposition de cadre réglementaire relatif à l’IA dont les objectifs spécifiques sont les suivants :

veiller à ce que les systèmes d’IA mis sur le marché de l’Union et utilisés soient sûrs et respectent la législation en vigueur en matière de droits fondamentaux et les valeurs de l’Union;
garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA;
renforcer la gouvernance et l’application effective de la législation existante en matière de droits fondamentaux et des exigences de sécurité applicables aux systèmes d’IA;
faciliter le développement d’un marché unique pour des applications d’IA légales, sûres et dignes de confiance, et empêcher la fragmentation du marché.

Afin d’atteindre ces objectifs, la présente proposition présente une approche réglementaire horizontale équilibrée et proportionnée de l’IA qui se limite aux exigences minimales nécessaires pour répondre aux risques et aux problèmes liés à l’IA, sans restreindre ou freiner indûment le développement technologique ni augmenter de manière disproportionnée les coûts de mise sur le marché de solutions d’IA. La proposition établit un cadre juridique solide et souple.

D’une part, le cadre est complet et conçu pour résister à l’épreuve du temps dans ses choix réglementaires fondamentaux, y compris dans les exigences fondées sur des principes auxquelles les systèmes d’IA devraient se conformer. D’autre part, il met en place un système réglementaire proportionné centré sur une approche réglementaire bien définie fondée sur le risque qui ne crée pas de restrictions commerciales injustifiées, et en vertu duquel l’intervention juridique est adaptée aux situations concrètes dans lesquelles des préoccupations légitimes existent ou sont raisonnablement prévisibles dans un avenir proche. Par ailleurs, le cadre juridique prévoit des mécanismes souples qui permettent de l’adapter de manière dynamique à l’évolution de la technologie et aux nouvelles situations préoccupantes.

La proposition établit des règles harmonisées pour le développement, la mise sur le marché et l’utilisation de systèmes d’IA dans l’Union suivant une approche proportionnée fondée sur le risque. Elle contient une définition de l’IA unique et à l’épreuve du temps. Certaines pratiques d’IA particulièrement néfastes sont interdites en raison de leur caractère contraire aux valeurs de l’Union, tandis que des restrictions et des garanties spécifiques sont proposées en ce qui concerne certaines utilisations de systèmes d’identification biométrique à distance à des fins répressives. La proposition établit une méthode solide d’évaluation du risque permettant de recenser les systèmes d’IA dits « à haut risque» qui présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes.

Les systèmes d’IA en question devront satisfaire à un ensemble d’exigences obligatoires horizontales garantissant une IA digne de confiance et faire l’objet de procédures d’évaluation de la conformité avant de pouvoir être mis sur le marché de l’Union. Des obligations prévisibles, proportionnées et claires sont aussi imposées aux fournisseurs et aux utilisateurs de ces systèmes afin de garantir la sécurité et le respect de la législation existante en matière de protection des droits fondamentaux tout au long du cycle de vie des systèmes d’IA. Pour certains systèmes d’IA spécifiques, seules des obligations minimales en matière de transparence sont proposées, en particulier lorsque des dialogueurs ou des trucages vidéo ultra-réalistes sont utilisés.

Cette proposition est le résultat de nombreuses études, livres blancs, analyses etc. débutées en 2018 qui ont souligné que la législation en place actuellement présentait des lacunes à combler. L’AI Act va maintenant être soumis au Parlement Européen et au Conseil de l’Union Européenne, de sorte à ce qu’il puisse être accepté d’ici 2022 et mis en application à partir de 2024.

Ce nouveau règlement est composé de règles proportionnées et souples prévues pour faire face aux risques spécifiques liés aux différents systèmes d’intelligence artificielle. On peut donc parler d’une approche basée sur les risques, ces derniers étant classifiés en quatre typologies :

les systèmes d’intelligence artificielle “inacceptables” ;

ceux possédant des “risques élevés” ;

ceux avec des “risques acceptables” ;

et enfin, l’intelligence artificielle aux “risques minimes”.

L’AI Act concerne principalement les deux premières catégories de systèmes : ceux présentant des risques “inacceptables” et ceux présentant des risques “élevés”. Pour les deux catégories restantes, la réglementation sera basée sur la logique de responsabilité. Cependant, il conviendra pour les acteurs de réaliser une cartographie précise des risques afin de classifier au plus juste dans quelle catégorie se trouvent leurs IA. Cette logique de responsabilité devra donc pousser les acteurs à être attentifs aux traitements opérés dans le cadre de leurs activités.

IV. Qu’est-ce que l’IA inacceptable au sens du Règlement ?

L’intelligence artificielle considérée comme “inacceptable” comprend tous les systèmes dont l’utilisation est considérée comme allant à l’encontre des valeurs de l’Union Européenne. Il s’agira notamment des systèmes qui présentent des aspects fondamentalement contraires aux droits fondamentaux, à travers, par exemple, la manipulation inconsciente des comportements ou bien l’exploitation des vulnérabilités de certains groupes pour influencer leur comportement. La notation sociale basée sur l’intelligence artificielle à des fins générales par les autorités publiques ainsi que l’utilisation de systèmes d’identification biométrique “en temps réel” dans les espaces publics (sauf exceptions) sont deux autres cas d’intelligence artificielle inacceptables. L’AI Act propose tout simplement d’interdire ce genre de systèmes.

Qu’est-ce que l’IA présentant des risques élevés au sens du Règlement ?

L’intelligence artificielle qui présente des “risques élevés” englobe tous les systèmes qui créent un risque élevé pour la santé et la sécurité ou les droits fondamentaux des personnes physiques (définis par la Commission Européenne). On trouve deux grandes catégories de systèmes à haut risque. D’une part, il y a les systèmes d’intelligence artificielle destinés à être utilisés comme composants de produits de sécurité, et, d’autre part, les systèmes d’intelligence artificielle autonomes ayant principalement des implications sur les droits fondamentaux (ces systèmes sont explicitement énumérés dans l’AI Act). La médecine assistée, les tris automatiques de CV, la notation d’examens et le scoring pour l’attribution d’un crédit sont des exemples types d’intelligence artificielle à hauts risques. Ce type de système devra systématiquement être soumis à une évaluation de conformité strict par un tiers. Pour être mise sur le marché, la technologie IA devra:

. Être supervisée par un humain

. Posséder un système adéquat pour atténuer les risques

. Avoir des jeux de données de qualité élevée

. Disposer de résultats traçables

. Fournir une documentation détaillée et à jour en cas de contrôle

. Assurer un haut niveau de robustesse, de sécurité et d’exactitude

. Procurer des informations claires aux consommateurs

Le responsable de traitements au sens du Règlement devra donc être particulièrement attentif à qualifier justement les différentes AI qu’il utilise dans le cadre de ses activités afin de mesurer au plus juste les potentiels impacts et risques associés. Cette logique de responsabilité étant accompagnée de sanctions spécifiques. Il conviendra dans cette cartographie de se faire accompagner en amont du déploiement de ces AI mais aussi dans un second temps dans le suivi.

Qu’est-ce que l’IA présentant des risques acceptables et minimes au sens du Règlement ?

L’intelligence artificielle avec des “risques acceptables” concerne tous les systèmes qui interagissent avec les humains, qui sont utilisés pour détecter des émotions ou déterminer l’association avec catégories sociales basées sur des données biométriques et qui génèrent ou manipulent du contenu.

Enfin, l’intelligence artificielle avec des “risques minimes” concerne tous les systèmes qui appliquent un code de conduite incluant des engagement relatifs à la durabilité environnementale, à l’accessibilité des personnes possédant un handicap, à la participation des parties prenantes à la conception et au développement des systèmes d’intelligence artificielle; ainsi qu’à la diversité des équipes de développement.

De par son focus sur des cas spécifiques (c’est-à-dire lorsque les droits des citoyens Européens sont compromis), la Commission montre sa volonté de réguler l’intelligence artificielle tout en permettant un essor de l’innovation et le développement d’un marché unique pour les applications d’intelligence artificielle légales, dignes de confiance et éthiques.

Des sanctions conséquentes analogues à celles du RGPD en cas de méconnaissance du Règlement.

En cas de violation de l’AI Act, les sanctions encourues suivent la même logique que celle du régime du RGPD. L’AI Act va même plus loin en augmentant les sanctions lorsqu’il est question d’usages “inacceptables” de l’intelligence artificielle. En effet, en cas de non-respect des règles dans cet usage la personne encourt une amende de 30 millions d’euros ou pouvant aller jusqu’à 6% du chiffre d’affaires pour une entreprise. En ce qui concerne les autres cas de violation de l’AI Act, l’amende encourue sera de 20 millions d’euros, ou 5% du chiffre d’affaires dans le cas d’une entreprise.

L’AI Act prévoit aussi des amendes pour manquement de coopération avec les autorités nationales au sein de l’Union Européenne, pouvant s’élever jusqu’à 10 millions d’euros d’amendes ou 2% du chiffre d’affaires.

Pour lire une version plus adaptée aux mobiles de cet article sur les deadbots et les morts, cliquez

Sources :

Par Murielle Cahen • Newsletter •

12 Avr 2023

PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)

L’évolution du paysage des menaces de piratage informatique a conduit la Commission à effectuer une révision de la directive « sécurité des réseaux et des systèmes d’information ».

Initié en juillet 2020, la révision de la directive « sécurité des réseaux et des systèmes d’information » a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Adopté par le Parlement européen le 10 novembre 2022, chaque État membre de l’Union européenne dispose désormais d’un délai de 21 mois afin de transposer en droit national les différentes exigences réglementaires. La directive devrait donc entrer en vigueur en France au deuxième semestre 2024, au plus tard.

Les changements opérés dans la stratégie des cyberattaquants nécessitent de moderniser la directive. Les secteurs touchés par les cyberattaques sont de plus en plus nombreux et les conséquences désastreuses. La révision de la directive SRI a permis de rafraîchir la liste des secteurs qui devront s’y conformer afin de faire preuve de résilience face aux différentes attaques dont ils sont les cibles.
La mise à jour de la directive semble vouloir « prendre le mal à la racine » en s’adaptant aux nouvelles pratiques et méthodes des attaquants.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

En outre, la directive promet de déployer une nouvelle stratégie de sensibilisation afin de lutter contre l’illectronisme des citoyens qui constituent le noyau des activités économiques.

Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière. Cette coopération devrait permettre d’accroître les échanges et donc de diffuser des informations relatives aux nouvelles pratiques des attaquants afin d’anticiper leur survenance. Elle devrait également permettre de communiquer les connaissances acquises par les différents États membres afin d’assurer une meilleure résilience lors de la survenance de cyberattaques.

La révision de la directive SRI n’est pas la seule à apporter de nouvelles obligations en la matière. D’autres domaines, tout aussi importants, mais surtout en lien avec l’ensemble de cette réglementation font également l’objet d’un encadrement plus strict. L’utilisation des objets connectés nécessite dans le même temps d’être réglementée pour rendre effective la stratégie de la directive. Des domaines tels que le secteur de la finance nécessitent aussi d’accroître leur sécurité afin de renforcer les besoins en confiance.

La numérisation de la société nécessite aujourd’hui un travail constant afin d’adapter le cadre des obligations et d’assurer un niveau correct de sécurité. L’élargissement de la réglementation devrait permettre de répondre à ces nouvelles menaces (I). Le déploiement d’une nouvelle stratégie non seulement en matière de sensibilisation, mais aussi de coopération devrait d’accroître la réactivité et l’efficacité des États membres dans la lutte contre la cybercriminalité (II).

I. La (nécessaire) modernisation du cadre juridique de la directive SRI

L’élargissement du cadre juridique de la directive à l’occasion de sa révision témoigne de la volonté de renforcer les obligations de sécurité pour tous les étages de l’économie qui se numérisent (A). La Commission a également mis à jour certaines définitions et a restructuré les exigences pour les opérateurs de services essentiels (B).

A. L’extension du champ d’application de la directive à de nouveaux secteurs

La transformation numérique s’étend de plus en plus à tous les secteurs de l’économie. En procédant à la dématérialisation de nos échanges, des processus de travail, et en étendant les usages à tous les étages, en passant de l’Administration, aux déclarations fiscales en ligne, à la dématérialisation des dossiers patients, et bientôt des factures électroniques pour les entreprises, un besoin urgent de renforcer le niveau général en matière de cybersécurité s’est fait ressentir.

Force est de constater que les cyberattaques touchent tous les secteurs de notre économie. La protection du secret des affaires, du secret industriel, des inventions, mais également les données des citoyens deviennent une priorité pour les États membres. Nombreuses sont les conséquences politiques, sociales, économiques liées à la protection des réseaux et des systèmes d’information. La nécessité de renforcer la confiance est d’autant plus accrue face à ses nouveaux enjeux.

L’extension du champ d’application de la directive à de nouveaux secteurs d’activités

La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de revoir à la hausse la liste des secteurs et des activités soumis à des obligations. (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR)

La première version de la directive SRI était applicable à sept secteurs. Étaient et sont toujours concernés les secteurs de la santé, de l’énergie, bancaire et aux infrastructures de marchés financiers, aux fournisseurs de service, aux transports, aux fournisseurs d’eau et aux infrastructures numériques qui fournissent trois types de services numériques (les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage).
Sa nouvelle version englobe à présent les secteurs qui opèrent dans le domaine spatial, les services postaux, les producteurs de certains produits, de la nourriture, des administrations publiques, des services de communication, des eaux usées et de la gestion des déchets.

Au regard de l’actualité en Europe, cet élargissement semble le bienvenu. Les cyberattaques ont des objectifs divers et variés. Cependant, certaines d’entre elles font peser des menaces sans précédent qui vont jusqu’à remettre en cause la sécurité nationale. Il n’est pas sans rappeler que le 16 août 2022, l’opérateur nucléaire ukrainien, Energoatom, a été victime d’une cyberattaque russe « sans précédent » contre son site.

En outre, la directive s’appliquera sans distinction aux entités qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. Cette mesure semble logique pour rendre effective la stratégie déployée et coïncide avec les notions développées par le Règlement à la protection des données (RGPD).

Finalement, la directive aura vocation à s’appliquer à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. A l’échelle nationale, cela représente environ 600 types d’entités différentes qui seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

L’application facultative à certaines entités

La révision de la directive permet d’imposer des obligations de sécurité à une liste de secteurs clairement établie tandis que pour certains d’entre eux, une option est laissée aux États membres.

Ainsi l’article 2 de la directive dispose que les États membres peuvent prévoir que le périmètre de la directive s’applique « aux entités de l’administration publique au niveau local […] » Autrement dit, il appartient à chaque État membre d’apprécier la nécessité d’élargir l’application de la directive à ses collectivités territoriales.

En France, le rapport réalisé par l’ANSSI intitulé « Panorama de la cybermenace 2022 » a permis de constater « une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents. » (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf)

Ce rapport révèle également que les collectivités locales constituent la deuxième catégorie de victime la plus affectée par des attaques par rançongiciel derrière les TPE, PME et ETI. Elles représentent ainsi 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI en 2022.

L’exclusion des entités dont l’activité concerne la sécurité nationale

Elle exclut cependant de son champ d’application les entités de « l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. »

Cette directive permet d’adopter des solutions afin d’améliorer la cyber résilience et de réagir plus efficacement aux cyberattaques, en particulier celles ciblant des activités essentielles pour l’économie et la société, tout en respectant les compétences des États membres, y compris la responsabilité qui est la leur en matière de sécurité nationale.

La Commission se refuse à s’immiscer dans les affaires internes des États membres et respecte ainsi le principe de souveraineté de chacun.

B. La restructuration des opérateurs de services essentiels

La nouvelle directive a pour objectif de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

Les États membres ne seront plus responsables de la détermination des entités considérées comme opérateurs essentiels. Cette notion « d’opérateur de services essentiels », utilisée dans la précédente directive, disparaît donc.

Le périmètre de ces opérateurs régulés sera divisé en deux typologies d’acteurs prévus à l’article 3 de la directive. D’une part, les entités essentielles (EE) et d’autres part, les entités importantes (EI), dont la différenciation se fera par la criticité des secteurs associés. Elle comprend désormais toutes les entités de taille moyenne et grande dont les activités entrent dans le champ de la directive.

Dès lors, sont automatiquement considérées comme des entités « essentielles » ou « importantes » les entités qui emploient plus de 250 personnes et ont un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros. Les entités essentielles et importantes sont confrontées aux mêmes obligations, mais celles qui relèvent de la deuxième catégorie sont soumises à un régime d’application plus léger.

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. »

Les obligations se voient renforcées, en effet, il ne suffit pas d’adopter des mesures techniques, elles doivent également être opérationnelles et organisationnelles.

Cette stratégie devra également prendre en compte les sous-traitants, alors qu’ils représentent encore le maillon le plus faible dans la chaîne de valeur, notamment en raison des attaques par rebond engagées par les cyberattaquants afin de remonter vers un prestataire plus important.

Prévu par l’article 20 de la directive, les États membres et leurs autorités nationales compétentes devront s’assurer de la mise en œuvre de cette stratégie. Elle permet d’une part d’éveiller les entités visées par la directive à l’importance de la mise en œuvre de mesures appropriées pour garantir la sécurité de leurs réseaux et de leurs systèmes d’information. D’autre part, elle tend à responsabiliser la direction des entités concernées par la directive qui pourra voir sa responsabilité engagée en cas de non-conformité.

Enfin, conformément à l’article 3. 3) de la directive, les États membres devront établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres devront dresser cette liste au plus tard pour le 17 avril 2025 et procéder à sa mise à jour régulièrement, puis au moins tous les deux ans par la suite. Le contenu de cette liste est fixé par son article 3.4)

La directive prévoit également que les États membres devraient pouvoir décider que les entités identifiées comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Il est également précisé que les États membres pourront mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.

Mentionnée à l’article 3.5), les États membres se voient imposer une obligation de communication à la Commission des informations relatives aux entités essentielles et importantes. La communication de ces informations permettra un suivi en temps réel de la situation au niveau européen ainsi qu’une meilleure coordination en vue d’adopter une stratégie commune.

La révision de la directive SRI a permis d’étendre son champ d’application afin de renforcer les besoins actuels en cybersécurité et en résilience. Il s’agit d’une simple mise à jour qui, dans le même temps, promet de favoriser une meilleure coopération à l’échelle européenne.

II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité

La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de prendre des mesures afin remédier à la fragmentation du marché intérieur. Pour ce faire, elle accroît les exigences et les obligations envers les États membres notamment en matière de sensibilisation. Elle prévoit également la désignation d’autorités compétentes afin d’organiser la coopération à différentes échelles (A).
Enfin, la Commission complète la réglementation en la matière en adoptant de nouveaux règlements qui ciblent des domaines annexes (B).

A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)

La cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

L’analyse d’impact menée par la Commission a permis de constater des disparités dans l’application des exigences en la matière. Face au faible niveau de cybersécurité des entreprises établies dans l’Union et au degré de résilience variable en fonction des États membres et des secteurs concernés, une prise de conscience de la situation et l’adoption d’une réponse conjointe à la crise semblaient nécessaires.

Si les objectifs initiaux de la directive SRI lors de son adoption en 2016 étaient de « créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société ».
La révision de la directive « sécurité des réseaux et des systèmes d’information » reprend ces objectifs tout en y ajoutant une forte volonté de coopération et d’harmonisation au regard des divergences d’application entre les États membres afin de pallier la fragmentation du marché intérieur.

La sensibilisation comme pilier de la stratégie déployée par la directive

Précisé à l’article 7 de la directive, « Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. »

Cet article instaure un certain nombre de points dans lesquels chaque état devra œuvrer. Parmi ces différents points, il est possible de retenir que chacun devra élaborer « un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité. »

Comme le soulignait déjà Eric Hazane en 2016, « si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »

La cybersécurité doit s’immiscer dans les plus petites structures et auprès des citoyens afin de rendre effective la stratégie européenne et pour cela, la sensibilisation devra en être un des piliers. L’erreur humaine reste en effet une des principales sources des cyber incidents qui surviennent en entreprise (téléchargement d’une pièce jointe infectée par un malware).

En outre, l’usage du numérique ne concerne pas que les entreprises. En effet, les jeunes générations de plus en plus connectées ne sont pas toujours informées des risques. Cette stratégie devra également être déployée auprès des plus jeunes.

Pour endiguer ce problème, l’état français déploie une nouvelle « stratégie numérique pour l’éducation 2023-2027 » qui repose sur une série de mesures pour renforcer les compétences numériques des élèves.

La désignation d’autorités compétentes en vue de favoriser la coopération

Afin d’établir une stratégie commune plus réactive et plus efficace, les États membres devront communiquer entre eux. Pour ce faire, chaque État membre devra en vertu de l’article 8, désigner quelle(s) autorité(s) compétentes seront chargées d’une part de la cybersécurité et, d’autre part, de la gestion des incidents de cybersécurité majeurs et des crises. Cette coopération sera assurée par la collaboration entre trois autorités.

On retrouve aux articles 10 et 11, la mise en place des « centres de réponse aux incidents de sécurité informatique ». Il s’agit d’un centre établi par (et dans) chaque État membre, conformément la directive SRI de 2016, chargée de répondre aux incidents de sécurité.

Conformément à l’article 23 de la directive, les incidents « importants » devront être signalés aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou à leur autorité compétente. Pour éviter que les définitions et les seuils ne varient d’un État membre à l’autre, la Commission européenne a défini les cas où les incidents sont jugés importants.

Est également inclus, le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités nationales et coordonne leur action.

Enfin, la directive intègre à son article 16 le réseau « CyCLONe ». Créé en 2020, ce réseau a pour objectif de contribuer à la mise en œuvre d’un plan d’action en cas de cyberattaque ou de crise transfrontalière, et de permettre aux entreprises de mieux partager l’information relative aux menaces. Il complète les structures de cybersécurité existantes au niveau de l’Union européenne en reliant les instances de coopération des niveaux technique (CSIRT Network) et politique (IPCR). (https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/)

La révision de la directive « sécurité des réseaux et des systèmes d’information » initie ainsi la collaboration entre ces trois intervenants et permet d’envisager une coopération transfrontalière accrue.

B. L’intervention de la réglementation dans des domaines annexes

Comme vu précédemment, la révision de la directive SRI a permis de moderniser son cadre juridique et de prévoir une coopération transfrontalière à différentes échelles. Afin de rendre effectif le déploiement de ces efforts, elle nécessite d’être accompagnée de mesures complémentaires qui touchent des domaines annexes.

La régulation dès la conception des objets connectés

À peine adoptée, la directive NIS 2 doit être complétée par un nouveau texte relatif à la cybersécurité des objets connectés. Le « Cyber Resilience Act », au stade de la proposition législative, doit renforcer la sécurité informatique des produits numériques en s’attaquant notamment au problème de la vulnérabilité des objets connectés. La Commission européenne souhaite apporter un socle commun de règles applicables qui vise à réguler la fabrication et les services liés à ces technologies. (https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act)

À travers l’adoption de cette loi, la Commission entend agir plus fermement sur la sécurité des produits connectés en introduisant la cybersécurité dès la conception et prémunir les consommateurs contre la multiplication des défaillances.

Pour faire respecter ces futures obligations, la Commission européenne table sur des sanctions administratives pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 2,5% du chiffre d’affaires annuel mondial pour le régime de pénalités le plus élevé.

Améliorer la résilience opérationnelle informatique des acteurs des services financiers

La nouvelle directive a été alignée sur la législation sectorielle, en particulier sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) à des fins de clarté juridique et de cohérence entre la directive SRI 2 et ces actes.

Le règlement DORA adopté par la Commission européenne devrait entrer en vigueur le 17 janvier 2025 au plus tard. (https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595)

Son principal objectif est d’harmoniser les exigences en matière de risques liés aux technologies de l’information et de la communication à travers l’Europe. Ce règlement permet à l’Union d’exiger des garanties de la part des organisations en les invitant à se plier au respect d’un cadre normatif pour résister notamment aux incidences cyber qui deviennent de plus en plus critiques.

Dans un contexte d’exposition grandissante des services numériques de la banque, il est possible de distinguer trois catégories de fraude. La première concerne la fraude externe autour des moyens de paiements qui vise principalement la carte bancaire et les chèques (vol des moyens de paiements, vol des informations de la carte bancaire pour effectuer des paiements à distance, système de cavalerie). La seconde catégorie va se baser sur l’usurpation d’identité du client.

Les attaquants vont trouver des techniques (phishing) afin de récupérer les informations du client dans l’objectif de prendre la main sur leur compte en ligne et in fine d’effectuer des sorties de fonds vers des comptes de passages. La troisième catégorie correspond aux attaques massives. Cela consiste à attaquer les systèmes d’information des banques. Ces cyberattaques ont pour objectif de déstabiliser, de saboter, de voler des données afin de les revendre sur le Darknet.

Ce sont des risques opérationnels pour l’entreprise qui nécessitent un cadre de résilience. Le règlement DORA devrait donc permettre de préserver la stabilité et l’intégrité des marchés financiers, mais aussi d’assurer un niveau élevé de protection des investisseurs et des consommateurs.

Pour lire une version plus complète de cet article sur la révision de la directive européenne sur la protection des réseaux, cliquez

Sources :

La Directive : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR
Rapport « Panorama des cybermenaces 2022 » ANSSI : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf
Le Département de Seine-Maritime touché par une cyberattaque le 10 octobre 2022 : https://www.paris-normandie.fr/id349866/article/2022-10-10/le-departement-de-seine-maritime-touche-par-une-cyberattaque-les-services
Article concernant les obligations des EI et des EE : https://www.droit-technologie.org/actualites/directive-nis-2-renforcer-la-securite-it-en-europe/
ERIC HAZANE, (In)sécurité numérique et PME : transformer les défis en atouts, CAIRN : https://www.cairn.info/revue-securite-et-strategie-2016-2-page-14.htm
Pour en savoir plus sur le réseau Cyclone : https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/
Le cyber résilience Act : https://www.zdnet.fr/actualites/la-commission-europeenne-va-obliger-les-fabricants-d-objets-connectes-a-muscler-leur-cybersecurite-39947278.htm
Le cyber résilience Act : https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act
Proposition Règlement DORA : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595
Clara Saillant, « La directive SRI 2 : élargissement du champ d’application et renforcement de la coopération en matière de cybersécurité », Dalloz Actualités, Revue IP/IT, le 17 janvier 2023 : https://www-dalloz-actualite-fr.gutenberg.univ-lr.fr/flash/directive-sri-2-elargissement-du-champ-d-application-et-renforcement-de-cooperation-en-matiere

Par Murielle Cahen • internet-et-droit •

«< 35 36 37 38 39 >»

Murielle Cahen Cabinet d’avocats Paris

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

I. Les dispositions communes à tous les droits de la personne concernée

Qualité des personnes titulaires des droits

Les modalités d’exercice des demandes de droits

Les obligations des responsables de traitements

Les vérifications préalables

Les modalités de réponse et les garanties assorties

Les modalités et les délais de réponse

Les garanties assorties à l’exercice du droit des personnes

Les obligations spécifiques à l’exercice de certains droits

II. Les dispositions particulières propres à chaque droit

Le droit d’accès

Le droit de rectification

Le droit à l’effacement (ou « droit à l’oubli »)

Le droit à la limitation du traitement

Le droit à la portabilité des données à caractère personnel

Le droit d’opposition

Le droit de ne pas faire l’objet d’une décision individuelle automatisée

III. Les sanctions

PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)

I. La (nécessaire) modernisation du cadre juridique de la directive SRI

A. L’extension du champ d’application de la directive à de nouveaux secteurs

L’extension du champ d’application de la directive à de nouveaux secteurs d’activités

L’application facultative à certaines entités

L’exclusion des entités dont l’activité concerne la sécurité nationale

B. La restructuration des opérateurs de services essentiels

II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité

A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)

La sensibilisation comme pilier de la stratégie déployée par la directive

La désignation d’autorités compétentes en vue de favoriser la coopération

B. L’intervention de la réglementation dans des domaines annexes

La régulation dès la conception des objets connectés

Améliorer la résilience opérationnelle informatique des acteurs des services financiers

Internet et droit

# Coordonnées du cabinet

Contactez-nous

Murielle Cahen Cabinet d’avocats Paris

L’utilisation d’une image libre de droits ne dispense pas du respect du droit moral de l’auteur

I. L’appréciation de l’originalité de la photographie

A. Source de l’exigence

B. Preuve de l’originalité

II. Prérogatives accordées aux auteurs

A. Droit moral

1) Droit de divulgation

2) Droit de repentir

3) Le droit à la paternité

4) Le droit au respect de l’œuvre

B. Droits patrimoniaux

La composition des droits patrimoniaux.

Les caractères des droits patrimoniaux

III. L’atteinte au droit moral de l’auteur

L’EXERCICE DU DROIT DES PERSONNES (RGPD)

I. Les dispositions communes à tous les droits de la personne concernée

Qualité des personnes titulaires des droits

Les modalités d’exercice des demandes de droits

Les obligations des responsables de traitements

Les vérifications préalables

Les modalités de réponse et les garanties assorties

Les modalités et les délais de réponse

Les garanties assorties à l’exercice du droit des personnes

Les obligations spécifiques à l’exercice de certains droits

II. Les dispositions particulières propres à chaque droit

Le droit d’accès

Le droit de rectification

Le droit à l’effacement (ou « droit à l’oubli »)

Le droit à la limitation du traitement

Le droit à la portabilité des données à caractère personnel

Le droit d’opposition

Le droit de ne pas faire l’objet d’une décision individuelle automatisée

III. Les sanctions

LES DEADBOTS POUR CONTINUER D’ECHANGER AVEC LES MORTS

I. Notion de l’Intelligence Artificielle

II. L’utilisation de deadbot qui utiliserait les données personnelles de défunts pour continuer à dialoguer avec des personnes décédées

III. Réglementation de l’Intelligence artificielle en Europe

IV. Qu’est-ce que l’IA inacceptable au sens du Règlement ?

PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)

I. La (nécessaire) modernisation du cadre juridique de la directive SRI

A. L’extension du champ d’application de la directive à de nouveaux secteurs

L’extension du champ d’application de la directive à de nouveaux secteurs d’activités

L’application facultative à certaines entités

L’exclusion des entités dont l’activité concerne la sécurité nationale

B. La restructuration des opérateurs de services essentiels

II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité

A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)

La sensibilisation comme pilier de la stratégie déployée par la directive

La désignation d’autorités compétentes en vue de favoriser la coopération

B. L’intervention de la réglementation dans des domaines annexes

La régulation dès la conception des objets connectés

Améliorer la résilience opérationnelle informatique des acteurs des services financiers

Internet et droit

# Coordonnées du cabinet

Contactez-nous