Voici la liste des articles publiés par notre cabinet.


Le conseil d’Etat, dans un arrêt du 3 octobre 2018, confirme la position de la CNIL refusant de faire droit à la demande de rectification d’un plaignant.

 

Si, aux termes de l'article 40 de la loi du 6 janvier 1978 modifiée : " Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées… »,  la CNIL dispose d’un pouvoir d'appréciation pour décider des suites à donner à la demande d’un plaignant s’étant vu opposer une fin de non-recevoir par un responsable de traitement.

 

En l’espèce, un particulier avait demandé que soit corrigée la graphie de son nom de famille dans les fichiers d’une société auprès de laquelle il avait souscrit un abonnement : il souhaitait que la particule de son nom apparaisse en lettres minuscules et non plus en lettres majuscules.

 

La CNIL, saisie au vu d’un tel refus, avait considéré qu'il ne lui appartient pas de veiller au respect des dispositions de l'article 1er de la loi du 6 fructidor an II aux termes duquel : " Aucun citoyen ne pourra porter de nom, ni de prénom autres que ceux exprimés dans son acte de naissance... " et de l'article 4 de la même loi qui dispose qu'il " est expressément défendu à tous fonctionnaires publics de désigner les citoyens dans les actes autrement que par le nom de famille, les prénoms portés en l'acte de naissance (...) ».

 

Le Conseil d’Etat a considéré que la CNIL avait fait une exacte application des dispositions précitées de l'article 40 de la loi du 6 janvier 1978 en considérant que la graphie en lettres majuscules de la particule du patronyme de M. de X...n'entachait pas d'inexactitude ses données personnelles et n'entraînait aucun risque de confusion ou d'erreur sur la personne.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance


Un parent d’élève s’étant opposé à ce que ses enfants figurent dans les traitements bases élève de l’éducation nationale, le Conseil d’Etat a été amené à se prononcer sur les motifs légitimes invoqués par les intéressés sur le fondement des dispositions de l’article 38 de la loi du 6 janvier 1978 modifiée.

 

La Haute juridiction administrative a considéré que les craintes d’ordre général, notamment liées à la sécurité du fonctionnement de la base, invoquées par le parent n’étaient pas de nature à justifier cette opposition.

 

Celui-ci aurait dû faire état de considérations qui lui seraient propres ou qui seraient propres à ses enfants.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance



Après la loi relative à la lutte contre la manipulation de l’information du 22 décembre 2018 (n°2018-1202), le législateur porte de nouveau son attention sur les modalités d’exercice de la liberté d’expression sur Internet.

 

Ainsi, le 20 mars 2019, deux propositions de loi ont été enregistrées à l’Assemblée nationale. D’une part un texte visant à lutter contre la haine sur Internet et d’autre part une proposition de loi « visant à obliger les utilisateurs des réseaux sociaux à s’y inscrire sous leur identité réelle ».

 

Selon l’exposé des motifs de cette dernière proposition de loi, les réseaux sociaux « […] représentent un outil formidable d’expression, de partage et de communication ». En revanche, « le recours aux pseudonymes bénéficie avant tout aux harceleurs et aux militants politiques radicaux qui propagent des arguments politiques erronés ou de fausses informations ».

 

Le texte prévoit de modifier l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique en intégrant une nouvelle disposition imposant, dans sa rédaction actuelle, aux hébergeurs de services de communication au public en ligne, catégorie de prestataires de services Internet qui inclut les réseaux sociaux, de vérifier l’identité des destinataires de leurs services « sur présentation de tout document écrit à caractère probant ».

 

Les rédacteurs de ce texte s’inspirent du mécanisme de vérification d’identité imposé par l’article L.561-5 du Code monétaire et financier dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme.

 

La proposition de loi prévoit l’intervention d’un décret en Conseil d’Etat, pris après avis de la CNIL, pour la détermination des modalités d’application de cet article. Pour l’heure, le parcours législatif de ce texte ne fait que commencer : la proposition de loi a été renvoyée pour examen par la Commission des affaires culturelles et de l’éducation.


Arthur Poirier, avocat et Mathieu Vincens, juriste



Le 27 mars 2019,  le Parlement européen a adopté un règlement pour la cybersécurité relatif  "à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité)". 

 

Le considérant n°1 du règlement est parfaitement explicite sur les enjeux ayant conduit à l’adoption de ce règlement en les termes suivants :

 

 « Les réseaux et systèmes d'information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. »

 

Dans ce contexte, l’article 1 explicite les deux objectifs du règlement européen, à savoir :  

 

  • "les objectifs, les tâches et les questions organisationnelles concernant l’ENISA"

« La principale tâche de l'ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 [communément appelée NIS] ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience » (considérant 24).

 

  • un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union, ainsi que dans le but d'éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l'Union. »

 

Ce second objectif du présent règlement vise à établir un cadre de certification de cybersécurité unifié à savoir « un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie. »

 

Le certificat de cybersécurité européen est défini comme  « un document délivré par un organisme compétent attestant qu'un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité ».


Il sera donc possible de faire certifier :

 

  • un produit TIC, « un élément ou un groupe d'éléments appartenant à un réseau ou à un schéma d'information » ;

 

  • un service TIC, « un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d'information » ;

 

  • un processus TIC, « un ensemble d'activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance ».


Il est intéressant de noter que l’article 55 du Règlement prévoit que le fabricant ou le fournisseur disposant d’une certification « met les informations supplémentaires en matière de cybersécurité qui suivent à la disposition du public :

 

a) des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l'installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC ;

 

b) la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité ;

 

c) les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d'utilisateurs finaux et de chercheurs dans le domaine de la sécurité ;

 

d) une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité. »

 

Si ce cadre juridique était souhaité et est souhaitable face aux nouveaux enjeux en matière de cybersécurité, il apparait évident qu’un certain temps sera nécessaire pour la mise en place de ces mécanismes de certifications complexes.



Marine Hardy, avocate, responsable des pôles Innovations et Sécurité


Le 15 mars 2019, l’OMPI a annoncé qu’un "nouveau record de plaintes pour cybersquattage (+12 %) déposées auprès de l’OMPI" avait été franchi en 2018" : 3 447 plaintes ont été déposées auprès du Centre d’arbitrage et de médiation de l’OMPI.


Le cybersquattage est défini par l’autorité de régulation de l’Internet ICANN comme "l’enregistrement de mauvaise foi de la marque commerciale d’un tiers dans un nom de domaine".


Face à un cas de cybersquattage, il est possible de mettre en place une procédure administrative dite UDRP (politique commune de résolution de litiges en matière de noms de domaine).


Le principal avantage de la procédure administrative régie par les principes UDRP réside dans les délais courts et des coûts moins onéreux que certaines procédures judiciaires.


Dans le rapport de l’OMPI, sur le traitement de ce type de procédure, nous relevons les points suivants :

 

  • sur le type de nom de domaine impacté  à 73 % des litiges concernent le nom de domaine générique de premier niveau ".com".


Source : OMPI, Les 10 principaux gTLD dans les plaintes déposées auprès de l’OMPI (2018)

 

  • sur la répartition géographique des litiges

=> les Etats-Unis figurent en tête du classement en tant que pays demandeur et défendeur aux litiges en vertu des principes UDRP avec 976 plaintes déposées en 2018 ;

=> la France se place en 2e position en tant que pays requérant avec 553 plaintes déposées ;

=> la Chine se positionne en 2e position en tant que pays défendeur avec 466 litiges.



Source OMPI, Les 25 principaux pays parties aux litiges

  • sur les domaines d’activité concernés

 

=> La banque / finance est le domaine le plus impacté par le cybersquattage (12 %), suivi de la biotechnologie et produits pharmaceutiques (11 %), puis de l’Internet et technologies de l’information (11 %).


Source : OMPI, Les domaines d’activité des requérants


Face aux enjeux économiques et stratégiques que représentent les noms de domaines pour chaque entreprise, il est conseillé à celles-ci d’adopter une stratégie efficace notamment via la mise en place d’une veille et surveillance constante.


Marine Hardy, avocate, responsable des pôles Innovations et Sécurité