Les news qui ont fait l’actu
Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Semaine du 24 au 29 janvier 2022
Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :
Sarah Ben Bouazza
Solal Boullanger
Arthur Clavier
Lucas Cosset
Loris Couvreur
Arthur Derderian
Cassandre Hodeau
Soez Jarrousse
Camille Kurth
Léonard Marx
Mathilde Sauret
Taous Rabahi
Un cybercriminel dévoile les données de 7 millions d'utilisateurs du site Opensubtiles
Le 23 janvier 2022, les utilisateurs du site Opensubtitles, site de sous-titrages de contenus – site illégal en Grèce, en Norvège et en Italie – ont été prévenus que certaines de leurs informations personnelles (adresses IP, mail, mots de passe) avaient été rendues publiques, à la suite d’une cyberattaque menée en août 2021 par un dénommé OSS. Le pirate informatique s’était engagé à l’origine à ne pas divulguer les informations des utilisateurs en échange d’une rançon. Mais une fois celle-ci payée, il n’a pas, hélas, tenu parole, compromettant ainsi les données personnelles de 7 millions de personnes.
Pourquoi cette actu :
Jamais autant de cyberattaques n’ont été recensées ces derniers mois, ce qui témoigne de la grande fragilité des acteurs du marché numérique. Ces derniers doivent pourtant assurer la sécurité des données personnelles de leurs utilisateurs mais échouent souvent à le faire. De fait, les utilisateurs ont tout à fait intérêt aujourd’hui à anticiper ces risques et adopter des stratégies multiples en variant les mots de passe complexes d’un site à l’autre. La majorité des sites et logiciels impose d’ailleurs désormais un certain nombre de caractères spéciaux et vont même parfois jusqu’à refuser un mot de passe dans lequel le nom et/ou prénom de l’utilisateur apparaissent. Il est ainsi essentiel pour les usagers de porter une attention toute particulière à la qualité et à la complexité du mot de passe afin de limiter l’étendue du piratage de leurs différents comptes et d’éviter également les sites illégaux, plus fragiles que les autres. La protection des données personnelles est aussi une affaire de vigilance de chacun
La Commission européenne rappelle à l’ordre WhatsApp, pour ses conditions d'utilisation et sa politique de confidentialité
Après une plainte du Bureau européen des unions de consommateurs (BEUC), la Commission européenne a exigé que Whatsapp, entité du groupe Meta, fasse preuve de plus de transparence et clarifie les récents changements intervenus en 2021 sur l’utilisation des données personnelles de ses utilisateurs. La messagerie a jusqu’à la fin février 2022 pour clarifier la situation, et pour se soumettre aux règles européennes sur la protection des données (RGPD). Elle demande à Whatsapp de clarifier les dernières évolutions en matière de traitement des données numériques, obligeant ses utilisateurs à partager leurs données avec les autres entités du groupe Meta.
Pourquoi cette actu Cette actualité met en lumière le volontarisme de la Commission européenne et du réseau d’autorités nationales de protection des consommateurs, qui veillent au respect de leurs intérêts et aussi de leurs données personnelles captées par des sites marchands ou les bigtechs. Il ne s’agit pas ici uniquement de respecter les grandes lignes du RGPD, en proposant aux internautes d’accepter les conditions générales d’utilisation mais bel et bien, de rappeler la ligne éthique du RGPD, au-delà du contrôle des autorités de contrôle nationales des données personnelles, qui ont déjà condamné Whatsapp. La Commission rappelle ainsi qu’il est essentiel de faciliter l’accès des consommateurs aux informations relatives à leurs données personnelles, de sorte que leur consentement soit éclairé, condition nécessaire de l’acceptation dans le RGPD. La Commission souhaite que les utilisateurs soient incités à s’intéresser à la finalité de cette collecte de données personnelle et encourager les GAFAM à pratiquer une démarche plus éthique à l’égard de leurs utilisateurs. L’objectif est de s’assurer que les consommateurs soient conscients des conséquences sur leurs libertés individuelles qu’entraînent leur acceptation des « Conditions Générales d’Utilisation ». Une preuve supplémentaire que l’UE n’est pas un « tigre de papier » comme on s’ingénie parfois à la caricaturer et que son pouvoir normatif est efficace. Plus globalement, c’est tout le même des GAFAM qui est remis en cause. Leur activité consiste à collecter des données personnelles de manière conséquente, afin de proposer aux publicitaires le meilleur ciblage possible. Or, ces données personnelles, or noir du XXIe siècle présentent un enjeu considérable face à la sauvegarde des libertés et droits fondamentaux numériques des citoyens européens. Sont ainsi en confrontation permanente, libertés individuelles et profitabilité des géants du numérique.
Au Canada, le ministère des affaires étrangères victime d’une cyberattaque
Une cyber-attaque survenue le 19 janvier 22022 à l’encontre du ministère des affaires étrangères canadien a été confirmée le lundi 24 janvier par les agences fédérales de cybersécurité. Bien que son origine n’ait pu être clairement élucidée, de fortes suspicions se portent sur la Russie malgré un démenti du Kremlin. Le Conseil du Trésor canadien précise par ailleurs que le gouvernement fait face à une vague constante de menaces numériques, par moment liées à des failles de sécurité internes, mais parfois aussi délibérées et malveillantes.
Pourquoi cette actu :
À l’heure où les cyberattaques s’intensifient, nous voyons à quel point il s’agit d’une arme efficace pour déstabiliser des États du monde entier. Aussi cette actualité souligne-t-elle un enjeu de protection des données mais également un enjeu géopolitique majeur. Le but premier d’une cyberattaque est d’accéder à des informations confidentielles en les bloquant afin de faire pression sur les personnes concernées ou encore les États afin de les conduire par exemple à verser une somme d’argent en échange du déblocage. L’origine inconnue de cette attaque met en lumière, en un sens, la faiblesse des États dans un monde progressivement digitalisé. Chemin faisant, il semble primordial de renforcer les dispositifs informatiques de sécurité pour lutter contre les cyberattaques à venir et garantir la protection de données personnelles et étatiques, ciblées par les hackers. Cela corrobore les changements conséquents dans les conflits contemporains où l’information semble à la fois un enjeu stratégique mais aussi un point faible et l’objectif à saisir. Cette guerre désormais numérique nécessite ainsi que les soldats soient des experts en informatique, combattant sur un front numérique contre leurs opposants. Ces attaques inquiètent à raison les Occidentaux alors que les tensions diplomatiques croissent avec la Russie. Au travers cette actualité, on perçoit ainsi que ces cyberattaques, par la captation de certaines données plus confidentielles et stratégiques, deviennent de véritables instruments géopolitiques, armes de « destruction massive » capables de mettre à genoux des États. Il n’est pas inutile de rappeler qu’en 2011, le Pentagone avait affirmé « qu’une réponse à une cyber-attaque ne serait pas nécessairement une réponse cybernétique ». La guerre des données n’est pas qu’une image ; elle est une nouvelle dimension de la lutte géopolitique que se livrent les grands États de la planète.
Cloud Computing : l’Autorité de la concurrence s’auto-saisit pour évaluer la concurrence dans le domaine
Le 27 janvier 2022, l’Autorité de la concurrence a rendu un avis, indiquant qu’elle s’auto-saisissait pour analyser dans les conditions de fonctionnement concurrentiel du secteur de « l’informatique en nuage » (cloud).
Pourquoi cette actu :
A l’heure où la souveraineté numérique française et européenne pose question notamment au regard du stockage des données personnelles des internautes dans des instruments de cloud computing, majoritairement étrangers pour l’instant, la question de l’ouverture du marché à des opérateurs autres que les acteurs dominants est essentielle. Lors de son audition du 12 janvier 2022 devant l’Assemblée Nationale, Benoit Cœuré, le nouveau Président de l’Autorité de la concurrence a indiqué que le secteur du numérique constituerait l’une des priorités de son mandat. Il a ainsi affiché son intention de se concentrer sur « l’émergence de nouvelles infrastructures essentielles comme le cloud » et a annoncé qu’« il serait important et justifié que l’Autorité engage rapidement un travail de fond sur les conséquences du cloud dans tous les secteurs en lien avec les autorités sectorielles compétentes ». Conformément aux dispositions de l’article L. 462-4 du code de commerce, l’Autorité a décidé le 27 janvier de se saisir d’office pour avis afin d’évaluer la situation concurrentielle du secteur du cloud. « Cet avis intervient dans un contexte où le marché français et européen du cloud est en plein essor, avec une croissance moyenne annuelle qui devrait dépasser les 25 % dans les prochaines années, avec de forts enjeux de création de valeur pour l’économie », a précisé l’Autorité dans son avis.Sur cette question, nous vivons actuellement un moment important. En effet, le gouvernement français a déjà apporté un soutien important récemment en dédiant au secteur du cloud 667 millions d’euros. Toutefois, l’horizon n’est pas totalement dégagé puisque d’autres initiatives, lancées en ce sens ces derniers mois semblent rencontrer des difficultés au plan de leur indépendance vis-à-vis d’entreprises américaines comme le projet Gaia-Xau niveau européen ou encore le Health data hub. L’émergence d’acteurs français et européens sur un marché fortement occupé par des entreprises étrangères en situation souvent de monopoles ou d’oligopoles ne pourra que renforcer une concurrence saine que l’Autorité est apte à garantir. Sa position sur le sujet est donc attendue avec impatience
Google : une collecte de données de géolocalisation illégale
Le 24 janvier 2022, Google a fait l’objet d’une plainte collective de quatre procureurs généraux du District de Columbia, de l’Indiana, du Texas et de Washington. Le groupe est accusé d’une collecte abusive des données de géolocalisation de ses internautes lors d’utilisation de certaines de ses applications. Il a été établi que la firme de Mountain View avait recueilli des informations sur les déplacements de ses utilisateurs alors même que ceux-ci avaient désactivé le paramètre « Historique de localisation ». Tandis qu’avec le soutien de l’AFP, Google dément les accusations, les procureurs, quant à eux, demandent en plus d’amendes, un remboursement complet des revenus générés par cette collecte de données illicites.
Pourquoi cette actu :
A l’heure où la chasse aux données personnelles, l’or noir du XXIe siècle, a été lancée, cette actualité souligne la volonté des autorités américaines d’accroître la pression sur les GAFAM afin qu’ils respectent davantage la vie privée de leurs utilisateurs. S’ils se font régulièrement condamner en Europe sur le fondement du RGPD, les autorités américaines ne sont désormais plus en reste. Les poursuites ainsi menées s’accordent avec les dernières annonces de Joe Biden, qui s’engage clairement dans un bras de fer avec les géants du net. De quoi faire plaisir à l’Union Européenne qui lutte seule, depuis des années, afin de soumettre les GAFAM aux règles éthiques et de respect des droits fondamentaux numériques.
Focus de la semaine
Fuites de données : le nomvre d’amendes RGPD multiplié par 7 en 2021
Si le nombre d’amendes pour infraction au RGPD a considérablement augmenté 2021, force est de constater que le nombre de fuites de données a lui aussi atteint un nouveau record. Et La situation n’est pas près de s’améliorer en 2022.
Selon une nouvelle étude menée par le cabinet international DLA Piper, le nombre d’amendes pour infraction au RGPD a été multiplié par 7 en 2021. Au total, le montant des amendes a atteint 1,25 milliard de dollars, à comparer aux 180 millions de dollars en 2020. Les notifications de fuites de données des entreprises aux régulateurs n’ont en revanche augmenté que de 8%, pour une moyenne de 356 par jour. Outre un nombre d’amendes record, les montants demandés ont aussi atteint de nouveaux sommets. En particulier, les géants du Big Tech ont été sanctionnés de façon massive. Ainsi, l’autorité de protection du Luxembourg a-t-elle infligé une amende de 746 millions d’euros à Amazon. En Irlande, Meta a écopé d’une amende de 225 millions d’euros sanctionnant la messagerie WhatsApp. Les deux entreprises ont fait appel de ces sanctions.
Depuis l’entrée en vigueur RGPD en 2018, les entreprises concernées doivent démontrer selon un principe d’accountibility la base légale de la collecte et du traitement des données personnelles de leurs clients qu’elles effectuent, et notifier impérativement les autorités nationales de contrôle dans un délai de 72 heures en cas de fuite de données. Si elles ne respectent pas ces règles, elles s’exposent à une amende conséquence pouvant atteindre 4% du chiffre d’affaires annuel mondial de l’entreprise, ou 20 millions d’euros, le montant le plus élevé entre les deux étant retenu
Pourquoi ce focus :
Rappeler l’effectivité des dispositions adoptées en matière de protection des données personnelles, est essentiel même si le combat semble démesurer à mener. Toutefois, il est bon de noter aussi que si certaines autorités nationales de contrôle des données personnelles sont vigilantes et efficaces comme la CNIL française, d’autres le sont comme la CNIL irlandaise, souvent sous les feux de projecteur pour ses déficiences marquées. La responsable de l’autorité de contrôle belge a également récemment démissionné en soulignant le manque de transparence et d’indépendance de son institution. Au moment où les cyberattaques s’intensifient, où les données personnelles des internautes font l’objet d’une chasse intensive par les Big Tech, plus que jamais pourtant nous avons besoin de ces gardiens, qui sont autant de garde-fous de nos droits et libertés numériques.
Le point de vue étudiant
Une future déclaration européenne des droits et principes numériques en préparation
Une future déclaration européenne des droits et principes numériques en préparation
Le 26 janvier 2022 la Commission européenne proposait au Parlement européen et au Conseil le lancement d’une nouvelle étape pour baliser la décennie numérique : la signature d’une déclaration de droits et de principes numériques. L’Union, telle une boussole numérique, cherche à guider les Européens – du citoyen à l’homme politique en passant par les entreprises – dans cette transformation technologique qu’elle promeut tout en restant fidèle aux valeurs de l’Europe.
Ce projet de déclaration a pour but de rassembler tous les droits existants en rapport avec l’ère numérique en établissant un point de référence clair, énonçant l’idée que l’Union Européenne se fait de l’environnement numérique. Cette déclaration rappelle les droits émanant de toutes les initiatives déjà existantes à échelle européenne concernant le numérique : la liberté de faire des choix, garantie par les exigences de transparence le projet européen de réglementation sur l’intelligence artificielle et le Digital Services Act, la capacité à participer à l’espace public numérique, le droit à la sûreté et à la sécurité ainsi qu’à l’autonomisation en ligne pris en compte par le RGPD et les initiatives en matière de cybersécurité. Elle ajoute également un chapitre sur l’impact environnemental du numérique et sa durabilité et exprime son envie de voir le numérique contribuer à l’équité économique et sociale dans toute l’Union grâce à une connectivité pour tous au sein d’un environnement protégé.
La vision « human-centric » de cette déclaration illustrée par le titre de son premier chapitre, (« Mettre les citoyens au cœur de la transformation numérique ») exprime une volonté d’accompagner l’humain dans sa vie quotidienne. Concrètement, elle prévoit la connexion numérique à haut débit pour tous et à un prix abordable, des salles de classes bien équipées et des enseignants compétents en la matière, un accès aisé aux services publics, un environnement numérique sûr pour les enfants, la déconnexion après les heures de travail, la fourniture d’informations faciles à comprendre sur l’incidence environnementale de nos produits numériques, et le contrôle de la manière d’utiliser les données à caractère personnel et de leur partage avec des tiers.
Après sa cosignature probable par le Parlement et le Conseil au courant de l’été 2022, cette déclaration pourrait devenir un pilier de la vision de l’exécutif européen et la vitrine de l’approche européenne de cette transformation au regard du monde entier. Afin de s’assurer qu’elle produise des effets concrets, la Commission a proposé de surveiller les progrès de son application. Le but est d’évaluer les lacunes du texte et de formuler des recommandations dans le cadre d’un rapport annuel sur l’état d’avancement de la décennie numérique.
En France, une déclaration des droits fondamentaux numériques avait été proposée en 2009 par le président du Nouveau centre, Hervé Morin mais n’avait guère prospérée.
Par Axelle Richeux, étudiante de Master 2 Management & Droit des affaires SKEMA BS, sous l’œil bienveillant de Isabelle Bufflier et Frédéric Munier, professeurs chez SKEMA BS