Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 31 au 05 février 2021

Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boullanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse, Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier

Sarah Ben Bouazza

Sarah Ben Bouazza

Solal Boullanger

Solal Boullanger

Arthur Clavier

Arthur Clavier

Lucas Cosset

Lucas Cosset

Loris Couvreur

Loris Couvreur

Arthur Derderian

Arthur Derderian

Cassandre Hodeau

Cassandre Hodeau

Soez Jarrousse

Soez Jarrousse

Camille Kurth

Camille Kurth

Léonard Marx

Léonard Marx

Mathilde Sauret

Mathilde Sauret

Taous Rabahi

Taous Rabahi

Des dérives dans la surveillance en ligne des Américains constatées par le contrôleur de la NSA

Les révélations d’Edward Snowden en 2013, concernant le système de surveillance de la National Security Agency (NSA), refont surface au travers d’un rapport publié le lundi 31 janvier par le contrôleur général de ce service. Il signale, en effet, des manquements à la loi et aux procédures internes de l’agence. Force est de constater que la loi octroie la possibilité à la NSA de collecter des données personnelles, appartenant aux citoyens américains, sous condition que la recherche effectuée permette de recueillir des renseignements qui concernent des sujets « étrangers ». De fait, cette loi est sujette à de nombreuses interrogations concernant la NSA et son traitement des données personnelles.

Pourquoi cette actu :

Cette actualité remet au goût du jour les interrogations concernant la protection de nos données personnelles. Cette polémique fait, en effet, fortement écho aux révélations d’Edward Snowden en 2013 qui dénonçait déjà un système de surveillance de masse organisé par de la NSA Cette révélation avait entraîné en 2015 l’adoption d’un USA Freedom Act, destiné à limiter la capacité de surveillance de la NSA. Cette actualité révèle cependant que l’agence nationale américaine semble faire fi de cette régulation. En 2020 déjà, un programme de surveillance téléphonique de la NSA avait été jugé illégal par une cour d’appel fédérale. Le droit américain, bien que plus laxiste que le RGPD mis en place par l’UE, établit pourtant dans le Privacy Act de 1974 un code à suivre au niveau fédéral dans le recueillement/la collecte et l’utilisation des données personnelles identifiables des citoyens américains. Cette surveillance de masse de la National Security Agency, et ces accusations d’espionnage à grande échelle posent bien évidemment la question des libertés individuelles des citoyens américains, mais aussi celle de la sécurité nationale des Etats du monde entier. En effet, en mai 2021, une enquête de la télévision publique danoise révélait que la NSA serait également impliquée dans la surveillance de parlementaires et hauts fonctionnaires européens entre 2012 et 2014 depuis le Danemark. Malgré ces révélations, le lanceur d’alerte Edward Snowden reste toujours exilé en Russie, où il vient de lancer un NFT (certificat d’authenticité numérique) dont les profits de sa revente iront au bénéfice de la liberté de la presse.

Le projet de cryptomonnaie de Meta abandonné

En 2019, Facebook se lançait dans la création de sa toute première cryptomonnaie, Libra, récemment renommée Diem. Cette monnaie virtuelle devait être contrôlée par une fondation à but non lucratif. L’objectif principal de Facebook lors du lancement de Diem était triple : faciliter les transferts de monnaie entre les pays, réduire les intermédiaires dans les transactions monétaires et limiter les risques de change en garantissant la stabilité du cours de la monnaie. Toutefois, le 31 janvier 2022, Meta décidait de vendre son projet à la banque californienne Silvergate. Le montant du rachat s’élève à 182 millions de dollars, mettant fin au projet Diem, sous sa forme initiale en tout cas. La raison de cet échec serait la grande défiance des autorités de régulation et des États vis-à-vis de la plateforme.

Pourquoi cette actu :

Avec près de 2 milliards de membres à travers le monde, Meta – ex-Facebook – et ses pratiques ont souvent été fustigées. Par des lanceurs d’alerte, souvent, comme l’ex-salariée Frances Haugen dénonçant les effets pervers des algorithmes de la Big tech et ses effets inacceptables sur les adolescents. Par des chercheurs et sociologues, aussi, comme Shoshana Zuboff dans son ouvrage L’ ge du capitalisme de surveillance dénonçant la captation de nos données réalisées pour mieux les orienter, modifier et conditionner nos comportements. En créant un « Oversight Board », Conseil de surveillance chargé de se prononcer sur les décisions de censure prises par le réseau social et en cherchant à mettre en place une cryptomonnaie, le Libra, manifestations régaliennes d’un réseau social qui a pris une ampleur inégalé, Facebook et son PDG Mark Zuckerberg ont montré à l’évidence la volonté de s’affirmer comme un véritable État dans l’État. Sur leur route, ils ont cependant rencontré l’hostilité des banques européennes, et face à la tourmente créée, et malgré un changement de nom, tactique désormais éprouvée de la Big tech, le projet de battre monnaie, pourtant novateur et révolutionnaire, a finalement été abandonné et revendu. Face à l’adversité récurrente rencontrée et les multiples condamnations juridiques et médiatiques, en Europe comme aux États-Unis, le résultat est là : une chute spectaculaire de 26% la semaine dernière des actions de la société, sans doute en lien direct avec la perte d’un million d’utilisateurs en 3 mois. Un ancien cadre influent de l’entreprise, Nikita Bier, a fait part de ses doutes et de ses craintes concernant le futur de la firme. Il affirmait le 2 février sur Twitter que les utilisateurs qui rapportaient le plus de revenus publicitaires à Facebook avaient massivement quitté le réseau social, privilégiant dorénavant la plateforme TikTok. Enfin, l’ « App tracking transparency » mis en place par Apple au printemps dernier et permettant de limiter le ciblage publicitaire des utilisateurs pourrait à terme fortement impacter Facebook, l’empêchant de capter autant de données personnelles que souhaité et diminuant à l’évidence les recettes de la société. Finalement bien que l’activité du groupe Meta soit toujours aussi florissante, certains signes de faiblesse semblent se manifester, pouvant compromettre à terme l’omnipotence de la société.

Véhicule autonome : Waymo invoque le secret des affaires pour ne pas publier les données de ses accidents

Le 31 janvier 2022, la Cour supérieure de Sacramento a rendu un jugement dispensant Waymo, filiale de groupe Alphabet, piloté par les dirigeants de Google, de divulguer les données sur ses essais de ses véhicules autonomes et les éventuels accidents que ceux-ci auraient causés. Cette décision fait suite à l’action en justice déposée par Waymo contre le Department of Motor Vehicules (DMV) de Californie. Ce dernier exigeait jusque-là des entreprises exploitant ce type de véhicule sur le sol californien qu’elles lui communiquent chaque année un rapport précis de leur activité. Dans son recours, Waymo estimait que rendre public ce type d’information était « contraire au droit des affaires » et pouvait la mettre en situation de « désavantage concurrentiel ».

Pourquoi cette actu :

Cette actualité illustre les enjeux juridiques et industriels consécutifs au développement des véhicules autonomes et en particulier, le croisement des données des utilisateurs et les données techniques des tests récoltées par les entreprises. Car si la firme Waymo agit en justice pour mieux protéger ses données industrielles et stratégiques, elle obtient aussi la possibilité de ne pas divulguer les données des utilisateurs qu’elle a récoltées. Que cela intervienne en Californie n’est pas une coïncidence car cet État a récemment mis en place le California Consumer Privacy Act qui, dans sa forme et dans son fond, à l’image au RGPD européen encadre strictement sur la récolte et le traitement des données personnelles. Cette législation pourrait constituer la première étape d’une régulation à l’échelon fédéral. Même si la filiale d’Alphabet a obtenu gain de cause, la gestion du croisement des données issues notamment des véhicules autonomes va devenir certainement à plus vaste échelle un enjeu national et mondial.

Le Royaume-Uni plaide pour que les géants du web remboursent les victimes de fraudes en ligne

En 2021, le Royaume Uni est devenu le pays où la fraude bancaire a été la plus importante (754 millions de livres) avec une augmentation de plus de 30% par rapport à 2020. De nombreux internautes en ayant été victimes, les députés britanniques ont décidé de réagir et ont fait une proposition au sein d’un rapport rendu récemment. Ils estiment que les Big tech comme Google et Meta (ex-Facebook) qui peuvent bénéficier d’importants revenus publicitaires provenant de sites non sécurisés devraient être en mesure de rembourser les victimes de fraudes en ligne. Ce serait un moyen efficace d’appliquer le principe de “pollueur-payeur” et de responsabiliser les GAFAM.

Pourquoi cette actu :

Alors que Londres s’est targuée pendant de nombreuses années d’être la capitale de la finance, mais que l’économie britannique post-Brexit accuse un effritement marqué , cinq banques et une douzaine de spécialistes de cybersécurité ont alerté récemment sur le fait le pays était devenu l’épicentre mondial d’attaques frauduleuses avec un taux trois fois plus élevé qu’aux Etats-Unis.
Le développement de l’industrie de la fraude britannique s’explique en partie par son infrastructure de paiement ultra-rapide, l’expansion des cryptomonnaies peu encadrées, la faible répression des cybercriminels (moins de 1% des ressources policières y sont dédiées) et l’utilisation de la langue anglaise, la plus communément parlée par les pirates. Les Big tech et leurs plateformes (Google, Facebook, Amazon…) sont également accusées de prendre le problème à la légère.

Et comme les hackers à l’origine de ces fraudes restent impunis, les députés britanniques ont eu l’idée de responsabiliser les GAFAM qui profitent indirectement de ces fraudes alors qu’ils ont davantage le moyen de sécuriser leurs sites et leurs outils (messageries, publicités etc) par lesquels passent les fraudeurs. Le gouvernement de son côté ne reste pas les bras totalement croisés. Afin de garantir une meilleure protection des données personnelles et notamment des données bancaires, le gouvernement a ainsi obligé les entreprises comme Facebook et Microsoft à ne diffuser que des publicités venant de services financiers autorisés par la FCA (Financial Conduct Authority). Les réactions des députés et du gouvernement sont bienvenues si le pays, déjà soupçonné de vouloir devenir un paradis fiscal, ne veut pas une terre d’élection de fraudes en tous genres au bénéfice notamment des GAFAM. C’est aussi une manière pour le Royaume-Uni de réaffirmer sa souveraineté numérique en rappelant aux GAFAM qu’ils ne sont pas seuls maîtres à bord et pas intouchables.

La Chine veut nettoyer son web à l’approche des JO de Pékin

À la suite du Nouvel An chinois en date du 1 février 2002, et dans la perspective des Jeux Olympiques de Pékin, la Chine a décidé d’adopter une politique de restriction et de censure sur son cyberespace. Ce nettoyage du web chinois sera orchestré par la Cyberespace Administration of China (CAC) qui supprimera les contenus concernant les jeux d’argents, la communauté LGBT ou encore les sites à caractères pornographiques. Derrière cette campagne de « nettoyage » d’internet, se cache une volonté de redorer l’image de la Chine au regard de valeurs que défend le Parti Communiste.

Pourquoi cette actu :

Si certains sites ou réseaux sociaux étaient d’ores et déjà interdits en Chine, le nettoyage ainsi opéré du web vient marquer une fois de plus la volonté de la République Populaire de Chine de contrôler la liberté d’expression et de pensée de sa population. Afin d’y parvenir, le gouvernement chinois a mis en place une armée de policiers du Net ayant pour objectif de surveiller et d’éradiquer toute expression qui viendrait en contradiction avec la ligne gouvernementale. Pourtant la Chine cherche au plan géopolitique à faire illusion au niveau international et rassurer ses adversaires économiques, voire à les contourner. En faisant par exemple la promotion de sa nouvelle loi sur la protection des données entrée en vigueur en novembre 2021 et en la comparant au RGPD européen alors que celle-ci ne trompe personne, elle n’est là que pour identifier les opposants ou dissidents politiques réfractaires. Ou encore en cherchant à créer un comité sur les semi-conducteurs en y intégrant des sociétés américaines et européennes pour mieux contourner les sanctions américaines contre la répression des ouïgours.

Focus de la semaine

Le travail à domicile entraîne une forte augmentation des menaces internes

En ce début d’année, IBM a rendu son rapport annuel sur les coûts générés par des menaces informatiques internes à l’échelle mondiale (Cost of Insider Threats Global). Ce rapport met en évidence l’influence du télétravail sur les cybermenaces de fuite de documents confidentiels via internet. Ces dernières ont augmenté de 44%. IBM explique cette hausse notamment par le manque de vigilance des salariés en télétravail et les difficultés rencontrées par les équipes chargées de la sécurité pour faire appliquer les règles de sécurité et confidentialité à l’extérieur des entreprises.

Pourquoi ce focus :

L’extension précipitée du télétravail, liée à la pandémie mondiale, a accéléré la prolifération des attaques à l’encontre des entreprises. La pandémie et la généralisation du télétravail ont entrainé une multiplication des lieux et des conditions de travail, véritable aubaine pour les pirates informatiques. Ces derniers ont désormais de nouvelles cibles : les réseaux privés des employés. La négligence de ces derniers ou leur manque de formation en matière de sécurité expliquerait leur vulnérabilité et les 56% des attaques subies.

Cette brèche inédite dans la sécurité des organisations ouvre la voie à une forme renouvelée de cyberattaques et/ou d’espionnage industriel : des cyberattaques massives ciblant directement les employés, leurs données personnelles mais aussi celles professionnelles de l’entreprise. En plus d’être discrètes, les attaques numériques à des fins d’espionnage sont plus fréquentes, plus virulentes. Elles portent souvent atteinte à la propriété intellectuelle des entreprises et sont donc lourdes de conséquences. En conséquence, les entreprises doivent monter des nouveaux remparts protégeant leurs réseaux locaux mais aussi à distance, même lorsque ceux-ci se diversifient ainsi que toutes les équipes. Quand on sait qu’aujourd’hui les cyberattaques sont menées non seulement par des hackers à des fins personnelles et financières mais également par des États en vue d’en déstabiliser d’autres, souvent plus démocratiques, le recours à cette nouvelle forme d’attaque – que l’on appelle le « sharp power » – ciblant potentiellement aussi les employés à leur domicile doit inquiéter les organismes chargés de les contrer comme Interpol, Eurojust et Europol.

Le point de vue étudiant

OVH Cloud dans la tourmente

Si OVHcloud, créé en 1999 sous le nom d’OVH, est devenu un acteur français incontournable des services d’hébergement de serveurs pour le secteur public comme privé, et cela dans toute l’Europe, il est probable que vous n’en ayez entendu parler pour la première fois qu’en mars 2021. En effet, peu de temps après l’entrée en bourse de l’entreprise un redoutable incendie se déclencha dans le centre de donnée d’OVH, situé à Strasbourg. L’un des quatre centres de données du groupe fut totalement détruit, un autre partiellement et les deux derniers furent épargnés mais firent face à un arrêt de fonctionnement durant l’incendie. C’est alors 3,6 millions de serveurs web représentant 464 000 noms de domaines qui disparurent ce soir-là, touchant alors 12 000 à 16 000 clients de l’entreprise. Pendant plusieurs jours, les serveurs d’OVH ont été inutilisables. 

Certaines entreprises et personnes touchées par cet incident ont décidé de mener des actions en justice contre l’hébergeur pour obtenir réparation de leur préjudice réel. Une action de groupe débutée par sept entreprises et regroupant désormais plus de 103 entreprises avait été intentée dès mars 2021 contre l’hébergeur français. Cette action de groupe ou recours collectif – forme de class action à l’américaine – est portée par le cabinet d’avocats parisien Ziegler & Associés. Il est reproché à l’entreprise d’avoir indemnisé le préjudice de ses clients avec une somme identique, quel que soit le préjudice individuel subi par chaque entité. Le groupe a invoqué une clause limitative de responsabilité placé dans le contrat d’hébergement que le cabinet entend écarter. En effet, un article du Code Civil (art. 11771) prévoit l’anéantissement d’une clauses qualifiée abusive à l’origine d’un déséquilibre significatif dans l’économie du contrat. L’objectif du cabinet est aujourd’hui de voir écarter la clause pour mieux estimer le coût réel de la panne engendrée par les incendies d’OVH pour chaque entreprise rejoignant le recours collectif. Les estimations pour le préjudice total engendré tournent autour de 9,2 millions d’euros. Les avocats souhaitent d’abord négocier avec OVH dans une phase préalable de négociations qui restera confidentielle, à défaut d’accord trouvé avant fin février, l’entreprise pourrait alors se retrouver dans un procès perdu d’avance. OVHcloud affirme néanmoins que l’entreprise a engagé des moyens d’accompagnement rapidement pour aider les clients impactés par l’incident, et que chaque cas individuel est étudié au cas par cas par l’entreprise. 

Si ce recours collectif rassemble déjà de nombreuses entreprises de grande taille, elle est de plus accompagnée de quatre nouvelles actions individuelles, portées par le même cabinet et initiées par un groupe du CAC 40 ainsi que trois sociétés de 10 000 à 15 000 salariés. Ces actions individuelles pourraient donner un poids supplémentaire à l’action de groupe et permettre aux entreprises touchées d’être indemnisées à la hauteur de leur préjudice réel. 

Alors que les GAFAM continuent de gagner en importance en Europe, au mépris de la sauvegarde des droits fondamentaux des européens, cet épisode ne manquera pas de ternir l’image du porte drapeau de la French Tech. En effet, les différentes failles de sécurité, voire de manquements au RGPD invoqués contre OVH ont été dévoilés à la suite de l’incendie et ne manqueront pas de défrayer la chronique si l’entreprise s’engage dans un procès ou dans des procès multiples. Dans un milieu aussi concurrentiel et alors que les GAFAM redoublent d’efforts pour éviter d’appliquer le RGPD et faire barrière à de nouveaux règlements protégeant les données personnelles des européens, le recours collectif envisagé complété par de multiples actions individuelles pourraient créer un frein considérable au développement d’OVH. La souveraineté numérique européenne dont il est beaucoup question en ce moment et qui est au cœur des débats de la présidence française de l’UE, pourrait s’en trouver encore fragilisée : OVHCloud s’affaiblissant, les entreprises et le service public français pourrait être forcés de voir leurs serveurs hébergés chez un autre fournisseur, qui ne sera peut-être pas européen. Et ce n’est pas le projet Gaia X à l’arrêt ou presque qui parviendra à inverser cette tendance.

 

Par Gwennaëlle Caer, étudiante en Master 2 Management & Droit des affaires SKEMA, sous l’œil bienveillant de Isabelle Bufflier et Frédéric Munier, professeurs SKEMA