Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 21 au 25 février 2022

Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse  Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :

Sarah Ben Bouazza

Sarah Ben Bouazza

Solal Boullanger

Solal Boullanger

Arthur Clavier

Arthur Clavier

Lucas Cosset

Lucas Cosset

Loris Couvreur

Loris Couvreur

Arthur Derderian

Arthur Derderian

Cassandre Hodeau

Cassandre Hodeau

Soez Jarrousse

Soez Jarrousse

Camille Kurth

Camille Kurth

Léonard Marx

Léonard Marx

Mathilde Sauret

Mathilde Sauret

Taous Rabahi

Taous Rabahi

Guerre en Ukraine, les bombardements russes s’accompagnent de cyberattaques

Depuis le début de l’offensive russe en Ukraine, des attaques informatiques de type DDos ou « déni de service » ont touché les sites des ministères de la Défense et de l’Intérieur ainsi que certaines banques ukrainiennes, les rendant quasiment inaccessibles. Ces cyberattaques proviennent en toute hypothèse de la Russie, qui diversifie son arsenal numérique au travers de logiciels malveillants, pouvant effacer les contenus des disques durs. À cela s’ajoute l’utilisation de sites piégés : ces derniers forceraient leurs victimes à télécharger un logiciel malveillant. Malgré ces cyberattaques, force est de constater que la Russie privilégie les moyens militaires sur le terrain. En témoignent les bombardements autour de Kiev et dans le reste du pays.

Pourquoi cette actu :
Alors que depuis plusieurs années, le président russe Vladimir Poutine se contentait de considérer le nouveau pouvoir ukrainien comme illégitime et de soutenir les séparatistes pro-russes en Crimée puis dans les régions de Donetsk et de Lougansk. Le 24 février 2022, la Russie a décidé de lancer des opérations militaires d’invasion de l’Ukraine. Cependant, la véritable guerre a débuté bien plus tôt puisqu’une part non négligeable du conflit se déroule depuis 2014 dans le cyberespace, entre hackers – Kiev soutient par exemple le réseau pirate Ukrainian Cyber Forces. Cette actualité apparaît donc essentiel dans la mesure où elle rend non seulement compte d’une actualité brûlante mais également par ce qu’elle dépeint parfaitement l’utilisation des cyberattaques comme arme dans le cadre d’une « guerre hybride ». Le concept de « guerre hybride » émerge dans les années 2000 et se définit comme un conflit coordonné depuis un échelon central, usant de façon simultanée des moyens irréguliers et criminels, des tactiques conventionnelles et asymétriques, des outils de dissuasion ou d’intimidation militaires et d’autres diplomatiques, économiques, politiques ou sociaux, avec un rôle essentiel des opérations d’influence et d’emploi des médias. Son but est de déstabiliser un adversaire sans avoir même à envahir son territoire. Or, à présent que le territoire ukrainien est attaqué, ces cyberattaques russes perdurent pour tenter de déstabiliser davantage le pouvoir ukrainien encore en place. Elles deviennent alors une arme à part entière dans le cadre d’un conflit armé, à la seule différence qu’elles ne tuent pas directement mais affaiblit un État déjà assiégé. La résistance cependant s’organise puisque les hackers du groupe Anonymous ont répliqué récemment et bloqué plusieurs médias russes.

Google veut étendre Privacy Sandbox à Androïd

Après avoir lancé en 2019 son programme Privacy Sandbox pour supprimer les cookies tiers sur Chrome, Google souhaite le tester et l’étendre à Androïd afin de proposer des solutions publicitaires plus respectueuses de la vie privée des utilisateurs. Google emboîte ainsi le pas à Apple qui a intégré un dispositif similaire l’App Tracking Transparency à partir de la mise à jour 14.5 d’iOS lancée en avril 2021. Cette technologie limite efficacement le partage des données des utilisateurs avec des tiers et élimine les identifiants publicitaires sur les appareils mobiles.
Les annonceurs disposent encore d’un préavis de deux ans avant le lancement de la Privacy Sandbox sur Androïd. Google prévoit une version bêta d’ici la fin de 2022.

Pourquoi cette actu :

L’objectif premier du géant Google est la réduction de la quantité d’informations que les différents sites pourraient obtenir. Le programme Privacy Sandbox consiste en une limitation des données accessibles par les agents publicitaires sur les applications. Cette mise en place résulte de deux facteurs différents. Le premier est celui de la demande toujours plus grande de sécurité numérique. Les utilisateurs observent en effet tous les jours des usurpations d’identité sur les réseaux sociaux mais pas seulement. Le signe le plus flagrant est celui du renforcement des mots de passes demandés sur les sites. L’objectif : limiter la probabilité de se faire pirater ses comptes sur les sites et les applications. Toutefois, le « profiling » des internautes et de leurs données personnelles, largement utilisé par les agents publicitaires, n’était pas jusqu’à présent pour autant limité. C’est donc ici l’atout du programme Privacy Sandbox. Le deuxième facteur du choix d’un tel dispositif réside dans l’aspect concurrentiel. Avec lui, Google s’aligne sur Apple et en l’implantant via le système d’exploitation Androïd, saisit une opportunité de répondre à la demande des utilisateurs, tout en confirmant son hégémonie numérique. Si, du point de vue des utilisateurs et de la protection de leurs données personnelles, ces dispositifs semblent être de bonnes nouvelles, cela s’avère bien plus difficile pour les agents publicitaires. Car leur efficacité repose sur le « profiling » des utilisateurs et ils redoutent des pertes économiques importantes car les données personnelles sont, on le sait, l’or noir du 21èmesiècle et leur collecte engendre d’importants profits. D’autant qu’une partie des bénéfices des applications repose sur ces mêmes publicités. Et pourtant, si les conséquences semblent importantes aucune réaction vraiment majeure du secteur concerné n’en a résulté. Faut-il y voir une sorte de résignation de l’industrie publicitaire ? Cette évolution était sans doute à prévoir : au-delà de la demande croissante de protection des données personnelles et à la suite des nombreuses condamnations prononcées contre les Big tech ces dernières années à ce sujet, la réaction de Apple puis de Google semble salvatrice s’ils ne veulent pas perdre leurs clients. Facebook annonçait récemment avoir perdu 4 millions d’utilisateurs entre septembre et décembre 2021. Renforcer la protection des données personnelles et la vie privée des internautes devient donc désormais une question de survie. Force est de constater que d’autres start-up proposent déjà la collecte de certaines données personnelles des internautes en toute sécurité et avec leur consentement.

Cloud souverain : Atos et plusieurs partenaires européens lancent Structura-X

En finir avec la domination d’entreprises américaines, leader en matière de cloud computing, tel est l’objectif que se sont donnés les membres de l’Union européenne en lançant le projet Gaia-X en 2020. Le 24 février 2022, une nouvelle étape a été franchie dans le sens de sa concrétisation : une vingtaine d’entreprises européennes, dont la française Atos, ont conjointement lancé Structura-X, une initiative visant à développer les services d’une infrastructure cloud européenne globale. Dans le sillon de Gaia X, le projet Structura-X vise à démontrer qu’un cloud européen ne relève pas d’une utopie, et que les données européennes ne sont pas condamnées à être prisonnières des serres des services de cloud américains.

Pourquoi cette actu :

Dans un monde toujours plus digitalisé, la data et, plus particulièrement, la customer data est devenu le nouvel or noir. En effet, ce qui pousse un nouveau produit à pénétrer un marché ou une publicité à générer un grand retour sur investissement, provient d’une utilisation efficiente des données, permettant de connaître en détail ses clients jusqu’à pouvoir anticiper leurs besoins. Une telle connaissance de ces besoins nécessite d’avoir un grand nombre de données personnelles et pose donc d’importantes questions sur l’utilisation des données personnelles des internautes par les entreprises. Ces données transitent et sont majoritairement hébergées dans des clouds et datacenters américains. Pour assurer une souveraineté numérique européenne, il est désormais incontournable de disposer d’acteurs nationaux et européens indépendants. La création d’un ou plusieurs clouds de cette ampleur internationale nécessite cependant d’importantes ressources financières et technologiques si l’UE veut rivaliser avec les quelques géants du secteur. En effet, ces entreprises spécialisées disposent déjà d’un important effet d’expérience et d’économies d’échelles non négligeables, ce qui leur donnent un avantage concurrentiel décisif et forment une importante barrière à l’entrée sur ce marché. Ce sera aussi l’occasion pour l’UE d’affirmer sa puissance politique et son autonomie numérique à l’international dans un monde de plus en plus incertain et en proie à de nombreuses tensions géopolitiques.

Twitter supprime accidentellement des comptes suivant les mouvements de troupes russes

Le 22 février 2022, Twitter a suspendu une douzaine de comptes qui luttaient pourtant contre la désinformation en relayant des informations sur les offensives russes en Ukraine. En effet, la modération de Twitter est largement automatisée et il est probable que ces erreurs soient survenues lors d’une manœuvre de réduction du risque de désinformation par la Russie sur Twitter. La suspension des comptes a été, depuis, annulée.

Pourquoi cette actu :

Cette actualité permet de mesurer l’impact des réseaux sociaux dans un contexte géopolitique fort. C’est souvent grâce aux réseaux sociaux que les internautes s’informent en temps réel au sujet du conflit entre l’Ukraine et la Russie. Néanmoins cet article invite aussi à réfléchir sur un autre point : celui de la désinformation. Quelles solutions peut-on trouver face aux faux signalements ? Les réseaux sociaux sont parsemés de bots divulguant de fausses informations et poussant ces derniers à prendre des mesures fortes pour les supprimer, ce qui est à l’origine de la suspension accidentelle des comptes sur Twitter. Dans le cadre de crises majeures comme celle touchant actuellement l’Ukraine, une des solutions invoquées serait de limiter l’anonymat sur les réseaux sociaux afin de pouvoir différencier les bots des vrais comptes. Cette idée ne rencontre cependant pas l’unanimité et dans certains cas, reste une mesure complexe à mettre en œuvre.

US Air Force autorise Oracle à recueillir ses données confidentielles

Le secteur public résiste-t-il encore aux géants du secteur privé ? Le 24 février 2022, l’US Air force annonçait que l’entreprise du cloud Oracle gèrerait désormais les données gouvernementales sensibles et secrètes provenant du ministère de la Défense américaine. Le département responsable de la sécurité nationale au sein d’Oracle bénéficie à cette fin de cloud isolés d’Internet et d’une connexion aux réseaux de Gouvernement sécurisée.

Pourquoi cette actu :
Oracle, entreprise américaine créée en 1977 par Larry Ellison, est connue pour son expertise en termes de système de gestion de données secrètes. Oracle utilise pour cela la technique « Direct outward Dialing » ou DoD. Ce dispositif permet de composer directement des numéros de téléphone à partir de postes téléphoniques reliés à une unique ligne analogique. Son excellence en matière d’informatique et sa fiabilité a offert à Oracle une légitimité, gage de confiance du gouvernement américain. Au regard des nombreuses cyberattaques subies ces derniers mois par des sites publics, cette actualité permet de s’interroger sur la sécurité des données sensibles ainsi stockées. Alors que jusqu’à présent, les données du ministère de la Défense américaine étaient stockées et « préservées » en interne, celles-ci sont désormais transmises à un réseau externe. Transférer au secteur privé une activité qui ressort de la compétence initiale de l’État, n’est-ce pas porter atteinte aux fonctions traditionnellement régaliennes de celui-ci, nécessitant certainement l’avis des citoyens ou du moins de leurs représentants, vu les risques encourus ?

Focus de la semaine

La Commission européenne va injecter 292 millions d’euros dans l’IA, la cybersécurité et la blockchain

Le 22 février 2022, dans le cadre du programme baptisé « Pour une Europe numérique », la Commission européenne a annoncé qu’elle prévoyait d’injecter 292 millions d’euros dans l’intelligence artificielle, la cybersécurité, la blockchain et la formation. 

Pourquoi ce focus :

A l’heure où beaucoup s’interrogent sur la possible souveraineté numérique de l’Europe face aux géants des Big tech, et où le projet européen Gaia-X patine, le financement annoncé par la Commission européenne, plus large, sous la forme d’appels à projets et de subventions, tombe à point nommé. Elle souligne que ce financement permettra de soutenir de nombreux domaines liés aux technologies numériques. Pour la partie appels à projets, la Commission envisage de consacrer 249 millions d’euros pour les espaces de données, les infrastructures européennes de blockchains, les formations pour acquérir de nouvelles compétences numériques, les solutions numériques pour de meilleurs services publics, les projets pilotes d’utilisation de l’intelligence artificielle pour lutter contre la cybercriminalité. Les acteurs concernés et intéressés ont jusqu’au 17 mai 2022 pour soumettre leurs propositions. Le 7 février dernier, lors d’une conférence organisée à Bercy sur la souveraineté numérique européenne, le Ministre de l’économie Bruno Lemaire rappelait que « il n’y a plus de souveraineté politique sans souveraineté technologique ; la vraie souveraineté du 21ème siècle est une souveraineté technologique ». Il annonçait également que la France allait injecter 300 millions d’euros dans le PIIEC (projet important d’intérêt européen commun) sur le cloud auquel participeront 12 États membres avec, en ligne de mire, une volonté d’assurer un stockage de données véritablement souverain. 

Le point de vue étudiant

En novembre 2021, le règlement sur la gouvernance des données, aussi appelé Governance Data Act, était approuvé par le Parlement et le Conseil Européen. Ce dernier créait les processus et les structures destinés à faciliter le partage de données par les entreprises, les particuliers et le secteur public. La Commission européenne continue à mettre en œuvre sa stratégie européenne pour les données, dévoilée dès février 2020, en publiant une nouvelle proposition de règlement sur les données, le Data Act. Il précisera qui peut créer de la valeur à partir des données et dans quelles conditions. Ce Data Act répond notamment à un flou juridique concernant les objets connectés : à qui appartiennent les données qu’ils génèrent ? A son utilisateur ou à son fabriquant ? 

En réponse à ces questions, cette nouvelle proposition pose en postulat un partage des données plus équitable. Ainsi les data holders ne seront plus les seuls à pouvoir se servir des données que leurs machines produisent. L’utilisateur de la machine ou de l’objet connecté se verra accéder également gratuitement aux données générées et pourra choisir de transférer ces données à une entreprise tierce. Par exemple, l’utilisateur d’une voiture connectée pourra partager les données créées par sa voiture à son assureur ou encore à un service après-vente. Par ailleurs, si elles sont agrégées auprès de plusieurs utilisateurs, ces données pourraient contribuer au développement de services numériques traitant de la sécurité routière ou de zones à haut risque d’accident. Indirectement, cet accès rapide et équitable des données devrait entraîner une concurrence plus loyale entre les acteurs du secteur. 

En effet, les petites entreprises devraient à terme aussi bénéficiées du Data Act. Les PME pourront ainsi accéder aux données produites par les objets connectés d’un fabricant pour un prix n’excédant jamais le prix de transfert à la différence des grosses entreprises pour qui le prix sera établi par le marché. La Commission veut notamment rééquilibrer le pouvoir de négociation des PME. En effet ces dernières sont souvent victimes de déséquilibres contractuels excessifs dans le partage de données et se voient imposer des clauses abusives par la partie adverse disposant d’un pouvoir de négociation nettement supérieur. Le but est de les protéger par le futur règlement et par la rédaction de clauses contractuelles types afin de les aider à négocier. Le Data Act fixera également des standards pour les « smarts contracts », ces contrats « codés », qui peuvent s’auto-exécuter sans besoin d’intervention d’un tiers. 

Autre apport du texte : la suppression des obstacles d’accès aux données pourra être justifiée dans le secteur public dans certains cas, au nom d’un intérêt public élevé. A titre d’exemple les données pourraient être utilisées lors d’une crise sanitaire, d’une inondation ou lors d’incendies de forêts. Durant la Covid-19, les données de localisation agrégées et anonymisées des opérateurs de réseaux mobiles ont été en effet essentielles pour analyser la propagation du virus et pour alerter en cas de nouveaux foyers. Le Data Act permettra ainsi de pallier les déficiences des mécanismes actuels d’accès aux données par le secteur public lorsque ce dernier doit agir dans l’urgence, ce qui lui permettra de prendre des décisions rapides et plus éclairées. 

Le Data Act suggère également une interopérabilité et une transparence pour les fournisseurs de services de cloud. Ces cloud fournissent des capacités de stockages et de calcul sur lesquels repose l’économie des données. Ils constituent une condition préalable à l’utilisation innovante de données, les encadrer et améliorer leur utilisation est donc primordial. En clair, les entreprises pourront changer plus facilement de fournisseur cloud. Ces fournisseurs assureront une conservation intégrale des données et des applications développées par leurs clients. Il n’y aura plus de frais à engager pour transférer des données d’un cloud à l’autre grâce à ce nouveau cadre de normalisation. La Commission prévoit également des garanties contre les transferts illicites de données. Enfin, les services cloud devront prendre des mesures pour mieux protéger les données produites en Europe face aux règlementations extraterritoriales comme le Cloud Act américain et ces fournisseurs devront chiffrer les données en cas de transfert hors Europe. 

Cette libération de la valeur des données et cette facilité d’accès pourrait décourager les fabricants d’investir par peur de perdre le contrôle des données générées par leurs produits. Le Data Act rassure en rappelant que la capacité des entreprises à utiliser les données des objets qu’elles fabriquent reste inchangée. De plus, les tiers sélectionnés par les utilisateurs pour un partage de données devront indemniser le fabricant pour les coûts liés à l’accès aux données qu’il lui octroie, souvent liés aux interfaces de programmations d’applications. Enfin des garanties sont prévues pour prévenir des situations dans lesquelles les données seraient utilisées de manière à avoir une incidence négative sur les opportunités commerciales du fabricant. A titre d’exemple, le transfert de données ne pourra pas servir à développer un produit ou un service connexe qui concurrencerait le produit générateur de données original. 

Ce Data Act est la dernière étape de la stratégie européenne pour les données, après l’adoption du RGPD en 2018 et celle proche du Data Services Act et du Data Market Act. Il doit encore passer, comme toutes les propositions de règlement, par le Parlement et le Conseil européens pour être adopté définitivement. Si la souveraineté numérique européenne a encore du chemin à parcourir, la construction d’un arsenal normatif harmonisé touchant tous les acteurs concernés des 27 États membres ainsi que ceux à l’extérieur de l’UE qui proposent leurs services aux internautes européens est un passage incontournable et nécessaire pour une défense forte et cohérente des valeurs démocratiques européennes au cœur de la protection des données personnelles.

Par Axelle Richeux, étudiante de Master 2 de droit des affaires, avec la collaboration de Isabelle Bufflier et Frédéric Munier, professeurs SKEMA BS