« Le pétrole de la nouvelle économie… » C’est souvent par cette expression surannée que sont décrites les données qui résultent de notre utilisation des technologies. Dans le même temps, les géants américains du numérique enchainent les amendes pour non-respect du RGPD[1] (voir notamment la récente amende record prononcée à l’encontre d’Instagram par l’autorité de protection des données irlandaise[2]), et poussent ainsi la Commission européenne à développer de nouveaux outils afin de toujours plus encadrer les utilisations de ces données.

Cette initiative, le « Paquet Numérique », se compose respectivement des DMA[3], DSA[4] et DA[5] et ses objectifs sont clairs – suppléer le RGPD pour les autres données qui seraient issues des utilisateurs, peu important qu’elles fussent personnelles, et instaurer un partage visant une meilleur distribution d’une valeur aujourd’hui accaparée par des acteurs en position quasi-monopolistiques.

(suite…)

La loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi « Sapin 2 »1)Entrée en vigueur le 10 décembre 2016 (JORF n°0287 du 10 décembre 2016), a instauré un principe général de prévention et de détection des risques de corruption sous le contrôle de l’Agence française anticorruption (AFA). Après trois ans de pratique dans le cadre de ses activités de conseil et de contrôle, l’AFA a publié de nouvelles recommandations entrées en vigueur le 13 janvier 2021. Ces recommandations renforcent la connaissance du phénomène anticorruption et s’articulent autour des piliers indissociables que sont l’engagement de l’instance dirigeante, la cartographie des risques et la gestion des risques.

L’AFA encourage toutes les entités à se doter d’un dispositif de lutte contre la corruption, indépendamment des seuils indiqués par la loi Sapin 2, tout en précisant qu’une adaptation des recommandations reste nécessaire. Elle conseille aux entreprises privées assujetties à l’obligation de prévention de l’article 17 de la loi Sapin 2 d’appréhender dans leur dispositif un ensemble d’infractions pénales et alimente également ses recommandations pour les acteurs publics.

Formalisation du dispositif

Afin d’encourager les acteurs à combler certaines insuffisances relevées et à respecter les procédures instaurées, le maître-mot de l’AFA est la formalisation. C’est dans cette perspective que devront être affinées les méthodes de cartographie des risques, ainsi que la procédure d’enquête interne où il doit être prévu a minima les critères nécessaires à son déclenchement, ses modalités de réalisation et la mise en place d’un comité dédié pour établir le rapport. L’AFA ne manque pas de souligner les enjeux afférents à l’application du règlement général sur la protection des données (RGPD)2)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, sans toutefois s’être concertée avec la Commission nationale de l’informatique et des libertés (CNIL) pour proposer un cadre de conformité clé en main. Les acteurs devront veiller, lors de l’évaluation de l’intégrité des tiers et de l’instance dirigeante, à ne collecter que les données strictement nécessaires pour atteindre la finalité fixée par la loi Sapin 2. Ils devront aussi informer les personnes concernées par l’évaluation de leur intégrité, des caractéristiques des traitements mis en œuvre sur leurs données et des droits dont elles disposent sur celles-ci3)Article 5 du RGPD. La vérification de l’honorabilité des tiers pouvant s’effectuer du fait de leur présence ou de leur absence sur des listes de sanctions, les entreprises devront apporter une protection particulière à cette catégorie de données à caractère personnel dites « sensibles ». Le même soin devra être apporté aux données personnelles relatives aux sanctions disciplinaires recensées par les acteurs concernés. L’AFA a également cherché à concilier la nécessité de prévoir une conservation limitée des données à caractère personnel4)Articles 12 et 13 du RGPD à l’impératif de ces acteurs de pouvoir justifier leurs décisions en cas de contrôle ou d’audit. Les recommandations n’ont pas de valeur obligatoire ou contraignante pour ceux à qui elles s’adressent, mais sont opposables à l’AFA dans ses activités de contrôle. L’AFA se référera aux recommandations pour les contrôles ouverts à compter du sixième mois suivant celui de leur entrée en vigueur, soit à partir du 13 juillet 2021.

(suite…)

References

References
1 Entrée en vigueur le 10 décembre 2016 (JORF n°0287 du 10 décembre 2016)
2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016
3 Article 5 du RGPD
4 Articles 12 et 13 du RGPD

L’interview de Me Claude-Etienne Armingaud, expert en droit des nouvelles technologies (K&L Gates) : « Privatiser la justice entraînerait une privation de liberté« 

Le meurtre de Samuel Paty fait ressurgir le rôle des réseaux sociaux et leur difficile contrôle…
Me Claude-Etienne Armingaud : 
La France a un cadre qui remonte à 1881 sur la liberté d’expression et qui fonctionne plutôt bien. À chaque fois qu’il y a des libertés, il y a en corollaire un devoir. Depuis toujours, le juge judiciaire est le gardien des libertés, c’est lui qui doit dire ce qui est légal ou pas en termes de diffamation. Le problème, c’est que le temps judiciaire n’est pas celui d’internet. La plainte de Samuel Paty pour diffamation après la vidéo du père de famille avait tout son sens. Mais même quand on fait un référé d’heures à heures, on n’a jamais de décision avant 48 heures, ce qui est… la durée de vie d’une information. La viralité entraîne une perte de contrôle totale. La tentation qui galope depuis la loi pour la confiance dans l’économie numérique de 2004, voire même le projet de loi sur la société de l’information de 2001, c’est, en quelque sorte, de « privatiser » la justice. Le consensus actuel est de dire que l’on a des intermédiaires purement techniques, auxquels on dit ‘Vous n’avez pas d’obligation de surveillance mais si ce contenu est illicite, vous devez le retirer‘. De cette position, la tentation est de faire reposer sur ces mêmes intermédiaires une obligation d’appréciation de la licéité des contenus.

En juin dernier, la loi Avia allait plus loin mais a été en partie censurée par le Conseil constitutionnel…
La loi Avia voulait que les contenus manifestement illicites – le terrorisme et la pédopornographie – soient retirés dans l’heure ; les appels à la haine sous 24h. Le Conseil constitutionnel a estimé que ces délais imposés ne permettaient pas de saisir le juge judiciaire, gardien des libertés. Ce qui revenait à cette « privatisation » de la justice sans voie de recours, pourtant nécessaire dans un état de droit. Aucun particulier ne va faire une procédure contre les Gafa pour voir son contenu republié, quand bien même il aurait raison sur le fond.

Le Conseil constitutionnel a ramené la suppression du contenu à un « délai raisonnable » mais maintenu des sanctions financières élevées : 1,250 millions d’ pour les personnes morales par infraction…
Face à ces montants, dès qu’il y a un signalement, les plateformes ne vont pas prendre de risque et retirer les contenus. Cette privatisation de la justice peut entraîner à terme une privation de la liberté d’expression. Les juges ont 150 ans de jurisprudence sur l’injure et la diffamation et il y a pourtant toujours des débats. La haine envers une communauté de personnes (sur la base de l’appartenance à une ethnie, une religion…) peut être encore plus subjective et est en tout état de cause un concept plus récent. Ce serait donc normal qu’il revienne aux juges de l’apprécier.

Quelles peuvent être les solutions ?
Il faut pouvoir trouver un équilibre entre la liberté d’expression dans un état de droit et la sécurité des personnes. C’est un exercice très délicat. Les magistrats qui sont déjà sous l’eau ne peuvent raisonnablement pas se prononcer sur chaque tweet contesté. La tentation peut être grande de le mettre entre les mains d’une autorité administrative, comme le CSA, mais là encore, le spectre d’une censure d’État demeure. Un principe de précaution comme un sas avant publication ou en cas de contestation ? Une chambre judiciaire spécialisée ? On en reviendrait encore à des juges encore plus sursollicités…

Retrouvez l’intégralité de l’entretien dans La Provence.

« Pour décider, il faudrait créer une juridiction rapide, estime Claude-Etienne Armingaud, avocat chez K&L Gates LLP. Mais cela paraît aujourd’hui impossible. »

Retrouvez l’intégralité de l’article dans Les Echos

« Quand verra-t-on des voitures sans chauffeur sur les routes françaises ? Peut-être dès 2019 : comme proposé par le rapport Idrac remis en mai dernier , la loi Pacte devrait faciliter les expérimentations de voitures autonomes dans l’Hexagone. Adopté mardi en première lecture à l’Assemblée Nationale, le projet de loi prévoit à son article 43 d’autoriser les tests sans conducteur à bord. « C’était une disposition réclamée par les acteurs du secteur », rappelle Claude-Etienne Armingaud, avocat associé chez K & L Gates. »

Publication dans Les Échos.

Entretien par Anne Feitz

Suite à l’annonce en juin dernier des cinq dernières lignes directrices sur le Règlement Européen sur la Protection des Données (« RGPD ») restant à adopter par le groupe de travail de l’Article 29, qui réunit les autorités nationales de protection des données des États membres, pour décembre prochain, la Commission National de l’Informatique et des Libertés, la CNIL, sollicite les contributions des acteurs potentiellement impactés sur deux de ces cinq sujets, qu’ils soient « responsables de traitements » uniques ou conjoints, sous-traitants ou personnes concernées.

(suite…)

« «Le texte prévoit de consigner toute violation des données à caractère personnel, quel que soit le niveau de gravité de cette violation. Sauf à ce que cette violation n’engendre pas de risques pour les droits et les libertés des personnes, il conviendra également de notifier le régulateur. Si le risque est sérieux, l’entreprise devra même notifier individuellement chaque client» explique l’avocat Claude-Etienne Armingaud, du cabinet K&L Gates. »

Lire l’article d’Élisa Braün en intégralité sur le site du Figaro.

Quatre nouveaux arrêtés sectoriels relatifs à la sécurité des systèmes d’information des opérateurs d’importance vitale ont été publiés au Journal Officiel du 4 décembre 2016. Ces arrêtés viennent préciser la partie règlementaire du Code de la défense relative aux règles de sécurité et aux modalités de déclaration des systèmes d’information d’importance vitale dits « SIIV ».
(suite…)

LA QUESTION

La blockchain. Certains y voient une nouvelle révolution libertaire issue de l’Internet, d’autres la fin des systèmes bancaires centraux. La technologie « blockchain » ne laisse pas indifférent et affole tant les médias que les juristes, qui se gargarisent, dans la veine de « l’ubérisation du droit », d’employer un nouveau mot à la mode. Dans le même temps, dans une quasi-indifférence, un règlement européen est entré en vigueur le 1er juillet 2016. Le règlement eIDAS prévoit les conditions dans lesquelles des échanges dématérialisés peuvent se faire dans un climat de confiance réglementé, qui résulte d’un mécanisme de présomptions légales. Ce cadre normatif sonne-t-il le glas de la démocratisation de la technologie blockchain ?

Pour répondre à cette question, ou pour en débattre, encore faut-il rappeler ce qu’est effectivement la technologie blockchain. Il s’agit d’une chaîne de blocs qui comportent chacun l’identification du bloc qui le précède, la nature de la transaction (opération, émetteur, destinataire) et une preuve de calcul (réalisée au travers de la résolution d’une équation complexe qui nécessite une puissance de calcul conséquente) qui permet d’identifier et de valider ce même bloc. Chacun de ces blocs se suit de manière sérielle. De fait, chaque bloc nouveau valide la chaîne qui le précède.

(suite…)

Dans la mouvance du projet de loi « Lemaire », la lettre recommandée électronique soulève un grand nombre de problématiques intéressantes dans le domaine contractuel qu’elle couvre actuellement. De fait, il projette d’étendre son application hors cadre contractuel, multipliant ainsi les applications pratiques et les possibilités de matérialisation de ces mêmes problématiques. Il est inutile de souligner la grande actualité de la présente analyse.

(suite…)