Les news qui ont fait l’actu
Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Semaine du 28 au 03 avril 2022
Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :
Sarah Ben Bouazza
Solal Boullanger
Arthur Clavier
Lucas Cosset
Loris Couvreur
Arthur Derderian
Cassandre Hodeau
Soez Jarrousse
Camille Kurth
Léonard Marx
Mathilde Sauret
Taous Rabahi
Apple et Meta auraient transféré des données d’utilisateurs à des hackers imitant les forces de l'ordre
Des hackers se faisant passer pour des forces de l’ordre auraient réussi à dérober des données utilisateurs (adresse postale, numéro de téléphone, adresse IP) à Meta et Apple, mais aussi Snapchat et Discord. Ils auraient piraté les adresses e-mails d’entités en charge de l’application des lois de plusieurs pays pour envoyer des demandes légales falsifiées.
Pourquoi cette actu :
En se faisant passer pour des services gouvernementaux durant l’année 2021, le groupe cybercriminel « Recursion team » à l’origine de ce vol de données a réussi à extorquer à Meta, Apple, Discord et Snapchat, des informations relatives à l’identité de leurs utilisateurs en s’appuyant sur de fausses « emergency data requests » (requête de données d’urgence). Celles-ci ne nécessitant pas d’ordonnance signée par un juge, les hackers ont pu ainsi aisément leurrer le système de vérification des demandes étatiques adressées à ces géants du numérique. Ce piratage est en fait relativement simple puisque certains identifiants de connexion des agents gouvernementaux utilisés sont disponibles sur le dark web. Cette actualité met ainsi en lumière les lacunes sécuritaires auxquelles peuvent aussi faire face les grandes entreprises de la Tech qu’on penserait beaucoup mieux armées, vu les moyens financiers dont elles disposent. Cette attaque est en lien direct avec d’autres cyberattaques récentes subies par Ubisoft, Microsoft, Samsung, Okta et Nvidia, menée par le groupe Lapsus, qui a sa tête le même leader que le groupe « Recursion team ».
Si à l’origine les cyberattaques ciblaient plutôt les entreprises pour leur demander des rançons, les institutions publiques et les gouvernements ne sont plus à l’abri. De nombreux hôpitaux, ministères, universités et écoles ont subi des attaques similaires.
Consciente de ces nouveaux risques, particulièrement augmentés avec la guerre en Ukraine la Commission européenne a décidé récemment d’organiser avec le Conseil de l’Europe un stress test (ou « cyber exercice ») dans l’objectif d’éprouver la résistance de 11 pays de l’Est de l’Europe et du Sud-Est, sauf l’Ukraine et la Biélorussie et d’adapter les cadres législatifs en matière de cybercriminalité.
Les risques engendrés par le manque de sécurité des entreprises comme les Big Tech qui drainent des milliers de données personnelles de leurs clients ne devraient-ils conduire à une coopération soutenue avec les gouvernements afin d’augmenter la protection de ces données ? Fin février, l’Union européenne a, dans ce sens, réaffirmé et relancé une dynamique en termes de cloud souverain, avec l’intégration à ce projet de la société Atos (leader international de la transformation digitale) pour lancer Structura-X. Ce projet, en complément du projet Gaia-X, a pour vocation de faire collaborer acteurs gouvernementaux et entreprises privées afin d’élaborer un système de stockage de plus en plus sécurisé et indépendant. Cela aura donc pour effet de protéger de façon optimale les données personnelles des utilisateurs européens en leur proposant une alternative aux Big Tech pour stocker leurs données en dehors des États-Unis. Les États-Unis devraient eux aussi, à terme, tendre vers ce type de projet afin de s’assurer d’une parfaite sécurité des données personnelles de leurs citoyens.
Google lance les premiers tests de la Privacy Sandbox dédiée au ciblage publicitaire
Le 31 mars 2022, Google a annoncé le lancement de trois tests à grande échelle de son programme « Privacy Sandbox ». Topics vise à associer des utilisateurs à des thèmes, Feldge cible la mise aux enchères publicitaires et enfin l’Attribution reporting mesure le taux de « conversion », en d’autres termes le fait qu’un « clic » sur un site internet par exemple, entraîne un achat sur ce même site.
Pourquoi cette actu :
Après la mise en place par Apple de l’App tracking transparency, nécessitant le respect par les applications transitant par un device Apple du consentement des internautes, le lancement de la Privacy Sandbox est décisif. Il sera observé à la fois par les autorités de régulation, les autorités de la concurrence mais aussi par les entreprises, dont la vente d’espaces publicitaires représente une source importante de revenus. Par conséquent, chaque innovation, chaque lancement, chaque nouvel outil est analysé par tous les acteurs du numérique, ce qui force ces géants à faire preuve de minutie et de transparence. Avec la Privacy Sandbox, l’enjeu est double pour Google. Tout d’abord la Big Tech est à la recherche de propositions innovantes afin de remplacer les cookies tiers. En effet, les condamnations récurrentes en Europe pour non-respect du RGPD, mais également le fait que les lignes directrices de la CNIL exigent désormais la récolte explicite du consentement des internautes et leur possibilité de ne pas accepter les cookies ont conduit à leur moindre efficacité comme instrument de récolte des données personnelles. En outre, Google doit aussi renouveler le marché de la publicité numérique sans abuser de sa position de monopole et en assurant à ses clients des résultats tout aussi efficaces. C’est pourquoi cette Privacy Sandbox est tant scrutée : tous les acteurs du numérique sont concernés et personne ne veut laisser la liberté à Google de transgresser une nouvelle fois les règles ou d’abuser de sa position dominante sur le marché. La CNIL a d’ores et déjà précisé qu’elle surveillait les alternatives aux cookies tiers et que ces dernières devraient nécessairement respecter les règles du RGPD et de la vie privée des utilisateurs. Avec les nombreuses condamnations des GAFAM et les mises en demeure régulières sur le fondement du respect de la vie privée et du RGPD, observe-t-on une inversion du rapport de force entre les géants du numérique et les autorités ? Ou n’est-ce qu’un effort passager permettant à Google de faire retomber la pression tout en continuant à assurer sa mainmise sur les données récoltées ? L’avenir nous le dira, surtout après l’adoption du train de dispositions européennes attendues en vue de réguler les Big Tech.
Les données de NationBuilder sont-elles hébergées hors de l’UE ?
Fondée en 2009, la société américaine NationBuilder est une plateforme développée pour organiser des campagnes électorales. Elle permet de gérer un fichier de contacts militants, une campagne de dons et d’animer un site web. Utilisée par de nombreux candidats à l’élection présidentielle française et elle est aujourd’hui sous le feu des critiques. Questionnée sur le lieu de stockage des données de ses utilisateurs, elle n’a toutefois pas souhaité l’indiquer mais son site internet précise qu’un hébergement hors d’Europe est possible grâce à un dispositif juridique spécifique.
Pourquoi cette actu :
À plus d’une semaine du premier tour des élections présidentielles en France, l’utilisation des données personnelles des électeurs refait surface, à l’aune des scandales qui ont eu lieu lors d’élections par le passé. On peut notamment penser au scandale de Cambridge Analytica. En effet, cette entreprise britannique a permis aux pourfendeurs du Brexit ainsi qu’à Donald Trump de récolter un nombre incommensurable de données d’électeurs afin d’influencer leur choix lors des élections de 2016. L’algorithme de l’entreprise ciblait précisément les électeurs indécis. Force est de constater que l’entreprise qui incarne ce risque aujourd’hui est NationBuilder, déjà utilisée par des candidats comme Emmanuel Macron en 2017, et actuellement par Éric Zemmour, Yannick Jadot ou encore Fabien Roussel. Par conséquent, le fait que l’entreprise américaine n’ait pas voulu révéler où elle hébergeait les données qui peuvent être considérées comme sensibles au regard du RGPD car politiques, laisse à penser qu’elle pourrait rentrer en contradiction avec le droit européen. En effet à la suite de l’arrêt dit « Schrems II » de juillet 2020, la Cour de justice de l’Union européenne a invalidé comme non conforme aux exigences du RGPD, le Privacy Shield, accord de transfert de données entre l’Europe et les États-Unis. Dans le même esprit, la CNIL a dernièrement procédé de même à propos du logiciel Google Analytics et a enjoint à un gestionnaire de site web soit de cesser de l’utiliser soit de ne pas transférer les données aux États-Unis. Si NationBuilder persistait à ne pas révéler le lieu de l’hébergement de ces données à ses utilisateurs et aux propriétaires des données stockées, d’autant qu’il s’agit de données sensibles, alors les sanctions pourraient être sévères à son égard. À l’heure où les autorités de protection des données personnelles européennes sanctionnent avec véhémence les entreprises qui ne respectent pas le RGPD, notamment sur saisine de l’association NOYB créé par Max Schrems, devenu avocat, NationBuilder ne sera sans doute pas épargnée. Ainsi, cette actualité met-elle en exergue le risque qu’une telle entreprise pourrait faire peser sur le traitement et l’utilisation des données personnelles à des fins électorales, mais il souligne également la force de la norme européenne pour y remédier.
L’Union européenne ouvre une consultation sur l’accès aux données issues des véhicules
Du 29 mars au 21 juin 2022, l’Union Européenne vient d’ouvrir une consultation publique sur « l’accès aux données, aux fonctions et aux ressources des véhicules ». L’objectif est de réfléchir est de réfléchir à une proposition de règlement, afin de fixer plus précisément les conditions d’accès et d’utilisation des données générées à bord des véhicules. Cette consultation publique pourrait fortement diviser les constructeurs et les assureurs, qui poursuivent des intérêts antagonistes.
Pourquoi cette actu :
A l’heure où la récolte et le traitement des données personnelles est plus que jamais au cœur de l’actualité, réfléchir à une législation européenne sur celles récoltées par le biais des véhicules automobiles, intégrant de plus en plus de logiciels guidés par l’intelligence artificielle, n’est pas anodin. La consultation publique organisée devrait voir certainement s’affronter les constructeurs, souhaitant conserver les données des utilisateurs finaux, et les assureurs, voulant accéder à ces données pour mieux adapter leurs services à la population cible. Sachant qu’en 2018 plus de 85% des véhicules neufs étaient déjà connectés à un réseau sans fil et que d’ici à 2025, plus de 470 millions de véhicules connectés devraient circuler sur les routes d’Europe, des États-Unis et de Chine, s’interroger sur le sort des données personnelles récoltées par leur biais et permettre d’encadrer précisément leur récolte et leur traitement est plus que nécessaire. Car de ces données peuvent découler divers services allant de l’assurance kilométrique à la mobilité partagée en passant par la revente d’un véhicule, mais aussi des informations pouvant être utiles aux pouvoirs publics souhaitant contrôler les émissions de CO2 et lutter contre le réchauffement climatique ou de tout autre polluant.
Si l’UE réglemente déjà depuis 2007 l’accès aux données issues des véhicules concernant leur réparation et les systèmes de diagnostic embarqués « afin de garantir une concurrence loyale sur le marché des pièces et des équipements de rechange », il n’existe pas encore de législation générale dédiée aux systèmes de récolte des données des véhicules. Certes, les textes en préparation, dans le cadre du pack numérique en discussion actuellement à Bruxelles, envisage de redonner la main aux utilisateurs sur leurs données, mais il serait peut-être nécessaire de les compléter par des mesures précises concernant les véhicules. Par exemple pour normaliser les ensembles de données concernés et garantir l’accès non seulement aux données, mais aussi aux fonctions et aux ressources des véhicules. A l’heure où les technologies de l’IA et de la blockchain viennent diversifier mais aussi complexifier l’usage des véhicules, une consultation publique mêlant toutes les parties prenantes est donc bienvenue.
Oodrive reçoit de nouveau la qualification SecNumCloud de l’ANSSI
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a décidé d’attribuer, de nouveau pour trois ans, le label « SecNumCloud » à la société Oodrive, un des leaders du cloud computing français et de la gestion des données sensibles. Grâce à ce label, l’entreprise spécialisée dans le partage et la sauvegarde des fichiers garantit aux différentes organisations un environnement cloud respectueux des données personnelles mais aussi hautement sécurisé.
Pourquoi cette actu :
On le sait, la souveraineté numérique française et européenne est une des questions clés actuelles qui préoccupe les pouvoirs publics, afin de s’affranchir de la tutelle et du quasi-monopole des Big Tech. Le Cloud permet un stockage des données mais aussi un transit plus simple et plus performant. Toutefois, les données ainsi conservées peuvent être vulnérables et être exposées à des cyberattaques. L’attribution d’un label comme le Sec Num Cloud garantit non seulement un usage conforme au RGPD, mais aussi un haut niveau de sécurité fondé sur la qualité, la robustesse de la prestation, la compétence du prestataire ainsi que la confiance pouvant lui être accordée. Les nombreux clients de la société Oodrive peuvent donc être rassurés. Rappelons que Oodrive compte en en effet plus de 15 000 entreprises clientes, dont plus de 80 % du CAC 40. La société est un acteur français d’importance dans le domaine cloud. Elle est ainsi engagée dans plusieurs projets d’envergure autour de la promotion d’un cloud souverain et soutient le projet de Campus Cyber ayant pour ambition de faire de la France un leader européen de la cybersécurité, en rassemblant les expertises des industriels, chercheurs français et organismes publics en un seul et même lieu.
Le référentiel de ce label est très exigeant et contrôlé par l’ANSSI. Seuls quatre fournisseurs de services cloud ont été pour l’instant certifiés par elle dont d’Oodrive, 3DS Outscale (filiale de Dassault Systèmes), OVHcloud et Worldline (ancienne filiale d’Atos et son actionnaire majoritaire).
Ce label a cependant vocation à être remplacé par un équivalent européen, dans le cadre du Cyber Security Act adopté en 2019. Les choses sont très claires sur ce point pour l’Anssi : « Le cloud sécurisé à haut niveau doit être techniquement de très bon niveau mais aussi protégé face aux lois extraterritoriales ». A cet égard, le label a été récemment actualisé pour prendre en compte les conséquences de l’invalidation du Privacy Shield. « Sans cela, précise l’ANSSI, la souveraineté européenne dans le cyberespace est vaine ». L’enjeu au niveau français est donc très important : pouvoir à terme faire disparaître le label SecNumCloud au profit d’une certification européenne au moins équivalente. Espérons que l’accord de principe récemment trouvé entre les États-Unis et la Commission européenne sur le transfert extraterritorial des données hors UE ne mette pas à mal cette stratégie protectrice.
Focus de la semaine
Des contenus douteux surexposés par erreur sur Facebook
Le site internet américain The Verge a révélé le 31 mars dernier que pendant 6 mois, des contenus douteux ont été surexposés par erreur sur Facebook. D’octobre 2021 à mars 2022, des messages pourtant identifiés comme mensongers, trompeurs ou de faible qualité ont vu ainsi leur visibilité augmenter, parfois de 30 %, sur le réseau social, alors qu’ils auraient dû au contraire être moins mis en avant.
Pourquoi ce focus :
Ont été concernés par ce bug, les messages identifiés comme trompeurs par les médias partenaires de Facebook pour la détection de contenus mensongers (dont Le Monde et l’Agence France-Presse font partie). Ont été également touchés des messages identifiés par les algorithmes de détection du réseau social comme contenant de probables images de nudité, ou encore ceux publiés, jusqu’à début mars, par les médias d’État russes, dont la visibilité sur Facebook a pourtant été réduite depuis le début de la guerre en Ukraine. La maison mère de Facebook, Meta a communiqué sur la cause de ces problèmes. Apparemment après une enquête interne, il est apparu que cet affichage intempestif était lié à un bug logiciel, identifié et corrigé, sans que ce dysfonctionnement ait eu des effets significatifs. Facebook aurait changé de logiciel en 2019 avec des effets visibles à partir d’octobre 2021.
Fin 2021, les « Facebook files », révélés par la lanceuse d’alerte Frances Augen, ont montré que les systèmes de gestion interne de Facebook étaient devenus particulièrement complexes et échappaient parfois à ceux qui les avaient mis en place avec des effets pervers contraires et des conséquences en cascade importantes notamment sur des publics vulnérables comme les adolescents. La vulnérabilité des géants de la Tech inquiète, car malgré des moyens financiers conséquents, ils ne sont pas à l’abri de cyberattaques ou de bugs logiciels, alors qu’ils concentrent une grande quantité de nos données personnelles.
Le point de vue de l’enseignement
Le MiCA, un règlement européen en préparation pour réguler les crypto-actifs
par Isabelle Bufflier, professeure en éthique et droit des affaires, SKEMA BS sous l’œil bienveillant de Frédéric Munier, professeur de géopolitique, SKEMA BS
La Commission des affaires économiques et monétaires (ECON) de l’Union européenne a voté récemment en faveur du projet « Markets in Crypto-Assets » pour une réglementation européenne des marchés des cryptomonnaies, dit « MiCA », qui fait partie du pack des mesures en faveur de la finance numérique. Le texte aborde désormais la phase de trilogue entre le Parlement, le Conseil et la Commission. Objectif : réguler les acteurs du marché des cryptomonnaies et faire en sorte que le cadre réglementaire de l’Union applicable aux services financiers soit propice à l’innovation et n’entrave pas l’utilisation de nouvelles technologies.
A la différence des directives DSP2 et DME2 qui concernent les autres services financiers, le texte envisagé ici est un règlement communautaire. Celui-ci s’appliquerait donc dans les 27 Etats membres, dès son entrée en vigueur, à l’image du RGPD. Dans la mesure où les crypto-actifs sont encore très peu réglementés, il s’agit d’apporter de la sécurité juridique et de garantir la stabilité financière, tout en soutenant l’innovation et en protégeant les consommateurs et les investisseurs.
L’un des apports importants du texte est la définition de ce qu’est un crypto-actif. Le texte distingue en effet trois sous-catégories : les jetons se référant à un ou plusieurs actifs, tels les stablecoins, supervisés par l’Autorité européenne des marchés financiers (AEMF), les jetons de monnaie électronique, supervisés par l’Autorité bancaire européenne (ABE) et les utility tokens, liés à l’exploitation d’une plateforme servant à fournir un accès numérique à un bien ou à un service. Les NFT, qui rencontrent beaucoup de succès, sont exclus du champ d’application de MiCA, sauf s’ils entrent dans cette dernière catégorie.
Un autre apport important du texte : la création d’un statut européen de prestataire de services sur crypto-actifs, à l’image du prestataire de services sur actifs numériques (PSAN) créé en France. Mais le texte européen est plus exigeant car il s’agira d’agréer ces prestataires et n’ont pas simplement de les enregistrer. Le statut de prestataire européen remplacera donc à terme celui de PSAN, permettant de ce fait à ces derniers de bénéficier du fameux « passeport européen » et de proposer ainsi leurs services dans tous États membres de l’UE, à condition de respecter des conditions précises.
Enfin, après de nombreuses discussions, a été écarté, au grand soulagement de la France, un amendement controversé interdisant, pour des raisons environnementales, un protocole informatique spécifique (système de la preuve de travail ou « proof of work) », caractéristique essentielle des deux principales cryptomonnaies, le bitcoin et l’ether, permettant d’assurer la sécurité des réseaux. Cela aurait signifié une exclusion de ces deux monnaies de l’UE, portant une atteinte évidente à sa souveraineté, tant numérique que financière, au profit des Etats-Unis, qui viennent justement de réguler récemment les crypto-actifs.
Le texte européen devrait entrer en vigueur en 2023 ou 2024. Il fait partie du package sur la finance numérique, qui comprend également une proposition de régime pilote pour encadrer l’utilisation des actifs numériques comme actifs financiers. De même, dans le cadre du pack relatif à la lutte anti-blanchiment, proposé par la Commission européenne le 20 juillet 2021, figure une proposition visant les transferts de cryptomonnaies, intégrée dans la révision du règlement relatif aux informations accompagnant les transferts de fonds. Il s’agirait en particulier d’imposer aux fournisseurs de services de paiement des obligations d’informations sur l’émetteur et le bénéficiaire des transferts en cryptomonnaies. Au programme notamment aussi de ces différentes mesures, la fin de l’anonymat des transactions en cryptomonnaies afin de mieux lutter contre les pratiques illégales, qui ne fait pas que des heureux.