Voici la liste des articles publiés par notre cabinet.


Un parent d’élève s’étant opposé à ce que ses enfants figurent dans les traitements bases élève de l’éducation nationale, le Conseil d’Etat a été amené à se prononcer sur les motifs légitimes invoqués par les intéressés sur le fondement des dispositions de l’article 38 de la loi du 6 janvier 1978 modifiée.

 

La Haute juridiction administrative a considéré que les craintes d’ordre général, notamment liées à la sécurité du fonctionnement de la base, invoquées par le parent n’étaient pas de nature à justifier cette opposition.

 

Celui-ci aurait dû faire état de considérations qui lui seraient propres ou qui seraient propres à ses enfants.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance



Après la loi relative à la lutte contre la manipulation de l’information du 22 décembre 2018 (n°2018-1202), le législateur porte de nouveau son attention sur les modalités d’exercice de la liberté d’expression sur Internet.

 

Ainsi, le 20 mars 2019, deux propositions de loi ont été enregistrées à l’Assemblée nationale. D’une part un texte visant à lutter contre la haine sur Internet et d’autre part une proposition de loi « visant à obliger les utilisateurs des réseaux sociaux à s’y inscrire sous leur identité réelle ».

 

Selon l’exposé des motifs de cette dernière proposition de loi, les réseaux sociaux « […] représentent un outil formidable d’expression, de partage et de communication ». En revanche, « le recours aux pseudonymes bénéficie avant tout aux harceleurs et aux militants politiques radicaux qui propagent des arguments politiques erronés ou de fausses informations ».

 

Le texte prévoit de modifier l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique en intégrant une nouvelle disposition imposant, dans sa rédaction actuelle, aux hébergeurs de services de communication au public en ligne, catégorie de prestataires de services Internet qui inclut les réseaux sociaux, de vérifier l’identité des destinataires de leurs services « sur présentation de tout document écrit à caractère probant ».

 

Les rédacteurs de ce texte s’inspirent du mécanisme de vérification d’identité imposé par l’article L.561-5 du Code monétaire et financier dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme.

 

La proposition de loi prévoit l’intervention d’un décret en Conseil d’Etat, pris après avis de la CNIL, pour la détermination des modalités d’application de cet article. Pour l’heure, le parcours législatif de ce texte ne fait que commencer : la proposition de loi a été renvoyée pour examen par la Commission des affaires culturelles et de l’éducation.


Arthur Poirier, avocat et Mathieu Vincens, juriste



Le 27 mars 2019,  le Parlement européen a adopté un règlement pour la cybersécurité relatif  "à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité)". 

 

Le considérant n°1 du règlement est parfaitement explicite sur les enjeux ayant conduit à l’adoption de ce règlement en les termes suivants :

 

 « Les réseaux et systèmes d'information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. »

 

Dans ce contexte, l’article 1 explicite les deux objectifs du règlement européen, à savoir :  

 

  • "les objectifs, les tâches et les questions organisationnelles concernant l’ENISA"

« La principale tâche de l'ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 [communément appelée NIS] ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience » (considérant 24).

 

  • un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union, ainsi que dans le but d'éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l'Union. »

 

Ce second objectif du présent règlement vise à établir un cadre de certification de cybersécurité unifié à savoir « un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie. »

 

Le certificat de cybersécurité européen est défini comme  « un document délivré par un organisme compétent attestant qu'un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité ».


Il sera donc possible de faire certifier :

 

  • un produit TIC, « un élément ou un groupe d'éléments appartenant à un réseau ou à un schéma d'information » ;

 

  • un service TIC, « un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d'information » ;

 

  • un processus TIC, « un ensemble d'activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance ».


Il est intéressant de noter que l’article 55 du Règlement prévoit que le fabricant ou le fournisseur disposant d’une certification « met les informations supplémentaires en matière de cybersécurité qui suivent à la disposition du public :

 

a) des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l'installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC ;

 

b) la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité ;

 

c) les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d'utilisateurs finaux et de chercheurs dans le domaine de la sécurité ;

 

d) une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité. »

 

Si ce cadre juridique était souhaité et est souhaitable face aux nouveaux enjeux en matière de cybersécurité, il apparait évident qu’un certain temps sera nécessaire pour la mise en place de ces mécanismes de certifications complexes.



Marine Hardy, avocate, responsable des pôles Innovations et Sécurité


Le 15 mars 2019, l’OMPI a annoncé qu’un "nouveau record de plaintes pour cybersquattage (+12 %) déposées auprès de l’OMPI" avait été franchi en 2018" : 3 447 plaintes ont été déposées auprès du Centre d’arbitrage et de médiation de l’OMPI.


Le cybersquattage est défini par l’autorité de régulation de l’Internet ICANN comme "l’enregistrement de mauvaise foi de la marque commerciale d’un tiers dans un nom de domaine".


Face à un cas de cybersquattage, il est possible de mettre en place une procédure administrative dite UDRP (politique commune de résolution de litiges en matière de noms de domaine).


Le principal avantage de la procédure administrative régie par les principes UDRP réside dans les délais courts et des coûts moins onéreux que certaines procédures judiciaires.


Dans le rapport de l’OMPI, sur le traitement de ce type de procédure, nous relevons les points suivants :

 

  • sur le type de nom de domaine impacté  à 73 % des litiges concernent le nom de domaine générique de premier niveau ".com".


Source : OMPI, Les 10 principaux gTLD dans les plaintes déposées auprès de l’OMPI (2018)

 

  • sur la répartition géographique des litiges

=> les Etats-Unis figurent en tête du classement en tant que pays demandeur et défendeur aux litiges en vertu des principes UDRP avec 976 plaintes déposées en 2018 ;

=> la France se place en 2e position en tant que pays requérant avec 553 plaintes déposées ;

=> la Chine se positionne en 2e position en tant que pays défendeur avec 466 litiges.



Source OMPI, Les 25 principaux pays parties aux litiges

  • sur les domaines d’activité concernés

 

=> La banque / finance est le domaine le plus impacté par le cybersquattage (12 %), suivi de la biotechnologie et produits pharmaceutiques (11 %), puis de l’Internet et technologies de l’information (11 %).


Source : OMPI, Les domaines d’activité des requérants


Face aux enjeux économiques et stratégiques que représentent les noms de domaines pour chaque entreprise, il est conseillé à celles-ci d’adopter une stratégie efficace notamment via la mise en place d’une veille et surveillance constante.


Marine Hardy, avocate, responsable des pôles Innovations et Sécurité


Le 12 février 2019, le Parlement européen a adopté une résolution « sur une politique industrielle européenne globale sur l’intelligence artificielle et la robotique », quasiment deux ans jour pour jour après la résolution du 16 février 2017 concernant les règles du droit civil sur la robotique.

 

Pour mémoire, le Parlement européen peut adopter des résolutions non contraignantes, suggérant une volonté politique d'agir dans un certain domaine et permettant aux institutions européennes d'adopter des lignes directrices. Les résolutions n’ont donc aucune valeur juridique.

 

Qualifiant l’IA  de « l’une des technologies stratégiques du 21e siècle », le Parlement insiste sur la nécessité de mettre en place un cadre juridique approprié notamment par une approche coordonnée au niveau européen « afin que l’Union soit en mesure de rivaliser avec les investissements de masse effectués par des pays tiers, notamment les Etats-Unis et la Chine. ».

 

Dans cette dense et complète réflexion du Parlement, nous avons retenu notamment les points suivants:

  • le monde du travail sera bouleversé. De ce fait, le Parlement préconise d’adapter « les programmes d’enseignement y compris en mettant en place de nouveaux parcours de formation qui privilégient l’acquisition de compétences numériques.

 

  • l’utilisation malveillante de l’IA doit être une préoccupation majeure notamment face à des menaces telles que «  des attaques à grandes échelles, (…) pour mener des campagnes de désinformation, (…) pour réduire les possibilité d’exercice par les citoyens, de leur doit à l’autodétermination». Pour lutter contre ces risques, le Parlement invite la Commission « à proposer un cadre qui réprime les pratiques de manipulation de la perception lorsque du contenu personnalisé ou des fils d’actualité sont à l’origine de sentiments négatifs et d’une déformation de la perception de la réalité susceptibles d’avoir des répercussions néfastes (vis-à-vis, par exemple, de résultats électoraux ou de problématiques sociales telles que la migration) »

 

  • « l’incertitude règlementaire » sur la propriété des données est un frein au développement de l’intelligence artificielle. Dès lors, le Parlement «  demande davantage de clarté en ce qui concerne les règles de propriété des données et les cadres juridiques en place; (…) l’incertitude règlementaire a engendré des réactions d’une prudence excessive de la part de l’industrie ».

 

  • « l’informatique en nuage a un rôle essentiel à jouer dans l’adoption de l’IA »

 

  • en matière de politique industrielle, le Parlement « estime que tout cadre réglementaire doit avoir un caractère flexible permettant l’innovation et le développement libre de nouvelles technologies et utilisations de l’IA »

 

  • la mise en œuvre du règlement pour la cybersécurité du 27 mars 2019 doit être rapide. En effet, selon le Parlement « l’élaboration de systèmes de certification européens devrait garantir un développement plus résilient ainsi qu’un déploiement plus sécurisé de l’IA et des systèmes de robotique. »

 

  • la mise en place d’un environnement règlementaire favorable à l’IA est une nécessité en prenant notamment en compte que « l’IA est une notion qui englobe un large éventail de produits et d’applications, à commencer par l’automatisation, les algorithmes, l’intelligence artificielle étroite et l’intelligence artificielle générale; estime qu’il convient d’envisager avec précaution toute loi ou réglementation globale de l’IA, car la réglementation sectorielle peut prévoir des politiques suffisamment générales mais également affinées jusqu’à un niveau significatif pour le secteur industriel ».

 

 

  • « les ingénieurs en IA ou les entreprises qui les emploient devraient demeurer responsables des répercussions sociales, environnementales et sur la santé humaine que les systèmes d’IA ou la robotique pourraient avoir sur les générations actuelles et futures». Par ailleurs, le Parlement « déplore toutefois qu’aucune proposition législative n’ait été présentée au cours de la législature actuelle, ce qui retarde la mise à jour des règles en matière de responsabilité au niveau de l’Union et compromet la sécurité juridique dans toute l’Union dans ce domaine, tant pour les commerçants que pour les consommateurs ».

 

  • Il n’est pas nécessaire d’élaborer une règlementation dédiée en matière de propriété intellectuelle. Fidèle à ses recommandations de 2017, le Parlement rappelle « que les régimes et doctrines juridiques existants peuvent s’appliquer en l’état à ce domaine, certains aspects nécessitant néanmoins un examen spécifique; demande encore une fois à la Commission de soutenir une approche transversale et technologiquement neutre de la propriété intellectuelle, qui s’applique aux différents secteurs concernés par l’application de la robotique ».

 

Toutefois le Parlement« souligne qu’il demeure nécessaire de contrôler la pertinence et l’efficacité des règles en matière de propriété intellectuelle lorsqu’elles sont appliquées à la gouvernance de l’IA».

 

« La responsabilité algorithmique devrait être réglementée par les décideurs au moyen d’analyses d’impact fondées sur des paramètres établis» dans une analyse fine. le Parlement précise qu’il sera nécessaire de prendre en compte les réflexions suivantes :
 

  • « la divulgation du code informatique lui-même ne résoudra pas le problème de la transparence de l’IA parce qu’il ne révélerait pas les biais inhérents qui existent et ne permettrait pas d’expliquer le processus d’apprentissage automatique »

  • « la transparence signifie non seulement la transparence du code mais aussi des données et de la prise de décision automatisée;

  • « la divulgation du code source est susceptible de conduire à une mauvaise utilisation des algorithmes et à leur manipulation; »

  • « l’importance de lutter contre les biais des développeurs et donc la nécessité d’avoir une main-d’œuvre diversifiée dans tous les domaines du secteur informatique ainsi que des mécanismes de sauvegarde permettant d’éviter que des biais liés au sexe ou à l’âge ne soient intégrés aux systèmes d’IA; »

 

En conclusion, le Parlement rappelle « que l’Europe devrait jouer un rôle de chef de file sur la scène internationale en déployant uniquement une IA intégrant des principes éthiques ».

 

Marine Hardy, avocat, responsable des pôles Innovations et Sécurité