Expertises
Droit, technologies & prospectives

interview / Valéria FAURE-MUNTIAN

Ransomware : payez la rançon l'assurance rembourse

EXPERTISE n.479

Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

Nos derniers numéros

EXPERTISES N°479 - mai 2022 - Ransomware : payez la rançon l'assurance rembourse / Valéria FAURE-MUNTIAN
N°479 – mai 2022
EXPERTISES N°478 - avril 2022 - RÉDUIRE LA POLLUTION DU NUMÉRIQUE : UNE LOI PIONNIÈRE / Patrick CHAIZE et Frédéric BORDAGE
N°478 – avril 2022
EXPERTISES N°477 - mars 2022 - LE CASSE-TETE DE LA FISCALITE DES CRYPTO-MONNAIES / Frédéric poilpré
N°477 – mars 2022
EXPERTISES N°476 - février 2022 - Véhicule connecté : l'enjeu des données / Romain Perray
N°476 – février 2022
EXPERTISES N°475 - janvier 2022 - DROIT DU LOGICIEL : ETAT DES LIEUX / Bernard LAMON
N°475 – janvier 2022
EXPERTISES N°474 - décembre 2021 - Open data judiciaire : Un lancement prudent / Estelle Jond-Necand
N°474 – décembre 2021
EXPERTISES N°473 - novembre 2021 - La data au cœur des investigations internes / Jean-Julien Lemonnier
N°473 – novembre 2021
EXPERTISES N°472 - octobre 2021 - ROMAIN DARRIERE / INFLUENCEURS VERS LA MATURITÉ
N°472 – octobre 2021
EXPERTISES N°471 - septembre 2021 - ENTENTES ALGORITHMIQUES / NATASHA TARDIF
N°471 – septembre 2021
EXPERTISES N°470 - juillet 2021 - Brevets IA : les écueils à éviter / Mathias Robert
N°470 – juillet 2021
EXPERTISES N°469 - juin 2021 - IA : POUR UN DROIT DE RUPTURE / ALAIN BENSOUSSAN
N°469 – juin 2021
EXPERTISES N°468 - mai 2021 - Néoassurance, un modèle qui émerge / Christophe Dandois
N°468 – mai 2021
EXPERTISES N°467 - mars 2021 - Humain / machine : la nouvelle division du travail juridique / Olivier CHADUTEAU
N°467 – mars 2021
EXPERTISES N°466 - mars 2021 - DSA/DMA : CHANGEMENT DANS LA CONTINUITÉ / ANNE COUSIN ET JEAN-MATHIEU COT
N°466 – mars 2021
EXPERTISES N°465 - février 2021 - CMP : UN PASSEUR DE CONSENTEMENT / Romain BESSUGES-MEUSY
N°465 – février 2021
EXPERTISES N°464 - janvier 2021 - L’expertise-conciliation : pacifier les litiges / Fabien CLEUET et François-Pierre LANI
N°464 – janvier 2021
EXPERTISES N°463 - décembre 2020 - Matching prédictif un recrutement biaisé / Stéphanie Lecerf
N°463 – décembre 2020
EXPERTISES N°462 - novembre 2020 - La révolution open banking / Thibault Verbiest
N°462 – novembre 2020
EXPERTISES N°461 - octobre 2020 - IA en procès / Yannick Meneceur
N°461 – octobre 2020
EXPERTISES N°460 - septembre 2020 - Smart city : intérêt général by design / Jacques Priol
N°460 – septembre 2020
EXPERTISES N°459 - juillet 2020 - Transmettre l'immatériel / David Ayache
N°459 – juillet 2020
EXPERTISES N°458 - juin 2020 - Les racines de notre dépendance technologique / Christian HARBULOT
N°458 – juin 2020
EXPERTISES N°457 - mai 2020 - Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” title=”EXPERTISES N°457 – mai 2020 – Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova” description=”EXPERTISES N°457 – mai 2020-  Covid 19 & données personnelles<br>De la défiance à la confiance / Yann Padova”></div>
<div class=N°457 – mai 2020
EXPERTISES N°456 - avril 2020 - Pour l’ouverture<br>des données privées / Laurent Lafaye” title=”EXPERTISES N°456 – avril 2020 – Pour l’ouverture<br>des données privées / Laurent Lafaye” description=”EXPERTISES N°456 – avril 2020-  Pour l’ouverture<br>des données privées / Laurent Lafaye”></div>
<div class=N°456 – avril 2020
EXPERTISES N°455 - mars 2020 - Profilage :<br> pratiques & parades / Cédric Lauradoux” title=”EXPERTISES N°455 – mars 2020 – Profilage :<br> pratiques & parades / Cédric Lauradoux” description=”EXPERTISES N°455 – mars 2020-  Profilage :<br> pratiques & parades / Cédric Lauradoux”></div>
<div class=N°455 – mars 2020
EXPERTISES N°454 - février 2020 - La robustesse de<br>la PI face A l’IA / Franck Macrez” title=”EXPERTISES N°454 – février 2020 – La robustesse de<br>la PI face A l’IA / Franck Macrez” description=”EXPERTISES N°454 – février 2020-  La robustesse de<br>la PI face A l’IA / Franck Macrez”></div>
<div class=N°454 – février 2020
EXPERTISES N°453 - janvier 2020 - RGPD : une révolution dans la continuité / Ariane MOLE
N°453 – janvier 2020
EXPERTISES N°452 - décembre 2019 - le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” title=”EXPERTISES N°452 – décembre 2019 – le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche” description=”EXPERTISES N°452 – décembre 2019-  le droit de<br>la compliance<br>pour réguler l’internet / Marie-Anne Frison-Roche”></div>
<div class=N°452 – décembre 2019
EXPERTISES N°451 - novembre 2019 - Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” title=”EXPERTISES N°451 – novembre 2019 – Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus” description=”EXPERTISES N°451 – novembre 2019-  Data brokers :</br>le trou noir</br>des données personnelles / Antoine Dubus”></div>
<div class=N°451 – novembre 2019
EXPERTISES N°450 - octobre 2019 - Numérique :<br>le défi fiscal / Frédéric Douet” title=”EXPERTISES N°450 – octobre 2019 – Numérique :<br>le défi fiscal / Frédéric Douet” description=”EXPERTISES N°450 – octobre 2019-  Numérique :<br>le défi fiscal / Frédéric Douet”></div>
<div class=N°450 – octobre 2019
EXPERTISES N°449 - septembre 2019 - L'impérialisme<br>juridique / Olivier de Maison Rouge” title=”EXPERTISES N°449 – septembre 2019 – L’impérialisme<br>juridique / Olivier de Maison Rouge” description=”EXPERTISES N°449 – septembre 2019-  L’impérialisme<br>juridique / Olivier de Maison Rouge”></div>
<div class=N°449 – septembre 2019
EXPERTISES N°448 - juillet 2019 - DPO : un métier<br>qui s’installe / Paul Olivier Gibert” title=”EXPERTISES N°448 – juillet 2019 – DPO : un métier<br>qui s’installe / Paul Olivier Gibert” description=”EXPERTISES N°448 – juillet 2019-  DPO : un métier<br>qui s’installe / Paul Olivier Gibert”></div>
<div class=N°448 – juillet 2019
EXPERTISES N°447 - juin 2019 - Le RGPD : du droit sans vision stratégique / Julien Nocetti
N°447 – juin 2019
EXPERTISES N°446 - mai 2019 - IGN : la gratuitE des données en question / Marie Pisan
N°446 – mai 2019
EXPERTISES N°445 - avril 2019 - Nom de domaine un actif et des risques / Nathalie Dreyfus
N°445 – avril 2019
EXPERTISES N°444 - mars 2019 - Les logiciels libres, un modèle mature / Benjamin Jean
N°444 – mars 2019
EXPERTISES N°443 - février 2019 - Résister à la gouvernance algorithmique / François Pellegrini
N°443 – février 2019
EXPERTISES N°442 - janvier 2019 - Anticiper sa survie numérique au-delà de sa mort / Mathieu Fontaine
N°442 – janvier 2019
EXPERTISES N°441 - décembre 2018 - Intelligence artificielle et médecine quelle éthique pour demain ? / David Gruson
N°441 – décembre 2018
EXPERTISES N°440 - novembre 2018 - Blockchain AS A SERVICE Démocratisation de la blockchain ? / Marc-Antoine Ledieu
N°440 – novembre 2018
EXPERTISES N°439 - octobre 2018 - Nathalie Nevejans / Nathalie Nevejans
N°439 – octobre 2018
EXPERTISES N°438 - septembre 2018 - Pour la médiation judiciaire en  propriété  intellectuelle / Françoise Barutel Naulleau
N°438 – septembre 2018
EXPERTISES N°437 - juillet 2018 - Science-fiction : quand l’imaginaire devient source de droit / Fabrice Defferrard
N°437 – juillet 2018
EXPERTISES N°436 - juin 2018 - CONTRATS, Accès indirects & coûts cachés : SAP BRISE LA GLACE AVEC Ses utilisateurs / Gianmaria Perancin
N°436 – juin 2018
EXPERTISES N°435 - mai 2018 - L’innovation prédatrice Un nouveau défi pour le droit de la concurrence / Thibault Schrepel
N°435 – mai 2018
EXPERTISES N°434 - avril 2018 - LES données LA NOUVELLE INGENIéRIE  DU POUVOIR / Adrien Basdevant
N°434 – avril 2018
EXPERTISES N°433 - mars 2018 - L’open data de la jurisprudence : Le casse-tête de l’anonymisation / Loïc Cadiet
N°433 – mars 2018
EXPERTISES N°432 - février 2018 - RGPD : vers un futur standard global / Max Schrems
N°432 – février 2018
EXPERTISES N°431 - janvier 2018 - L’angoisse du RGPD la Cnil rassure / Jean Lessi
N°431 – janvier 2018
EXPERTISES des systèmes d’informationmai 2022 – N°479

L'édito du mois

Surprise

A la surprise générale, y compris de la France qui préside le Conseil européen qui suit de près les dossiers numériques, le Président américain Joe Biden et la Présidente de la Commission européenne Ursula von der Leyen ont déclaré le 25 mars dernier qu’ils étaient parvenus à un accord politique sur les transferts internationaux de données. Beaucoup ont salué cette déclaration avec enthousiasme. Il est vrai que nombreuses sont les organisations des deux côtés de l’Atlantique qui attendent de pouvoir transférer leurs données sans prendre de risques juridiques.
Mais il ne s’agit que d’un accord de principe. Le Comité européen de la protection des données a pris soin de rappeler que cette annonce ne constitue pas un cadre légal qui pourrait représenter une base pour leurs transferts transatlantiques de données. Et il demande aux exportateurs de données de continuer de procéder dans le cadre de la jurisprudence de la CJUE et notamment de l’arrêt Schrems II du 16 juillet 2020.
Les obstacles à la conclusion d’un accord contraignant restent présents, malgré deux ans de discussion, suite à l’invalidation du Privacy Shield. Les Etats-Unis promettent que le futur accord assurera un accès aux données « proportionné » et mettra en place un « système de recours » avec une autorité chargée de statuer sur les réclamations des citoyens européens. Mais ils n’ont pas modifié leurs lois de surveillance. Ils n’ont pas l’habitude de répondre à l’injonction de puissances étrangères.
Ce déblocage des négociations est concomitant à l’accord permettant à l’UE de réduire sa dépendance au gaz russe en important davantage de gaz américain. Certains y voient la possibilité d’un deal : du gaz contre les données. Peut-être. Mais la Présidente de la Commission n’a pas le pouvoir de brader les exigences du RGPD. D’ailleurs Max Schrems, ce juriste autrichien à l’origine de l’invalidation du Safe Harbor puis du Privacy Shield par la Cour de justice de l’Union européenne, y veille. Selon lui, on fait de la politique au détriment du droit et des droits fondamentaux. Il s’attend à du « rafistolage » mais aucune réforme substantielle du côté américain. Et il n’a pas caché la possibilité d’un troisième recours devant la CJUE. Il a déclaré que « le texte final aura besoin de plus de temps, une fois qu’il sera arrivé, nous l’analyserons en profondeur, avec nos experts juridiques américains. S’il n’est pas conforme au droit européen, nous ou un autre groupe le contesterons probablement. Au final, la Cour de justice tranchera une troisième fois. Nous nous attendons à ce que l’affaire revienne devant la Cour dans les mois qui suivront une décision finale ». L’organisation qu’il a fondée, Noyb, a par ailleurs annoncé que tout nouvel accord qui ne répondrait pas aux exigences du droit communautaire pourrait faire l’objet d’une procédure civile et d’injonctions préliminaires. Elle explique que la CJUE peut même prendre des mesures préliminaires, si un accord viole clairement des jugements antérieurs.
Pour l’instant, tout le monde est perplexe et dans l’expectative, se demandant bien ce que les négociateurs pourraient imaginer pour qu’un accord pérenne et solide voit le jour.
Tout ce qu’on peut dire c’est qu’il existe une volonté politique pour qu’une solution stable émerge. Les entreprises, notamment américaines, font pression pour un tel accord et l’Europe a davantage d’arguments du fait de sa réglementation et des lourdes menaces judiciaires qui pèsent, entre autres,sur l’usage de Google Analytics.

Le focus du mois

Données personnelles

Le droit de la concurrence, arbitre de la Privacy Sandbox

Comment proposer un ciblage publicitaire sans tracer les personnes ? Avec sa Pricacy Sandbox sur Chrome et Android, Google veut protéger les données des internautes tout en permettant de générer des revenus publicitaires. En voulant éviter que ce projet contribue à apporter à Google un avantage concurrentiel sans précédent vu sa position dominante, l’Autorité de la concurrence britannique veille indirectement à la protection des données des utilisateurs. Elle a accepté les engagements pris par Google au niveau mondial.

EXPERTISE n.479

Au nom de la protection des données personnelles, Google avait annoncé, en
janvier 2020, l’abandon à terme des cookies tiers avec la mise en place du programme Privacy Sandbox. Eliminer ces traceurs n’est pas chose aisée si on veut respecter la vie privée des internautes, tout en maintenant les revenus de la publicité. Après avoir tenté un dispositif décrié qui renonce au principe de l’identifiant personnel au profit d’une référence d’une cohorte d’individus aux mêmes centres d’intérêt, Google a opté pour une solution qui repose sur les centres d’intérêts de la personne à partir de sa navigation enregistrée sur Chrome. Les données ne sont plus détenues par les sites mais par l’internaute sur son navigateur Chrome ou sur son smartphone Android. Ce nouveau système redessine le fonctionnement du web et le droit de la concurrence en devient l’arbitre. L’autorité de la concurrence britannique, la Competition & Markets Authority (CMA) qui s’est emparée du dossier, a accepté les engagements de Google qui les considère comme universels pour une mise en œuvre mondiale du projet. Il revient donc à une autorité de la concurrence et non aux autorités de contrôle en matière de données de contrôler, de superviser la conception, le développement et la mise en œuvre finale par Google de sa Privacy Sandbox, selon le communiqué de la CMA.
Les cookies tiers permettent de tracer le comportement de l’internaute sur tous les sites qui les intègrent. Ils sont notamment utilisés par de nombreux acteurs du secteur de la publicité en ligne. Grâce à eux, on peut suivre la navigation de l’internaute de site en site, collecter ses données ou créer un profil en vue de lui proposer des publicités ciblées. Or, cette technologie est remise en cause car jugée intrusive et contraire à la règlementation sur les données personnelles. L’article 5(3) de la directive e-Privacy 2002/58/CE modifiée en 2009 impose en effet un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci. Le 7 décembre 2020, la Cnil a d’ailleurs prononcé une sanction de 100 millions d’euros à l’encontre de Google pour avoir déposé des cookies publicitaires, donc non essentiel au service, sans le consentement de la personne.
Les cookies tiers vont être progressivement abandonnés. Les navigateurs ont mis en place des technologies alternatives. Dès 2017, Apple a introduit dans Safari son programme ITP (Intelligent Tracking Pre-
vention) conçu pour limiter certaines pratiques des réseaux publicitaires, puis le Tracking Transparency en avril 2021. Fin 2018, c’est au tour de Firefox de lancer une initiative similaire dénommée ETP (Enhanced Tracking Protection). Et en
août 2019, Google a annoncé le lancement de son projet Privacy Sandbox dont l’objectif est de limiter le recours aux cookies pour la publicité et de proposer une série de solutions techniques pour conserver les fonction-
nalités publicitaires qui nécessitent aujourd’hui des cookies.

Google, qui vit essentiellement de la publicité en ligne, doit résoudre une équation paradoxale : satisfaire les utilisateurs en supprimant le profilage grâce à l’identifiant publicitaire et rassurer les annonceurs sur la capacité du nouveau dispositif à permettre de générer des revenus publicitaires. Il veut cependant prendre le contrepied d’Apple qui a choisi de permettre à l’utilisateur de son navigateur d’interdire d’être tracé par un tel identifiant. Résultat : Facebook aurait perdu plus 10 milliards de dollars car les petits annonceurs ont réduit ou supprimé leurs dépenses publicitaires sur le réseau social.

Google, dont Chrome et Android représentent 70 % de leur marché respectif, est conscient des in-
quiétudes des annonceurs et des développeurs. Il produit un gros effort collaboratif en misant sur la coopération avec les com-
munautés web et des phases d’essai. Le 31 mars dernier, il a annoncé les premiers tests grandeur nature et une généralisation pour 2023. Ces premiers tests s’adresseront en Europe aux Suisses et aux Britanniques avec une participation basée sur l’opt-in.

Trois API vont être mises à la disposition des développeurs dans le cadre de la Privacy Sandbox. D’une part, les Topics vont associer chaque utilisateur à trois thèmes en fonction de ses trois dernières semaines de navigation. Ces éléments seront transmis aux sites qui participent à Topics ainsi qu’aux annonceurs partenaires. Les données enregistrées sur Chrome ou Android seront régulièrement effacées. Par ailleurs, l’utilisateur pourra refuser certaines catégories ou désactiver Topics. D’autre part, Fledge ciblera le processus de mise aux enchères publicitaires qui repose sur un serveur « tiers de confiance » qui stocke les données des enchères et les budgets d’une campagne publicitaire. Les vendeurs et enchérisseurs connaîtront le
résultat de l’enchère, sans con-
naître la composition et les métadonnées des informations du « groupe d’intérêts gagnant » au site web visité. Enfin, l’Attribution reporting permettra de mesurer à quel moment un clic ou une vue sur une annonce a conduit à « une conversion » se traduisant par exemple par un achat sur le site d’un annonceur.
L’autorité de la concurrence britannique considère cependant que Google est en situation de position dominante pour l’accès aux services web du fait que son navigateur Chrome est proposé par défaut sur les PC. Les technologies pour la publicité digitale en lien avec l’utilisation des fonctionnalités de Chrome et de sa Privacy Sandbox peut contribuer à lui apporter un avantage technologique et con-
currentiel sans précédent et avoir des conséquences néfastes sur les entreprises du secteur du marketing digital et des fournisseurs des API de services web. La CMA a donc lancé une enquête en janvier 2021. Le 11 février 2022, l’autorité britannique a accepté les propositions de Google dont celle de ne pas supprimer les cookies tiers tant qu’elle ne sera pas convaincue que ses problèmes de concurrence ont été résolus. Google s’est aussi engagé à restreindre le partage de données au sein de son écosystème pour s’assurer qu’il ne prend pas d’avantage sur ses concurrents lorsque les cookies tiers sont supprimés et des engagements à ne pas privilégier ses services publicitaires.

Le traçage va-t-il disparaître ?
Rien n’est moins sûr, il devrait perdurer, sous une autre forme, sans données identifiantes et à partir d’un groupe de personnes. Les autorités de contrôle y veilleront. En attendant, c’est le droit de la concurrence qui impose des limites à Google par le biais de la CMA. Johnny Ryan de l’Irish Council for Civil Liberties, dont les propos ont été rapportés par le site d’information Euroactiv.fr, considère que l’in-tervention des autorités de la concurrence sur ce dossier est le résultat de l’échec des autorités chargées de la protection des données personnelles et en particulier de celle de l’Irlande. Si elles « avaient assumé leurs responsabilités, tant Google que ses concurrents n’auraient pas pu utiliser les données de manière illégale et Google n’aurait pas été en mesure de s’appuyer sur sa politique interne de libre circulation des données pour avantager ses activités », a-t-il déclaré de manière sévère.

Google décrète que ses engagements pris avec la CMA britannique ont une « valeur d’application universelle » pour le reste du monde. N’oublions cependant pas que le Royaume-Uni ne fait plus partie de l’Union européenne. Google est justement confronté à un autre front du côté de Bruxelles : des éditeurs de presse allemands dont Axel Springer ont déposé une plainte auprès de la Commission européenne, le 24 janvier 2022, estimant que les nouvelles règles de ciblage publicitaire en ligne renforceraient la position dominante de Google. « Les éditeurs doivent rester dans une position où ils sont autorisés à demander à leurs utilisateur le consentement pour traiter des données, sans que Google ne capture cette décision ».

Et puis reste la compatibilité de la Privacy Sandbox avec le RGPD et surtout avec le futur règlement e-Privacy, mais aussi les futurs Digital Services Act et Digital Markets Act avec leurs dispositions sur la publicité ciblée et l’accès aux données. Entre les internautes, les annonceurs, les éditeurs et les différentes réglementations concernées, Google
marche sur des œufs. Son programme devrait être mis en œuvre en 2023, avant de nombreux échanges avec les milieux concernés et des tests grandeur nature.

par Sylvie Rozenfeld

L'invité du mois

Interview / Valéria Faure-Muntian

par Sylvie Rozenfeld

Rembourser la rançon : une loi qui pose question

En octobre dernier, la députée Valéria Faure-Muntian publiait un rapport parlementaire qui dressait un bilan plutôt sombre de la situation de la cyberassurance en France, et proposait des voies d’amélioration, notamment de ne pas inclure le paiement des rançons dans la cyberassurance, mais d'assurer les pénalités administratives, de lier l’activation de l’assurance cyber au dépôt d’une plainte par les entreprises en cas d'attaque, de renforcer les moyens de prévention contre les risques cyber notamment auprès des PME, etc. Elle nous expose la situation d’un risque de plus en plus mal couvert, d’un marché français étroit dominé par les Anglo-saxons, ses solutions pour inciter les ETI et les PME à s’assurer et développer une offre française et européenne souveraine.

EXPERTISE n.479

Sylvie Rozenfeld : Valéria Faure-Muntian, vous êtes députée Lrem de la Loire et présidente du groupe d’études Assurances de l’Assemblée nationale. Vous avez présenté le 13 octobre
2021 un rapport sur la cyber-assurance. Vous avez pris parti pour l’interdiction du rembour-sement par les assureurs des rançons versées suite à une cyberattaque. La France est l’un des pays au monde où les demandes de rançons sont le plus fréquemment payées. Une des propositions phares de votre rapport portait sur l’interdiction légale pour les assureurs de garantir, couvrir ou d’indemniser la rançon dans les polices d’assurance cyber. Pourquoi l’interdiction vous semble-t-elle la meilleure solution ?

Valéria Faure-Muntian : Pour plusieurs raisons. D’abord, on ne négocie pas avec des criminels. En termes d’éthique, je trouve qu’il est assez aberrant de financer de quelques manières que ce soit les criminels qui vous attaquent. Moins on les finance, moins ils auront les moyens de continuer d’attaquer ou de financer de nouvelles activités criminelles. Il faut briser ce cercle vicieux. Ensuite, payer une rançon est également une excuse pour ne pas faire le nécessaire en termes de prévention. C’est dommageable pour les entreprises de ne pas utiliser les moyens qu’elles mettent dans leur assurance pour les rançons. Or, si l’on investissait dans la prévention et la résilience, moins d’attaques réussiraient.

Contre toute attente, le gouvernement a cependant choisi de ne pas l’interdire mais de conditionner les versements à un dépôt de plainte dans les 48h qui suit le paiement de la rançon. Cette disposition figure dans le projet de loi d’orientation et de programmation du ministère de l’Intérieur, rendu public le 16 mars dernier.
Ce n’est pas un conditionnement, là réside la question. Si vous avez l’obligation de déposer plainte dans les 48h, après le paiement, ce n’est pas une condition, mais une information. Or, si la plainte était un préalable, ce serait complètement différent. C’est du reste ce que je recommande dans mon rapport. De toute façon, si on devait envisager une interdiction des rançons, ce ne pourrait intervenir qu’à l’échelon européen. Et je ne suis pas persuadée qu’une interdiction française serait utile, sauf à prévoir un dépôt de plainte obligatoire préalable au paiement de la rançon, avant toute prise en charge par l’assureur.
Le projet de loi impose simplement d’informer les autorités compétentes, mais on ne sait pas de quelles autorités il s’agit, c’est donc une forme d’acceptation du paiement d’une rançon. Il m’apparaît très compliqué qu’un juge poursuive une personne pour ce versement alors que l’obligation de cette déclaration a été prévue par la loi. C’est comme si vous voliez quelque chose et qu’on donne 48h pour le signaler à la police.

Le secteur des assurances souhaitait une clarification de cette question. Est-ce que c’est le cas ?
Les assureurs se sont félicités de cette clarification.

Pourquoi le gouvernement a-t-il fait ce choix ?
J’aimerais bien le savoir. Nous n’avons pas été consultés, ni en amont ni en aval. C’est une décision qui à mon sens va à contresens de l’histoire.

Qu’en est-il à l’étranger, en Europe ?
En Allemagne, il n’y a pas de clarification pour le moment. Aux Etats-Unis, le paiement de la rançon n’est pas interdit, à condition que celle-ci soit payée, en accord avec les autorités fédérales policières compétentes. Quand quelqu’un est attaqué, il doit déclarer son sinistre. La police ainsi que la NSA seront impliquées dans les négociations, ce qui permet aux autorités de retracer les fonds. C’est en cours des négociations que l’autorité compétente va évaluer si elle donne l’autorisation de paiement ou pas. Si elle est en mesure de retracer les fonds et de poursuivre les criminels, elle l’autorisera. La décision n’est pas prise en fonction de l’entreprise mais de l’intérêt général.

Existe-il une réflexion en Europe sur le sujet ?
Je suis en train de promouvoir mon rapport au niveau européen. J’ai déjà rencontré des représentants de l’Enisa (l’agence européenne chargée de la sécurité des réseaux et de l’information), la Commission européenne et le cabinet de Madame van der Leyen. J’attends un rendez-vous avec l’Eiopa (l’autorité européenne des assurances et des pensions professionnelles) dans le but d’harmoniser plusieurs sujets : le paiement de la rançon, le choix du vocabulaire en matière d’assurance cyber, la création d’une branche pour un meilleur reporting et une meilleure capacité de lisibilité et d’exposition des assureurs, des basiques sur ce que devrait être un produit assuranciel cyber, surtout sur la partie scoring. Sur c…

Les doctrines du mois

propriété intellectuelle

Les enjeux de la nouvelle dévolution des droits sur les inventions et logiciels

Par Jean-Baptiste Thiénot et Pierre Fumery

L’ordonnance n°2021-1658 du 15 décembre 2021 a instauré un nouveau mécanisme de dévolution automatique des droits de propriété intellectuelle attachés aux inventions brevetables et aux logiciels des collaborateurs non-salariés. Le principe de la réforme est de créer un régime calqué sur celui des salariés. Ainsi, la structure d’accueil qui réalise les recherches se verra attribuer les droits de propriété intellectuelle de ses collaborateurs non-salariés par l’effet de ces nouvelles dispositions, sous certaines conditions. Si l’idée semble simple à première vue, l’examen détaillé du nouveau régime soulève néanmoins quelques interrogations.

Données personnelles

DRH connectée : son rôle et sa responsabilité dans la conformité RGPD

Par Sabine de Paillerets-Matignon et Caroline Goupil

La question de la conformité au RGPD des données personnelles des salariés doit être au cœur des préoccupations des DRH désormais obligés d'appréhender sur le plan juridique cette règlementation.

Prospective

Les drones taxis ou « EVTOL »

Par Laurent ARCHAMBAULT et Philippe JULIENNE

Doit-on y croire ? Quels encadrements technique et juridique en particulier en prévision des J.O de Paris 2024 ? Un projet difficilement réalisable pour cette échéance, au regard notamment des contraintes réglementaires. Mais il n’est pas interdit de rêver.

Litiges informatiques

Evaluer l’impact financier d’un préjudice informatique

Par Samuel VERGER

Approche pragmatique afin d’identifier les impacts financiers concrets du projet informatique en échec par rapport à son incidence attendue par les parties dans le cadre d’un déroulement normal.

Cybersécurité

La difficile évaluation juridique de la loi sur le Cyberscore

Par Elise Dufour et Benjamin Mourot

La loi n° 2022-309 du 3 mars 2022 « pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public » instaure une obligation d’information spécifique visant à renseigner le consommateur sur le degré de sécurité informatique des plateformes numériques. Ce « Cyberscore » entrera en vigueur le 1er octobre 2023.

RGPD

Droit d’accès : la fin de l’anonymat du lanceur d’alerte ?

Par Alexandre FIEVEE

Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions de protection des données personnelles, en s’appuyant sur les décisions rendues par les autorités nationales de contrôle et les juridictions européennes. Ce mois-ci, il se penche sur la question de savoir si l’exercice du droit d’accès permet d’obtenir des informations sur l’identité du lanceur d’alerte, dès lors que l’exercice d’un tel droit permet, en application de l’article 15 du RGPD, de connaître la « source » des données collectées indirectement par l’organisme qui en fait usage.

Données personnelles

Nouvelle procédure de sanction simplifiée de la Cnil

Par Alexandra ITEANU

Face à l’explosion des actions répressives de la Cnil, une nouvelle procédure de sanctions dite « simplifiée » cohabitera avec la procédure de sanction « ordinaire ».

Expertises : Droit, technologies & prospectives

Tous les mois, toute l'actualité du numérique... Et tellement plus !

FORMULES D'ABONNEMENT

EXPERTISES N°432
EXPERTISES N°458
EXPERTISES N°474
EXPERTISES N°465
EXPERTISES N°473
EXPERTISES N°473
  • + Les alertes d’actualité de legalis.net, avec des présentations
    de décisions de justice en exclusivité
  • + Le carnet MOLESKINE série limitée « EXPERTISES », au format 13*21cm, disponible exclusivement  pour nos abonnés