Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 14 au 20 mars 2022

Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse  Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :

Sarah Ben Bouazza

Sarah Ben Bouazza

Solal Boullanger

Solal Boullanger

Arthur Clavier

Arthur Clavier

Lucas Cosset

Lucas Cosset

Loris Couvreur

Loris Couvreur

Arthur Derderian

Arthur Derderian

Cassandre Hodeau

Cassandre Hodeau

Soez Jarrousse

Soez Jarrousse

Camille Kurth

Camille Kurth

Léonard Marx

Léonard Marx

Mathilde Sauret

Mathilde Sauret

Taous Rabahi

Taous Rabahi

Le Président ukrainien légalise l’industrie des cryptomonnaies

Le 18 mars dernier, le président ukrainien Volodymyr Zelensky et le ministre en charge de la transformation numérique ont déclaré que les devises numériques ukrainiennes et étrangères seront désormais reconnues sur leur territoire.

Pourquoi cette actu :

Après avoir collecté près de 100 millions d’euros en cryptomonnaies de la part des pays alliés, le président ukrainien a décidé, par le biais d’un projet de loi, d’officialiser les devises numériques afin de pouvoir utiliser au mieux ces sommes à la défense du pays et à l’aide aux personnes civiles. Cela permettra ainsi aux sociétés créatrices de ces cryptomonnaies d’ouvrir des comptes officiels au sein des banques urkainiennes. Cette somme est non négligeable pour le pays en proie à la guerre et a permis, entre autres, un approvisionnement en matériel militaire. En effet, du fait de la guerre, la devise nationale, la hryvnia, s’est écroulée. Légaliser les cryptomonnaies – l’Ukraine en reconnaîtra 11 dont le Bitcoin, l’Ethereum, ou encore le Dogecoin – permet au pays de bénéficier de leur stabilité. Cette décision n’est pas sans précédent : en 2021, le Salvador a lui-aussi fait du bitcoin une monnaie légale. Jamais interdites, ces monnaies virtuelles demeuraient cependant dans une zone grise. Ce projet de loi permet donc à la fois leur légalisation mais aussi leur encadrement puisque les conditions d’achat et d’échange seront surveillées et contrôlées. Néanmoins, ces cryptomonnaies ne seront pas considérées comme une monnaie officielle c’est-à-dire pouvant servir comme moyen de paiement. In fine, la guerre et l’urgence d’achat d’armes et de ravitaillement ont accéléré un processus qui, sinon, aurait pris des années.

L'Assurance maladie victime d'une fuite de données, 510 000 victimes à déplorer

Le 17 mars 2022, l’Assurance maladie a déclaré avoir été victime d’une fuite de données massive, à la suite d’un piratage de plusieurs comptes Amelipro. Pour avoir accès à ces informations, les auteurs de cette attaque ont pris le contrôle de pas moins de 19 comptes professionnels, dont les identifiants et les mots de passe sont désormais en accès libre sur le Darknet. 510 00 Français sont concernés et devraient être contactés directement par l’Assurance maladie pour être sensibilisés quant aux risques d’hameçonnage dont ils pourront faire l’objet, dans la mesure où leurs informations personnelles telles que leur âge, leur taille, nom et prénom ainsi que leur numéro de sécurité sociale, sont concernés. Un ensemble de mesures a été pris dès l’identification de l’attaque informatique. Les adresses IP concernées ont été bannies et les comptes professionnels réinitialisés. L’Assurance maladie affirme continuer à surveiller les éventuelles anomalies d’identification sur portail amelipro.

Pourquoi cette actu :
Alors que le projet de loi santé plaçait le numérique au centre des préoccupations, le secteur de la santé doit faire face, ces derniers mois, à une multiplication des fuites de données et des cyberattaques, apparaissant comme fragilisé et incapable de se protéger. Déjà en février 2021, les données de plus de 490 000 patients, stockées par des laboratoires d’analyse médicale avaient été retrouvées en libre accès sur Internet. Puis en août 2021, ce sont les résultats de 700 000 tests Covid qui étaient exposées à la suite d’une faille de sécurité de la plateforme Francetest. Enfin, en septembre 2021, 1,4 millions de personnes voyaient leurs données volées alors qu’elles étaient stockées par l’Assistance publique-Hôpitaux de Paris
Il semble que ces fuites de données soient causées par un manque de sécurité suffisante des professionnels de santé, des sites d’assurance maladie, ou encore des bases de données des établissements de santé. Dans le cas présent, et comme le prévoit le RGPD, toutes les personnes dont les données ont été fuitées seront contactées personnellement par l’Assurance maladie. Celle-ci est sur la sellette car elle pourrait lui être reprochée de ne pas avoir suffisamment sécurisée ses systèmes d’information. La CNIL a été saisie et une plainte a été déposée.

La CNIL irlandaise condamne Meta à une amende de 17 millions d’euros pour violation du RGPD

À la suite de douze violations de données personnelles des utilisateurs survenues en 2018, la Data Protection Commission (DPC) – CNIL irlandaise – a sanctionné le groupe Meta d’une amende de 17 millions d’euros. Meta a réagi à cette sanction tardive pour non-respect du RGPD en avançant que les pratiques en matière de protection des données avaient été depuis mises à jour.

Pourquoi cette actu :
À l’heure où l’Irlande semble vassalisée par les géants du numérique américains, l’amende de 17 millions d’euros dont écope Meta, plus de 3 ans après la constatation d’une violation de plusieurs obligations imposées par le RGPD, met en lumière la réaction tant attendue de la CNIL irlandaise. Il est en effet reproché à celle-ci son inaction récurrente face aux Big tech dont le siège social se situe pour la plupart d’entre elles, en Irlande, avec à la clé, des avantages fiscaux éclairants. La Commission européenne avait plusieurs fois averti l’Irlande qu’elle devait prendre des mesures plus restrictives à l’égard des GAFAM et les autres CNIL européennes avaient également appelé à une réaction plus musclée de la CNIL irlandaise. Ce fut le cas notamment lorsque la DPC irlandaise avait proposé une amende entre 30 et 50 millions d’euros contre Whatsapp, en tant qu’autorité chef de file au sens de l’article 60 du RGPD, mais les autres autorités européennes avaient critiqué ce montant pour elles trop faible, et le Comité européen pour la protection des données avait alors imposé à la DPC une décision contraignante avec un montant de l’amende réajusté à 225 millions d’euros. Même si les montants à verser restent une faible part du chiffre d’affaires de Meta, cette nouvelle décision est peut-être un signe encourageant que l’Irlande rentre dans le rang. Il est encore trop tôt pour le dire et il convient d’attendre la suite pour en être certain.

Wikipédia, victime de la guerre de l’information dans le conflit russo-ukrainien

Les autorités russes et plus particulièrement le régulateur d’internet Roskomnadzor ont menacé dernièrement de bloquer les pages en langue russe du site Wikipédia. Le Kremlin accuse l’encyclopédie en ligne de relayer de fausses informations et d’employer les mauvais termes pour qualifier la guerre en Ukraine. En effet, selon la version officielle russe, il ne s’agit pas d’une « guerre » mais avant tout d’une « intervention spéciale sur le territoire ukrainien ». La communauté d’internautes, après de nombreux débats, a, quant à elle, choisi de qualifier la crise en Ukraine « d’invasion », contredisant directement la version officielle des autorités russes.

Pourquoi cette actu :

La décision des autorités russes découle du fait que la population s’informe de plus en plus par le biais de Wikipédia, notamment au sujet du conflit russo-ukrainien. Pierre-Yves Beaudouin, administrateur de Wikimédia France, a d’ailleurs compilé les chiffres des pages les plus vues, depuis le début du conflit. L’article en version russe sur ce conflit russo-ukrainien est le plus lu quotidiennement en Russie et totalise 9 millions de vues, ce qui est « exceptionnel ». C’est aussi parce que Wikipédia constitue parfois la seule alternative aux médias gouvernementaux depuis que les principaux réseaux sociaux ont été interdits. D’une façon plus générale, le conflit militaire actuel se double d’une lutte dont l’enjeu pour Moscou est la maîtrise de la vérité officielle. Comme le note l’ambassadeur de France pour le numérique Henri Verdier, « la conflictualité se traduit aussi par une bataille de la désinformation de niveau mondial ». Celle-ci s’est traduite de différentes façons. Au commencement de l’avancée terrestre par exemple, le groupe de cyber espionnage UNC1151 a conduit une opération ciblée contre les soldats ukrainiens. En piratant leur téléphone portable, les membres du groupe ont diffusé de fausses informations par l’intermédiaire de leur messagerie vocale. Plus récemment, des hackers russes ont transmis une « deepfake » présentant le président ukrainien Zelenski en train de déposer les armes. L’objectif est clair : saper le moral des Ukrainiens et les inciter à se rendre. Néanmoins, il semble pour le moment que l’Ukraine tienne bon dans cette guerre de l’information et soit tout aussi offensive. Malgré les craintes de cyberattaques dans le reste de l’Europe, cette cyberguerre reste pour l’instant très ciblée sur les instances ukrainiennes comme les banques et les sites gouvernementaux et ne s’est pas encore étendue.

Le français Ubisoft victime d’une cyberattaque

Ubisoft a reconnu avoir été victime d’une cyberattaque par l’organisation Lapsus$. Le leader français du jeu vidéo ne s’est pas étendu sur l’incident et a simplement déclaré qu’aucune fuite de données sensibles n’avait été détectée. Le groupe Lapsus$ avait déjà visé plusieurs grands groupes comme Samsung. Ubisoft a indiqué mettre en place une veille sur les forums du Darkweb dans les prochaines semaines afin de s’assurer que leurs données n’auront pas été dérobées et communiquées. Par mesure de précaution, l’entreprise précise avoir lancé une réinitialisation des mots de passe.

Pourquoi cette actu :
Alors que l’on pourrait penser que des grandes entreprises technologiques comme Samsung, Nvidia, Vodafone et maintenant Ubisoft sont performantes quant à la protection de leurs données et sont particulièrement mieux protégées des cyberattaques, on s’aperçoit avec cette actualité qu’elles ne sont pas davantage ni épargnées ni préparées. Les données captées peuvent être non seulement celles de leurs clients mais aussi celles de ces entreprises dans les projets technologiques d’envergure sont toujours jalousement gardés. Les objectifs du groupe Lapsus$ semblent différer des autres cybercriminels souvent mus par des préoccupations financières et utilisant le blocage des sites en réclamant des rançons. Le groupe Lapsus$ menace davantage par le vol des données et de leur diffusion massive. Ils ont aussi parfois d’autres revendications. Par exemple, dans le cas de l’attaque de l’entreprise Nvidia, spécialisée dans la conception de processeurs, de cartes et de puces graphiques pour PC et consoles de jeux, Lapsus$ déclarait de manière surprenante vouloir « aider la communauté des mineurs et des joueurs » en forçant Nvidia à supprimer les limitations des cartes graphiques de l’entreprise. Les membres du groupe graviteraient dans l’univers des jeux vidéo et des cryptomonnaies et seraient des adolescentes très jeunes. La police britannique semble ainsi avoir arrêté dernièrement sept adolescents âgés de 16 à 21 ans en lien avec une enquête portant sur les cyberattaques du groupe.

Focus de la semaine

Le chauffeur de taxi impliqué dans un accident mortel à Paris porte plainte contre Tesla 

En décembre dernier, un chauffeur de taxi conduisant une voiture de marque Tesla, achetée neuve en août 2021, avait provoqué un accident spectaculaire, provoquant un mort et une vingtaine de blessés. Il avait été mis en examen pour homicide involontaire et blessures volontaires par véhicule terrestre à moteur. Ce chauffeur vient de déposer plainte auprès du Parquet de Versailles contre Tesla France pour mise en danger d’autrui. Le chauffeur avait invoqué au moment de l’accident un dysfonctionnement du frein et un emballement de l’accélérateur, sans qu’il ait pu stopper le véhicule.

Pourquoi ce focus : 

Si les accidents impliquant des véhicules autonomes sont encore rares en France, il n’en est pas de même aux États-Unis où l’entreprise Tesla est sous le joug de plusieurs enquêtes en raison d’une dizaine d’accidents liés, semble-t-il, à des dysfonctionnements du dispositif d’Autopilot, système avancé d’aide à la conduite implanté dans ses véhicules. Les utilisateurs relatent des incidents où le système de freinage se déclenche de manière intempestive. Le système peut ainsi détecter à tort un objet sur la route ou anticiper une collision qui ne se produira pas réellement et enclencher le système de freinage pour essayer de l’éviter. 

C’est toute la question que pose l’accident parisien : les experts devront se prononcer afin de savoir si c’est le système autonome qui est à l’origine de l’accident ou s’il s’agit d’une erreur humaine. Les questionnements liés à la responsabilité pénale en cas d’accident causé par un véhicule autonome ou quasi-autonome ne sont pas des plus simples et de nombreuses questions restent à résoudre. 

L’utilisation d’un tel véhicule pose également de nombreuses questions en matière de protection de données personnelles car le dispositif de conduite autonome nécessite le traitement de nombreuses données sensibles de l’utilisateur. En effet, c’est le traitement, par l’intelligence artificielle, des données collectées en grande quantité par le véhicule de son environnement externe et interne qui permet de l’automatiser. Si comme certains experts le prédisent, ce type de véhicule devrait être généralisé d’ici 2040, il est nécessaire de résoudre rapidement à la fois la question de la responsabilité pénale découlant des accidents causés par de tels véhicules mais aussi la protection accrue des données personnelles et sensibles des utilisateurs, en les informant et en recherchant leur consentement explicite comme le RGPD l’exige. C’est en tout cas l’un des enjeux de cette affaire.

Le point de vue enseignant

Par Isabelle Bufflier, professeure de droit des affaires SKEMA BS et une relecture de Frédéric Munier, professeur de géopolitique SKEMA BS

L’adoption de nouvelles lignes directrices par le Comité européen de protection des données personnelles concernant l’application de l’article 60 du RGPD

Le RGPD a mis en place au travers de son article 60 un concept original et innovant de guichet unique que viennent préciser les nouvelles lignes directrices du Comité européen de protection des données personnelles adoptées le 14 mars 2020.
Dans les cas de traitement transfrontalier de données personnelles, l’autorité de contrôle de l’État membre du principal établissement du responsable du traitement ou du sous-traitant est l’autorité qui dirige l’application de la législation. L’idée sous-jacente est que les personnes concernées par le traitement de leurs données personnelles doivent pouvoir facilement faire valoir leurs droits devant une autorité de contrôle proche de leur résidence habituelle.
L’article 60 du RGDP réglemente alors la procédure de coopération entre l’autorité de contrôle dite chef de file et les autres autorités concernées.
Ces nouvelles lignes directrices, très précises et complètes, concernent les interactions des autorités de contrôle entre elles, avec le Comité européen mais aussi avec des tiers. L’objectif est d’analyser la procédure de coopération et de donner des conseils sur l’application concrète des dispositions.
Il est notamment précisé que la procédure de coopération n’a pas d’incidence sur l’indépendance des autorités de contrôle, qui conservent leur propre pouvoir discrétionnaire dans le cadre de la coopération. Les présentes lignes directrices sont fondées sur les exigences de l’article 60 du RGPD et clarifient paragraphe par paragraphe les conditions découlant du règlement lui-même et de sa mise en œuvre pratique. Il est souligné que si la réalisation d’un consensus entre les sociétés de surveillance n’est pas une obligation, la recherche d’une décision consensuelle est un objectif primordial à atteindre par un échange mutuel et cohérent de toutes les informations pertinentes.
C’est cet échange d’informations qui devient dès lors obligatoire pour toutes les autorités, y compris l’autorité chef de file.
Sans entrer dans le détail de ces très intéressantes lignes directrices, il convient de rappeler qu’elles interviennent à la suite de deux décisions essentielles. La première émanant de la CNIL irlandaise (Data Protection Commission) en date du 2 septembre 2021 comme autorité chef de file condamnant Whatsapp, après un bras de fer avec les autorités européennes et le Comité européen de protection des données, qui a contraint la DPC a augmenté le montant de sa condamnation de 50 à 225 millions d’euros. La seconde, celle du Conseil d’État français du 28 janvier 2022 qui a confirmé récemment la décision de la CNIL française de condamner Google à une amende de 100 millions d’euros. Google contestait la compétence de la CNIL comme autorité chef de file au sens du RPGD, mais le Conseil d’État a confirmé cette compétence en matière de cookies, non pas sur le fondement mais sur le terrain de l’article 82 de la loi Informatique et Libertés.
Ces nouvelles lignes directrices sont donc particulièrement bienvenues afin de rappeler certains principes incontournables et originaux du RGPD, pas toujours faciles à comprendre dans des cas particuliers où il s’applique mais aussi… les cas où il ne s’applique pas.