Actualités

15/06/2022

Le règlement 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (Data Governance Act, ou DGA) a été publié au Journal officiel de l’UE. Il entrera en vigueur le 24 septembre 2023. Le DGA a pour objectif principal la facilitation de l’accès et de la réutilisation de certaines catégories de données détenues par des organismes du secteur public (notamment par l’interdiction des accords d’exclusivité et la définition de la procédure à laquelle ces organismes doivent se soumettre en cas de réception d’une demande de réutilisation. En France, la loi pour une République numérique de 2016 a favorisé l’ouverture des données des organismes publics mais le régime juridique aujourd’hui contenu dans le code des relations entre le public et l’administration devra être mis à jour pour en tenir compte.

Deux autres dispositifs sont également mis en place par le DGA. Le législateur européen a en effet souhaité favoriser la réutilisation des données grâce à l’encadrement :

• De services dits « d’intermédiation ». D’après la Commission, il s’agira de prestataires fiables de services de partage de données qui mettront en commun et organiseront les données de manière neutre, à condition donc que ces entreprises ne les utilisent pas à leurs propres fins.

• D’organisations dites « altruistes ». Ces organisations à but non lucratif et servant des fins d’intérêt général, qui devront présenter des garanties spécifiques, traiteront les données reçues par les particuliers et entreprises volontaires pour les mettre à disposition à de telles fins, comme « l’amélioration du trafic, la santé publique, la lutte contre le changement climatique (…) ».

Les procédures de notification et d’enregistrement de ces nouveaux services et organisations seront « proposées par l’intermédiaire du portail numérique unique ».

10/06/2022

Le 20 mai 2022, la CNIL et ses homologues réunis au sein du Comité européen de la protection des données (CEPD), ont publié une lettre adressée au Parlement européen, à la Commission européenne, et au Conseil de l’Union européenne sur la proposition de nouveau cadre législatif concernant la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCBFT).

Le CEPD alerte les institutions européennes en ces termes : « The EDPB draws the attention of the European Institutions to the important data protection issues raised by the implementation of the AML/CFT obligations, as provided by the AML legislative proposals. Obliged entities are required to process personal data which allow to draw intimate inferences about individuals and which can notably lead to the exclusion of legal and natural persons from a right and/or a service (for instance, a banking service). It is therefore crucial that AML legislative proposals are in line with the General Data Protection Regulation (“the GDPR”) ».

Les « CNIL » européennes rappellent opportunément que nos propres règles en la matière imposent de ne traiter que des données exactes, pertinentes, et limitées à ce qui est nécessaire.

07/06/2022

Le 30 mai 2022, l’Autorité des marchés financiers (AMF) a mis à jour sa doctrine relative au régime des prestataires de services sur actifs numériques (PSAN). L’occasion pour elle de rappeler que les prestataires susceptibles d’être considérés comme PSAN doivent s’assurer que les actifs sur lesquels portent leurs services constituent des actifs numériques (!)

● L’AMF consacre le fait que les activités de staking (activité dite « d’engagement ») et #cryptolending (prêt d’actifs numériques) peuvent requérir un enregistrement ou un agrément. L’AMF invite les acteurs à « mener une analyse juridique approfondie » de leurs services. (article 12.3)

● L’AMF considère également que l’accès par un prestataire au portefeuille d’actifs numériques du client par l’intermédiaire d’une interface de programme d’application (API) est susceptible de qualifier le service de conservation d’actifs numériques ou d’autres services sur actifs numériques, « selon les droits conférés via l’interface au prestataire ». (article 9.1)

● L’AMF précise la notion de communication à caractère promotionnel : il s’agit de la communication qui peut être adressée pour le compte du PSAN par un tiers « à sa demande expresse ou avec son accord, même tacite ». L’AMF précise qu’il s’agit, par exemple, de la diffusion de liens inclus sur des pages internet de sites tiers et qui redirigent vers la plateforme de l’acteur. (article 3.1)

● Au sujet des critères pris en compte par l’AMF pour l’agrément des prestataires de services sur actifs numériques, il est ajouté une exigence : désormais, les supports de communication proposés par le PSAN doivent être clairs, exacts et, sauf autre accord du client, en Français. (article 4.2)

31/05/2022

Une société de conseil qui installe par erreur une mauvaise version d’un progiciel Oracle engage sa responsabilité contractuelle à l’égard de son client. A la suite d’un audit de licences diligenté par Oracle, la société utilisatrice s’est aperçue qu’une version « entreprise » avait été installée sur ses systèmes alors qu’elle était licenciée d’une version « standard ». La responsabilité en incombait à son intégrateur qui avait installé la mauvaise version lors d’une projet de montée de version. L’audit s’était soldé par une régularisation à hauteur de 147 000 euros.  Par un arrêt du 27 mai 2022, rendu après cassation, la Cour d’appel de Paris condamne l’intégrateur à indemniser la société utilisatrice du montant de la régularisation payée par celle-ci à Oracle, augmenté de l’intérêt de retard. Soulignons l’opiniâtreté dont la demanderesse a fait preuve : l’action en justice introduite en 2015 trouve son dénouement après un rejet de la demande en première instance, une réformation en appel et un arrêt de la Cour de cassation en 2021.

25/05/2022

Au terme de trois années de procédure devant les tribunaux civils, une dirigeante d’entreprise dont la page Wikipédia est régulièrement alimentée par des détracteurs s’est vu refuser par la Cour d’appel de Paris le droit d’obtenir de l’encyclopédie en ligne la communication des données techniques qui permettraient d’identifier les auteurs des propos litigieux car ces derniers opèrent (évidemment !) sous pseudonyme. Personne ne peut comprendre et accepter les conséquences de cet arrêt du 18 février 2022. Le droit et la justice ne peuvent consacrer l’impossibilité de réguler les comportements en ligne. Comment en est-on arrivé là ?

Lire l'analyse de Stéphanie Foulgoc au Village de la Justice

13/05/2022

Le monde numérique offre en trompe-l'oeil le mythe d'une régulation par l'accumulation et le contrôle des flux de données. Basés sur l'accumulation de données numériques, les exemples de législations récentes sur le passe sanitaire, les transactions en crypto-monnaies et la facture électronique interrogent sur les fondements et l'efficacité d'une alliance entre data et loi.

Lire la chronique d'Etienne Papin dans Le Monde Informatique 

24/05/2022

L’identité et sa justification électronique font l’objet d’un foisonnement de solutions sectorielles.

• Le 1er avril 2022, l’Agence du numérique en santé a publié un Référentiel d'identification électronique qui définit le niveau minimum de garantie attendu s’agissant des modalités d’identification électronique des utilisateurs des services numériques en santé.
• Un an plus tôt, avait été publié l’arrêté du 28 mars 2021 relatif à la certification de conformité des services d'entrée en relation d'affaires à distance, qui lui répondait aux besoins du secteur de la banque.
• Le 26 avril 2022, a été publié le décret n° 2022-676 autorisant la création d'un moyen d'identification électronique dénommé « Service de garantie de l'identité numérique », lequel vient remplacer le service ALICEM. Il concernera tous les porteurs de la nouvelle carte d’identité biométrique.

Alors qu’il s’agit toujours de répondre à un même besoin - vérifier l’identité d’une personne lors de l’établissement d’une relation à distance - la complexité juridique est la règle en matière d’identification électronique.

20/05/2022

La Cour d’appel de Paris rappelle, dans un arrêt du 11 mai 2022, que la protection d’une oeuvre par le droit d'auteur s’apprécie de façon concrète sur la base des éléments effectivement créés par des personnes physiques identifiées, et pas sur la base de déclarations faites à la SACD, dans des contrats ou dans des échanges de courriels.

La Cour d’appel de Paris était saisie d’un litige relatif à trois pièces de théâtre étant la suite les unes des autres :

Version 1 - « Ma Belle-mère et moi », pièce initiale écrite par un auteur 1
Version 2 - « Ma Belle-Mère, mon ex et moi » pièce remaniée par un auteur 2 sur la base de la pièce initiale 
Version 3 - « Ma Belle-mère et moi, 9 mois après » pièce qui se présentait comme la suite de la pièce initiale, et écrite par un auteur 3, avec la participation de l’auteur 1

L’auteur 2 a introduit une action en contrefaçon à l’égard de l’auteur 3 et de la société ayant produit cette 3ème pièce pour avoir écrit et représenté une pièce de théâtre étant la suite de celle dont il était l’auteur, sans son autorisation, et donc en violation de son droit moral et de ses droits patrimoniaux.

● La Cour retient que la version 2 de la pièce est une œuvre composite originale, dérivée de la pièce initiale, écrite avec l’accord de l’auteur 1. De nombreux apports originaux de l’auteur 2 sont identifiés concernant notamment :
- la trame de l’histoire ; 
- les caractères et l’importance des personnages ;
- les relations entre les personnages.  

Il est ainsi démontré que la deuxième version de la pièce de théâtre "contient des éléments qui lui sont propres et personnels, et [qui] relèvent de choix arbitraires révélant l’empreinte de sa personnalité et [qui] doit donc bénéficier de la protection au titre du droit d’auteur (…)".

● La Cour retient que la troisième version de la pièce "reprend les mêmes personnages principaux (…), se présente comme la suite logique et chronologique de la version 2, lui empruntant de nombreux éléments tels le caractère de personnages et les intrigues".  

La Cour d’appel, condamne alors les auteurs et la société de production de cette version 3 au versement à l'auteur 2 de 5 000 euros de dommages-intérêts au titre du droit moral, et 20 000 euros au titre de ses droits patrimoniaux.