Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 21 au 27 mars 2021

Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boullanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse, Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier

Sarah Ben Bouazza

Sarah Ben Bouazza

Solal Boullanger

Solal Boullanger

Arthur Clavier

Arthur Clavier

Lucas Cosset

Lucas Cosset

Loris Couvreur

Loris Couvreur

Arthur Derderian

Arthur Derderian

Cassandre Hodeau

Cassandre Hodeau

Soez Jarrousse

Soez Jarrousse

Camille Kurth

Camille Kurth

Léonard Marx

Léonard Marx

Mathilde Sauret

Mathilde Sauret

Taous Rabahi

Taous Rabahi

Logiciel espion Pegasus : les poursuites en diffamation intentées par le Maroc jugées irrecevables

Le 25 mars 2022, le tribunal correctionnel de Paris a déclaré irrecevable les plaintes en diffamation déposées par le Maroc contre des médias et ONG françaises qui avaient rendu public une enquête sur l’utilisation du logiciel espion Pegasus.

Pourquoi cette actu :
En juillet 2021, un consortium de dix-sept médias internationaux avait accusé le Maroc d’avoir utilisé Pegasus, logiciel conçu par la société israélienne NSO, dans sur la base de données obtenues par l’organisation Forbidden Stories et par Amnesty International. Depuis lors, le Maroc avait toujours fermement démenti avoir eu recours à ce logiciel espion conçu par la société israélienne NSO. Le tribunal correctionnel de Paris a déclaré les plaintes déposées irrecevables car au sens de la loi de 1881 sur la presse un État ne peut pas être recevable à agir sur le terrain de la diffamation.
Les avocats du royaume marocain soutenaient que leur demande était recevable parce que ce n’est pas l’État, mais une administration – les services secrets –, qui attaquaient en diffamation et envisagent de faire appel. Le fait est que l’affaire Pegasus met le Maroc dans l’embarras. Les médias français accusent le royaume d’avoir utilisé cette technologie d’espionnage contre des gouvernements étrangers, notamment Emmanuel Macron, qui en aurait été la cible, mais aussi envers son propre peuple et même la famille royale. Si de tels faits s’avéraient exacts, les conséquences pourraient être lourdes dans un contexte où le mouvement populaire de contestation du 20 février 2011 a laissé un amer sentiment d’inachevé chez de nombreux Marocains, notamment les plus jeunes qui avaient impulsé le mouvement via les réseaux sociaux. Aussi, cet article pose-t-il une question d’ampleur, à savoir celle de la diffusion des cyberarmes et des technologies d’espionnage dans des pays où la démocratie reste encore à achever. Ainsi, la société israélienne NSO a-t-elle développé et vendu son logiciel espion à des États et des acteurs privés, en sachant qu’ils pourraient l’utiliser à des fins d’espionnage contre des opposants politiques, des journalistes ou même des gouvernements étrangers, alors qu’à l’origine, il devait permettre de cibler des terroristes ou des criminels. À la différence des armements plus classiques, les logiciels espions à l’image de Pegasus ont la particularité de jouer davantage sur la discrétion en permettant un espionnage massif, de même qu’un véritable contrôle sur les populations. Ce sont donc de véritables armes antidémocratiques, dont il conviendrait d’encadrer la vente et la diffusion. L’acquisition de telles technologies pourrait mettre en péril la liberté d’expression, les forces d’opposition, voire la démocratie elle-même.

Fnac Darty accélère l’exploitation des données clients avec l’IA de Google Cloud

L’entreprise Fnac-Darty, spécialisée dans la distribution de matériel électro-ménager, de produits culturels et technologiques a récemment signé un contrat avec Google Cloud. Ce rapprochement a pour objectif d’améliorer l’expertise digitale de l’entreprise, afin de garantir une meilleure performance de ses sites, et de mieux appréhender l’intentions d’achats des clients. Les solutions Retail Search Big Query seront notamment déployées pour améliorer le parcours et l’expérience client web/mobile, anticiper les demandes et mieux gérer les promotions.

Pourquoi cette actu :

Après Kiabi, le Groupe Rocher ou encore Casino et LVMH, c’est au tour du poids-lourd du commerce en boutiques et en ligne Fnac-Darty de conclure avec le géant Google. Et l’objectif n’est pas uniquement de stocker les données clients mais aussi d’utiliser la panoplie de services Google dont permettant de fluidifier la navigation des utilisateurs au travers du site et de l’application Fnac-Darty, et ainsi de renforcer l’expérience utilisateurs, augmenter leur satisfaction et donc le taux dit de conversion. A l’heure où la souveraineté numérique européenne et le cloud souverain est au cœur des préoccupations des Institutions européennes, force est de constater que de tels services ne peuvent pour l’instant pas encore être proposés par des entreprises européennes. Ce qui signifie aussi que les données personnelles des clients de Fnac-Darty vont être stockées aux États-Unis et qu’en vertu du Cloud Act américain, le gouvernement américain pourra y accéder.
A l’heure où Google accumule les mises en demeure et les condamnations en France et en Europe pour non-conformité au RGPD, le fait que de grandes entreprises françaises concluent des contrats avec la Big tech pour l’utilisation d’outils d’intelligence artificielle nécessitant une grande quantité de données personnelles de leurs clients est plutôt inquiétant et peu propice à une souveraineté économique européenne amplement souhaitée.

Un « accord de principe » pour le successeur de Privacy Shield a été trouvé

Le 25 mars 2022, la présidente de la Commission européenne, Mme Ursula von Der Lyen, annonçait en présence du président Bident, qu’un « accord de principe » avait été trouvé afin d’instaurer « un nouveau cadre pour les flux de données transatlantiques ».

Pourquoi cette actu :

Cette annonce enthousiaste que l’on attendait depuis l’invalidation du Privacy Schield semble néanmoins masquer un plus grand défi : celui de la mise en place d’une telle réglementation. On se souvient que par deux arrêts successifs de la CJUE, saisie par Max Schrems, à l’époque jeune étudiant autrichien, la Cour avait invalidé le Safe Arbor puis le Privacy Shield, les textes encadrant le transfert des données personnelles des européens aux États-Unis. La CJUE avait pointé du doigt le très controversé « Cloud Act », instauré en 2018, qui autorisait les organes de justice américains à contraindre les fournisseurs de service à délivrer des informations sur les communications électroniques stockées sur des serveurs américains, mais aussi européens. Concernant les États-Unis, la Cour avait ainsi estimé que le droit américain en matière d’accès aux données par les services de renseignement et l’absence de droit au recours ne permettaient pas d’assurer un niveau de protection équivalent à celui du RGPD. A l’issue de l’invalidation des deux textes, il était possible de transférer les données vers un pays tiers en application d’un autre dispositif prévu par le RGPD, l’adoption de clauses contractuelles types (CCT) mises à jour par la Commission européenne en juin 2021 mais qui nécessitait une analyse au cas par cas suivant les entreprises qui procédaient.

En février 2022, la CNIL française saisie comme ses homologues par l’association Noyb, créé par Max Schrems, devenu avocat, avait ainsi déclaré comme non conforme au RGPD le transfert aux États-Unis de données par Google Analytics, permettant de disposer de statistiques de fréquentation d’un site web. Elle avait ainsi enjoint à un gestionnaire de site web de, soit cesser d’utiliser Google Analytics, soit de trouver un moyen de ne pas exporter les données aux États-Unis.

Ce cadre de transfert très complexe faisait donc peser des contraintes importantes sur les entreprises qui se trouvaient en insécurité juridique. Dans une lettre ouverte du 18 mai 2021, Syntec Numérique, Tech In France et l’Alliance française des industries du numérique avaient ainsi critiqué les recommandations prises dès novembre 2020 pour de tels transferts par le Comité européen des données personnelles (CEPD) complexifiant « les mécanismes usuels de transferts de données, pourtant essentiels pour les entreprises dans la gestion quotidienne de leurs activités » et appelant à l’adoption rapide d’un nouveau texte permettant de sortir les entreprises de l’impasse.

Ainsi, cette actualité met en valeur l’adoption de ce nouvel accord, devenu indispensable à la fois pour les grandes plateformes numériques américaines mais aussi pour les entreprises françaises et européennes y recourant. Néanmoins, certains acteurs semblent dubitatifs quant à sa mise en œuvre. Max Schrems, fondateur de l’association Noyb affirme sur le site internet de celle-ci : « Ce que Noyb entend, c’est que les États-Unis ne prévoient pas de modifier leurs lois de surveillance, mais seulement de rassurer l’exécutif. On ne voit pas comment cela pourrait passer le test de la CJEU. Les accords précédents ont échoué deux fois à cet égard ». Le pourfendeur du Privacy Shield s’est dit prêt à mener une nouvelle action en justice rapidement si un nouvel accord ne respectant pas les valeurs de l’UE venait à être signé.

Le ministère de l’Intérieur prévoit 8 milliards d'euros pour se numériser et lutter contre la cybercriminalité

Le gouvernement a présenté récemment en Conseil des ministres son projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Il fait suite au « Beauvau de la Sécurité » lancé en février 2021, et aux annonces faites fin 2021 et début 2022 par le président de la République. Le projet prévoit notamment d’allouer « une part très importante des moyens dédiée à la transformation numérique, pour que le ministère de l’intérieur se saisisse des opportunités qu’elle offre : démarches dématérialisées, outils de travail en mobilité, moyens d’investigation modernisés, lutte contre la cybercriminalité ». Près de 8 milliards d’euros y seront ainsi consacrés.

Pourquoi cette actu :
Alors que la numérisation de nos sociétés est devenue un enjeu central dans différents domaines, le gouvernement français a clairement exprimé une réaction engagée face à ce changement au travers de la présentation de son projet de loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI). Ce projet de loi présente un plan de modernisation numérique d’ampleur, mais il s’agit également d’un moyen de lutter contre la cybercriminalité. L’augmentation envisagée du budget d’un montant de 15 milliards d’euros d’ici fin 2027 est à la hauteur des objectifs fixés par le Président Emmanuel Macron. La création d’une nouvelle agence du numérique, dans le but de favoriser et soutenir la transition numérique du ministère de l’intérieur, permettra d’alimenter les forces de sécurité intérieure. Ainsi, il est question de façonner un exosquelette pour les policiers et gendarmes. Néanmoins, l’enjeu principal de ce projet de loi est la lutte contre la cybercriminalité. Le gouvernement français cherche à se doter d’une véritable crédibilité en la matière à l’heure où les cyberattaques et les « guerres du numérique » s’intensifient, à l’image du conflit opposant l’Ukraine et la Russie. En outre, les champs d’actions évoluent, tant sur le plan administratif que sur le terrain. La police française se verra ainsi dotée de nouveaux dispositifs tels que la saisie d’actifs numériques ou encore d’un standard d’appel « 17 cyber » qui servira à signaler et prévenir les cyberattaques. L’évolution se fait également sentir au niveau de la formation, puisque le gouvernement va créer une école de formation cyber, ce qui contribuera de manière conséquente à l’amélioration des capacités de lutte contre la cybercriminalité. On le voit la lutter contre la cybercriminalité s’organise en interne mais aussi à l’international grâce à une coordination forte entre des organismes comme Interpol ou Europol, dont les coups de filet récents contre des réseaux de cybercriminels ont montré leur particulière efficacité.

Roni Carta, 19 ans, hacker éthique

L’émergence de la profession de « hacker éthique » répond à l’accroissement du nombre d’attaques informatiques. Ce nouveau métier vise à protéger des entreprises et leurs données et donc indirectement leurs utilisateurs. Il a également pour objectif de trouver des failles dans les systèmes informatiques afin de les corriger. Roni Carta, alias Lupin, 19 ans, en est un exemple. 

Pourquoi cette actu : 

Si le piratage informatique a toujours été condamné, il arrive que des hackers vertueux ou bienveillants mettent leurs compétences à disposition d’entreprises ou d’organisations en échange souvent d’une rémunération. Malgré son jeune âge, Roni Carta en est un bon exemple et a déjà trouvé des failles chez des géants tels que Epic Games, Microsoft ou encore le département de la Défense américain. Mais il a été aussi également été le capitaine de l’équipe de France lors de la première coupe du monde d’hacker éthique, en février 2022, qu’il a d’ailleurs remporté. Pour lui un hacker éthique c’est un « ingénieur social » qui a pour objectif premier la protection des données des utilisateurs et le bon fonctionnement des entreprises. Ainsi dans un futur proche, nous pouvons imaginer un rôle central et nécessaire des hackers éthiques dans le monde de l’entreprise mais dans les conflits mondiaux à l’image de celui entre l’Ukraine et la Russie, où de nombreux hackers éthiques se sont mobilisés. Cette actualité montre au moins une chose : toute attaque de type nouveau engendre sa parade.

Focus de la semaine

En septembre prochain, une NFT Factory verra le jour à Paris

Une cinquantaine d’acteurs français du numérique, dont les licornes Sorare et Ledger, ont décidé d’unir leurs forces pour donner naissance à la NFT Factory, dans un lieu de 400 m² qui constituera la vitrine de l’écosystème français en ce domaine.

 

Pourquoi ce focus :

A l’heure où la question de la souveraineté numérique européenne et française se pose, on ne peut que se réjouir d’une telle actualité. Mais de quoi est-il question ? 

Le terme NFT signifie “Non fungible token”, en français un “jeton non fongible ». Les NFT sont ainsi des certificats numériques qui s’appuient sur la technologie des blockchains, ces protocoles informatiques permettant de chiffrer et sécuriser des transactions à travers le réseau Internet. Ils sont donc assimilables à des crypto-monnaies dans la même catégorie que les bitcoins. Toutefois au contraire des bitcoins qui sont échangeables entre eux, l’intérêt d’un NFT est son caractère non fongible, ainsi chaque jeton est unique, et ne peut être reproduit.

Ces NFT permettent dès lors d’attester de l’authenticité d’un objet virtuel, attestant du caractère unique du bien acquis. Les NFT ont ainsi fait exploser les secteurs de l’art numérique, des jeux vidéo de nouvelle génération. La société Yuga Labs, une start-up américaine, basée à Miami, est ainsi à l’origine de la collection de NFT Bored Ape Yacht Club, regroupant 10 000 dessins uniques de singes humanisés, devenus particulièrement populaires ces derniers mois et qui ont séduit de nombreuses personnalités comme le footballeur Neymar ou l’acteur Omar Sy. Le vent en poupe, la société est désormais valorisée à 4 milliards de dollars.

L’année 2021 restera ainsi celle de l’avènement des NFT, avec 25 milliards de dollars de ventes dans le monde. Selon une enquête KMPG réalisé récemment pour l’Association pour le développement des actifs numériques (Adan), les NFT commencent à rencontrer un certain succès en France. Afin d’anticiper leur développement rapide une cinquantaine d’acteurs français du numérique (artistes, consultants, entrepreneurs, investisseurs…), dont les licornes Sorare et Ledger, ont donc décidé d’unir leurs forces pour donner naissance à la NFT Factory.

Un espace de 400 m² doit ouvrir ses portes en septembre prochain à Paris pour fédérer l’écosystème français, en réunissant des acteurs des NFT, mais aussi du métaverse et de la blockchain, deux secteurs qui devraient être au centre des usages de ces jetons numériques. La NFT Factory hébergera une galerie pour accueillir des expositions de NFT, un espace événementiel pour des rencontres, des conférences et des sessions de formation pour les entreprises. Il y aura également un espace de coworking à disposition des artistes et des entrepreneurs. Cet espace sera destiné à la fois aux professionnels mais aussi au grand public. En mai prochain, un programme d’adhésion au travers d’une collection de 1000 NFT sera lancée puis en juillet, un événement de deux jours, la NFT Pop Up Factory, sera organisé à Paris, avec une exposition, des conférences et des sessions de formation. Après le souhait de Emmanuel Macron de créer un métaverse européen, la mobilisation au plus tôt des acteurs concernés par les NFT est bienvenue et permettra peut-être que la France soit, si ce n’est leader, au moins un acteur majeur.

Le point de vue étudiant

Le Digital Market Act en voie d’adoption définitive ou le contrôle des gatekeepers en marche

Le 24 mars 2022, le Conseil et le Parlement européens sont parvenus à un accord portant sur la législation sur les marchés numériques ou Digital Market Act. Ce texte, qui vise à rendre le secteur numérique plus équitable et plus compétitif, suit les volontés exprimées par la Présidente de la Commission européenne, Madame Ursula von der Leyen, lors du discours sur l’État de l’Union, le 15 septembre 2021, s’agissant de la création d’une souveraineté numérique européenne. S’adressant aux députés, elle a alors déclaré : « Pour notre reprise, le marché unique est le moteur de la compétitivité et d’emplois de qualité. C’est particulièrement important pour le marché unique numérique. Nous avons formulé des propositions ambitieuses au cours de l’année écoulée. Pour restreindre le pouvoir de contrôleur d’accès dont jouissent les grandes plateformes ; pour mettre ces plateformes face à leur responsabilité démocratique ; pour favoriser l’innovation ; pour canaliser la puissance de l’intelligence artificielle. Le numérique est l’enjeu décisif. Et les États membres partagent ce point de vue. »

Le Digital Market Act (DMA) vise à s’assurer qu’aucune grande plateforme en ligne en position de contrôleur d’accès ou gatekeeper visàvis d’un grand nombre d’utilisateurs n’abuse de cette position, au détriment des entreprises qui souhaitent accéder à ces utilisateurs. Tel est le cas des moteurs de recherche ou des réseaux sociaux, dont le chiffre d’affaires est estimé à plusieurs milliards d’euros. Le Conseil et le Parlement européens sont convenus que pour qu’une plateforme soit qualifiée de gatekeeper, elle devra, d’une part, dans les trois dernières années, soit réaliser un chiffre d’affaires annuel d’au moins 7,5 milliards d’euros au sein de l’Union européenne (UE), soit avoir une valorisation boursière d’au moins 75 milliards d’euros, et qu’elle devait compter au moins 45 millions d’utilisateurs finaux mensuels et au moins 10 000 utilisateurs professionnels établis dans l’UE.

En outre, la plateforme concernée devra contrôler un ou plusieurs services de plateforme de base (« core platform services ») dans au moins trois États membres. Ces services comprennent les places de marché et les boutiques d’applications, les moteurs de recherche, les réseaux sociaux, les services en nuage (cloud), les services de publicité, les assistants vocaux et les navigateurs web. 

Les PME devraient être en principe exemptées des obligations afférentes aux gatekeepers mais une catégorie de « contrôleur d’accès émergent » a été prévue, permettant à la Commission européenne d’imposer certaines obligations aux entreprises dont la position concurrentielle sera démontrée mais pas encore durable.

 

Les contrôleurs d’accès seront ainsi assujettis à un certain nombre d’obligations , comme par exemple ne pas imposer l’installation de logiciels par défaut à l’installation du système d’exploitation,  assurer l’interopérabilité des fonctionnalités de base de leurs services de messagerie instantanée, assurer le droit des utilisateurs de se désabonner des services de la plateforme de base dans des conditions similaires à l’abonnement, ou encore donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur la plateforme. 

 

Le DMA a identifié et interdit les pratiques les plus répréhensibles des géants du numérique qui ont donné lieu à de nombreuses condamnations emblématiques. Comme par exemple classer leurs propres produits ou services de manière plus favorable que ceux des autres acteurs du marché, réutiliser les données personnelles collectées lors d’une prestation pour les besoins d’une autre prestation, établir des conditions déloyales pour les utilisateurs professionnels, imposer aux développeurs d’application pour être référencés dans les magasins d’application l’utilisation de certains services comme un système de paiement précis.

 

Afin d’assurer un haut niveau d’harmonisation sur le marché intérieur, la Commission européenne sera la seule instance habilitée à faire appliquer le règlement qui sera adopté. Dès lors, si un contrôleur d’accès enfreint les règles fixées par la législation, il pourra encourir une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial total et en cas de récidive, une amende pouvant aller jusqu’à 20 % du chiffre d’affaires mondial. Dans le cas où un contrôleur d’accès adopterait un comportement de non-respect systématique du DMA, en enfreignant les règles au moins 3 fois en 8 ans, la Commission européenne pourra alors ouvrir une enquête de marché et, si nécessaire, imposer des mesures correctives comportementales ou structurelles.

 

Une plateforme pourra certes contester sa désignation en tant que contrôleur d’accès au moyen d’une procédure spécifique, permettant alors à la Commission de vérifier la validité de ces arguments qui auront intérêt à être solides et documenter.

 

Certains points restent encore à revoir par les co-législateurs comme en matière d’interopératiblité. 

 

Andreas Schwab (PPE, DE), rapporteur de la commission du marché intérieur et de la protection des consommateurs, a conclu, après les négociations, que « cet accord inaugure une nouvelle ère en matière de règlementation des technologies dans le monde. La législation sur les marchés numériques met fin à la dominance toujours plus grande des grandes entreprises technologiques. Désormais, elles devront démontrer qu’elles permettent l’expression de la libre concurrence sur le net. Les nouvelles règles aideront à renforcer ce principe de base. L’Europe garantit ainsi plus de concurrence, d’innovation et de choix pour les utilisateurs. »

 

Enfin, il faut également souligner que la protection des données personnelles s’en trouvera renforcée. En effet, les data utilisées à des fins de ciblage publicitaire seront autorisées seulement si l’utilisateur donne son consentement de manière explicite. 

 

Il ne reste plus qu’une étape procédurale pour l’entrée en vigueur du DMA : l’adoption du texte par le Parlement et le Conseil européen. Il pourra alors être effectif six mois après sa publication au journal officiel de l’UE.  Côté Conseil, la présidence entend soumettre l’accord au Comité des représentants permanents (Coreper) pour approbation à bref délai.

Le DMA est le premier des textes en matière numérique qui sera ainsi adopté. Les prochains comme le DSA (Digital Service Act)n également très attendu, seront sans doute moins consensuels et correspondront certainement beaucoup moins à la vision initiale de la Commission européenne et du Sénat français. La pression des lobbies, très nombreux à Bruxelles, aura sans doute raison des ambitions affichées par la présidence française de l’UE.

 

Par Inès Chenouf, étudiante en M2 DDA, sous la supervision d’Isabelle Bufflier et de Frédéric Munier.