Expertises
Droit, technologies & prospectives
interview / Stéphane LEMARCHAND
RELATION CLIENT/FOURNISSEUR, UN DÉSÉQUILIBRE EN ÉVOLUTION
Droit, technologies & prospectives
Tous les mois, toute l'actualité du numérique... Et tellement plus !
Nos derniers numéros
Sommaire
Edito
Focus
En bref
L’information rapide sur le monde du numérique
Magazine
L’information légale et jurisprudentielle du numérique
Interview
Doctrines
Groupes AWDTSG : listes noires, diffamation et risques élevés
Deepfake : enjeux techniques, juridiques et éthiques
L’humain, grand singe incapable de consentir ?
La maîtrise de l’auteur sur son œuvre à l’épreuve du RIA ?
La signature scannée n’est pas une signature électronique présumée fiable
Oui, les organes de presse sont bien soumis au RGPD
L'édito du mois
Remparts
Au nom d’objectifs aussi importants que la lutte contre le blanchiment ou la pédophilie, doit-on sacrifier les principes fondateurs de notre état de droit telle que la protection de la vie privée et des données à caractère personnel ? À ce jour, l’Union européenne répond par la négative. Mais l’évolution du paysage politique apparue avec les dernières élections pourrait changer la donne. Heureusement la Cour de justice de l’Union européenne veille.
La protection de la vie privée et des données personnelles reste un sujet central de l’UE. Preuve en est, le 20 juin dernier, la présidence belge n’a pas réussi à obtenir la majorité qualifiée sur la très controversée proposition de règlement établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants dit « chat control » ou « CSAR » (Child sexual abuse regulation). Il s’agissait d’un vote décisif du comité des représentants permanents (Coreper), où siègent les représentants des Etats membres, en vue d’obtenir un mandat de négociation avec le Parlement européen sur la seconde version de la proposition adoptée par les eurodéputés. Ce texte rendrait obligatoire dans l’UE le scan systématique des liens, des messages, des images et plus généralement des contenus envoyés à travers des messageries de discussion comme Whatsapp, Signal ou Telegram pour détecter ceux à caractère pédopornographique. Les fournisseurs devraient ainsi analyser toutes les communications de l’ensemble des utilisateurs des services concernés, avant d’être envoyés à leurs destinataires. Cela supprimerait ainsi toute confidentialité et rendrait également inutile le chiffrement appliqué ultérieurement au moment de l’envoi.
Suite à la présentation de la proposition de règlement par la Commission en 2022, les Comités et Contrôleurs de la protection des données (CEDP) avaient rappelé que si l’abus sexuel sur un enfant reste « un crime particulièrement grave et odieux », qu’il faut combattre, il ne faut pas pour autant renoncer à d’autres principes fondamentaux sur lesquels reposent les sociétés européennes. S’il peut être justifié de limiter ponctuellement les droits à la vie privée et à la protection des donnée, cela doit se faire en restreignant la mesure « à ce qui est strictement nécessaire et proportionné ». Les deux organismes avaient par ailleurs évoqué avec méfiance le recours à l’IA pour effectuer un tel balayage des messages, sources d’erreurs et de risques d’intrusions injustifiés dans la vie privée des individus. Enfin, le CEDP avaient insisté pour que le chiffrement de bout en bout ne soit pas une victime sacrifiée sur l’autel de la lutte anti-pédopornographie.
Le 20 juin dernier, la présidence belge n’a donc pas pu obtenir la majorité qualifiée sur ce texte, buttant à nouveau sur la question de la surveillance des messages. L’Allemagne et la Pologne y sont farouchement opposées, la Hongrie et l’Espagne ont voté pour et l’Estonie, les Pays-Bas, la Slovénie, la République tchèque et l’Autriche se sont abstenus. Quant à la position de la France, elle reste incertaine, en raison de la dissolution de l’Assemblée nationale. Le gouvernement en sursis ne peut pas prendre de décision importante. Du côté du Conseil, la majorité peut encore basculée, d’autant que la présidence tournante revient désormais à la Hongrie qui a annoncé vouloir se concentrer sur la famille et relancer la proposition « chat control ». Du côté du Parlement européen, reste à savoir si les élections européennes auront un impact sur ce texte avec une majorité désormais plus à droite. La précédente législature, plutôt de centre gauche, était favorable aux libertés civiles et à la sécurité sur internet, donc vigilante sur ce projet de surveillance des messages.
Même si le texte devait en l’état être adopté, le contrôle des messages serait vraisemblablement considéré comme illégale par la CJUE pour des raisons de manque de proportionnalité, de justification et de sécurité juridique ou de secret des correspondances. Telle est la position de Christopher Vajda, juge à la CJUE entre 2012-2020, dont l’avis juridique avait été sollicité par le député européen Patrick Breyer. Dans un rapport d’informations du Sénat sur l’état du droit de l’union du 18 mars 2021, Jean-Claude Bonichot, juge français à la CJUE, avait déclaré que cette Cour était l’« ultime rempart » dans la protection des droits fondamentaux. Au niveau du numérique, elle l’a démontré à plusieurs reprises que ce soit sur les flux transatlantiques de données, la conservation des données personnelles ou sur l’accès du grand public aux données des bénéficiaires effectifs (voir p. 3). Et il ne faudrait pas oublier la Cour européenne des droits de l’homme qui s’est prononcée dernièrement sur le chiffrement. Dans une décision du 13 février 2024 relative à l’obligation faite à Telegram de transmettre aux autorités russes les informations nécessaires pour déchiffrer les communications de leurs utilisateurs, la Cour avait conclu à la violation de la correspondance et à la condamnation de la Russie.
Le focus du mois
Quand la vie privée limite la transparence financière
Un arrêt de la CJUE avait invalidé l’ouverture au grand public du registre des bénéficiaires effectifs (RBE) au nom de la vie privée, un outil majeur de lutte contre les sociétés-écrans et la dissimulation des actifs financiers utilisé par la presse, les ONG et magistrats anticorruption. La 6ème directive LCB-FT, publiée le 19 juin dernier, pose désormais de nouvelles règles d’accès.
Après avoir résisté, la France devrait fermer fin juillet l’accès du registre des bénéficiaires effectifs (RBE) au grand public autorisé par la directive du 30 mai 2018 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (LCB-FT) dite 5ème directive, selon une information du journal Le Monde, confirmée par la direction générale du trésor. Le 22 novembre 2022, la CJUE avait invalidé cette disposition, au nom de la vie privée et de la protection des données personnelles. La 6ème directive LCB-FT du 31 mai 2024 qui vient d’être publiée au JOUE tire les leçons de la Cour et fixe les nouveaux contours de l’accès à cet outil de lutte anti-blanchiment. Seuls les acteurs réputés avoir un intérêt légitime pourront consulter le RBE, quand il sera de nouveau ouvert.
La 4ème directive européenne anti-blanchiment du 20 mai 2015, transposée en France en 2016, avait rendu obligatoire la collecte d’informations sur les bénéficiaires effectifs des entreprises. En 2018, suite aux attaques terroristes et aux révélations des « Panama papers », le registre avait été ouvert au grand public par la 5ème directive du 30 mai 2018, transposée en droit français, par voie d’ordonnance en février 2020. Ainsi en France, depuis le 1er avril 2018, toutes les sociétés, quel que soit leur statut juridique, doivent déclarer leurs bénéficiaires effectifs. Ces derniers sont les associés qui détiennent, directement ou non, plus de 25% du capital ou des droits de vote. Si aucun participant ne détient plus de 25%, on retient la personne qui exerce un contrôle sur les organes de direction/gestion. Enfin, lorsque personne ne répond à ces critères, il convient de déclarer le ou les représentant(s) légal(aux). L’Institut national de la propriété industrielle (Inpi) collecte et centralise les informations relatives aux bénéficiaires et les met à disposition.
Le grand public n’a accès qu’à un nombre limité d’informations : nom et du prénom du bénéficiaire, son mois et son année de naissance, sa nationalité et les modalités du contrôle qu’il exerce sur la société (pourcentage détenu dans le capital et/ou les droits de vote, nature de la détention – directe ou indirecte). Ont un accès complet aux données les personnes morales déclarantes, les agents des douanes, les magistrats, les agents de la direction générale des finances publiques, les enquêteurs de l’autorité des marchés financiers, les professionnels ayant une obligation de lutte contre le blanchiment d’argent.
Mais un arrêt de la Cour de justice de l’UE du 22 novembre 2022 a remis en question cet accès. Selon la Cour, l’accès du grand public aux informations sur les bénéficiaires effectifs constitue une ingérence grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, respectivement consacrés aux articles 7 et 8 de la Charte. En effet, les informations divulguées permettent à un nombre potentiellement illimité de personnes de s’informer sur la situation matérielle et financière d’un bénéficiaire effectif. En outre, les conséquences potentielles, pour les personnes concernées, résultant d’une éventuelle utilisation abusive de leurs données sont aggravées par le fait que, une fois mises à la disposition du grand public, ces données peuvent non seulement être librement consultées, mais aussi conservées et diffusées.
La Cour relève toutefois que la presse, les organisations de la société civile présentant un lien avec la prévention et la lutte contre le blanchiment de capitaux et le financement du terrorisme ont un intérêt légitime à accéder aux informations concernées. Il en va de même des personnes souhaitant connaître l’identité des bénéficiaires effectifs d’une société ou d’une autre entité juridique du fait qu’elles sont susceptibles de conclure des transactions avec celles-ci, ou encore des institutions financières et des autorités impliquées dans la lutte contre des infractions en matière de blanchiment de capitaux ou de financement du terrorisme.
Certains pays comme le Luxembourg ont immédiatement fermé l’accès grand public au fichier. Du côté français, Bercy avait annoncé par communiqué de presse du 19 janvier 2023 le maintien de l’ouverture du RBE, au motif qu’une fermeture totale aurait méconnu le droit de l’Union en interdisant l’accès au registre aux personnes disposant d’un intérêt légitime comme la presse ou les organisations de la société civile. Dans une réponse ministérielle du 14 mars 2023 à une question posée par Philippe Latombe, Bercy déclarait travailler à la définition des futures modalités d’accès aux personnes présentant un intérêt légitime, dans le cadre de la transposition de la 6ème directive anti-blanchiment faisant partie du paquet législatif LCB-FT composé de 4 textes, à l’époque en phase de trilogue.
Le 28 mars 2023, le CEPD avait par ailleurs adressé au Parlement, à la Commission et au Conseil de l’UE une lettre publique reconnaissant l’intérêt public important de la LCB-FT tout en exprimant des préoccupations sur la conformité des dispositions permettant le partage de données avec la Charte des droits fondamentaux de l’Union européenne, mais contestant la proportionnalité, la nécessité et la légalité de ces mesures.
La 6ème directive ainsi que les trois règlements qui composent le paquet LCB-FT ont été publiés au JOUE le 19 juin dernier. Les règles régissant le RBE et ses conditions d’accès par les autorités compétentes et certains membres de la société civile sont désormais fixées dans le cadre rappelé par la CJUE. Ainsi, la lutte contre le blanchiment et la corruption, objectif d’intérêt général consacré par le droit européen, ne doit pas s’imposer au détriment d’autres objectifs d’intérêt général comme la vie privée et la protection des données personnelles, même si ceux qui s’opposent à la transparence des finances, à l’origine du recours devant la CJUE, utilisent ces arguments dans leur intérêt.
L'invité du mois
Interview / Stéphane LEMARCHAND
Relation client/fournisseur, un déséquilibre en évolution
Si les négociations avec les fournisseurs majeurs de logiciels et de services restent difficiles pour les grands utilisateurs, voire quasi impossibles pour les autres, les points d’attention ont cependant évolué avec l’émergence du cloud et d’autres modèles économiques. Avec le temps, les sujets de négociations ont changé constate Stéphane Lemarchand, avocat chez DLA Piper. Les points d’attention résident désormais, selon lui, tout autant dans l’exécution du contrat que dans la négociation elle-même. Il constate par ailleurs que les grands utilisateurs sont plus vigilants et, d’une certaine manière, plus déterminés à faire valoir l’équilibre de la relation avec leurs fournisseurs. Focus sur l’évolution des relations client /fournisseur et les sujets de vigilance actuels.
Stéphane Lemarchand, vous êtes avocat IP/IT depuis une trentaine d’années, membre du comité exécutif de DLA Piper, cabinet dont la clientèle se compose notamment d’entreprises françaises et étrangères, de multinationales, de banques d’investissement. Votre pratique vous amène donc à gérer d’importantes négociations pour des acquéreurs de solutions ainsi que des contentieux du côté d’utilisateurs ou de sociétés de services, d’intégrateurs ou d’éditeurs de logiciels. Nous nous étions rencontrés en 2012, et vous constatiez à l’époque la quasi-impossibilité de négocier les contrats de logiciels, y compris pour de gros utilisateurs, en raison de la standardisation des solutions et de la concentration du marché. Par rapport à 2012, la situation a-t-elle évolué ?
Stéphane Lemarchand : Le marché et les services ont évolué depuis 2012, notamment du fait de l’émergence, puis l’explosion des services cloud et des logiciels fournis sous forme Saas. De nouveaux acteurs majeurs incontournables sont apparus dans le domaine des services Cloud, tels que Google, Amazon, Microsoft. Les contrats avec ces hyperscalers sont à l’évidence peu négociables ou en tout cas à la marge, mais on peut comprendre le besoin de standardisation dans ce domaine compte tenu de l’échelle mondiale dans laquelle ils opèrent. Du côté des grands éditeurs d’applications, comme par exemple ceux qu’on appelait auparavant les éditeurs ERP (ces logiciels qui permettent la gestion de l’ensemble des fonctions et des process métiers d’une entreprise), le secteur reste concurrentiel. L’explosion des services Saas a permis de redynamiser un peu la concurrence pour certaines fonctionnalités, mais aussi de faire émerger de nouveaux fournisseurs, tels que Salesforce pour la gestion client et Workday pour la gestion RH. Avec ces acteurs, les négociations restent âpres mais, en fonction de la puissance d’achat du client, il existe des marges de négociation.
Ce n’est pas l’avis du Cigref et de ses membres. Le club informatique des grandes entreprises françaises a déposé une plainte devant l’Autorité de la concurrence contre les pratiques anticoncurrentielles de certains éditeurs de logiciels.
Le Cigref a en effet saisi l’Autorité de la concurrence à l’été 2021 pour solliciter des arbitrages sur les pratiques jugées déloyales, voire anticoncurrentielles, par ses adhérents. Il semblerait que l’Autorité de la concurrence ait décidé de concentrer ses investigations sur un éditeur en particulier. En parallèle, elle a mené une réflexion sur le fonctionnement du marché du cloud. Elle a rendu un avis en juin 2023 riche en enseignements sur les risques concurrentiels qu’elle identifie pour ce marché. Elle pointe un certain nombre de facteurs de risques, incluant notamment les marges réduites (voire inexistantes) de négociation des contrats, la taille des hyperscalers, les difficultés à migrer d’un prestataire vers un autre, etc.
En même temps, elle reste confiante sur la capacité du droit de la concurrence et de notre code de commerce à offrir les garanties adéquates pour sanctionner les abus. Il faut également souligner que la réglementation applicable aux fournisseurs de services cloud va dans le sens d’un plus grand contrôle. Il y a évidemment eu l’adoption du Digital Market Act au niveau européen. Et puis plus récemment en droit interne, la loi visant à sécuriser et à réguler l’espace numérique qui est porteuse de nouvelles obligations en termes de portabilité des données et d’interopérabilité entre fournisseurs de services d’informatique en nuage et qui a également introduit dans le code de commerce un article dédié aux pratiques commerciales déloyales de ces fournisseurs. Pour revenir à la question de la négociation, elle reste possible. C’est difficile mais pas impossible.
Peut-on parler de contrat d’adhésion ?
La définition juridique du contrat d’adhésion est celle d’un contrat rédigé par une des parties et qui l’impose. Quand on négocie un contrat avec un éditeur qui définit ses termes et conditions, ce qui est le cas de l’ensemble des éditeurs de logiciels et de solutions aujourd’hui, mais avec lequel on peut discuter les clauses de sécurité, de données personnelles, de sortie, le modèle économique, la tarification, les conditions de renouvellement, etc., il est difficile de parler de contrat d’adhésion. Et ces éditeurs prendraient un risque à ne pas accepter une certaine souplesse, celui justement de voir leur contrat qualifié de contrat d’adhésion, avec les conséquences de fragilité du contrat que cela implique.
C’est surtout vrai pour les grandes entreprises et non pour les autres qui n’ont guère de marge de manœuvre.
C’est en effet plus ou moins aisé selon la puissance d’ach…
Les doctrines du mois
Groupes AWDTSG : listes noires, diffamation et risques élevés
Le présent article analyse le cadre réglementaire et les risques juridiques liés à l’activité des groupes en ligne tels que « Are we dating the same guy ? » notamment au regard du Règlement général sur la protection des données et du droit au respect de la vie privée. En aucun cas, nous ne prenons position ni sur la véracité ni sur la légitimité des propos tenus au sein de ces groupes.
Deepfake : enjeux techniques, juridiques et éthiques
Les deepfakes représentent un défi majeur pour nos sociétés. Bien que des solutions techniques et juridiques existent, elles n’empêchent pas le phénomène de prospérer.
L’humain, grand singe incapable de consentir ?
Les recours engagés contre les lignes directrices de la Cnil en matière de cookies walls, puis contre le décret Alicem auraient pu être l’occasion de tempérer les dispositions du RGPD relatives au consentement. Il n’en fut rien. De récentes découvertes éthologiques permettent de questionner cette « régression » du libre arbitre et de mettre en évidence une intention politique sous-jacente forte.
La maîtrise de l’auteur sur son œuvre à l’épreuve du RIA ?
La proposition de loi visant à encadrer l’intelligence artificielle par le droit d’auteur à l’aune de l’adoption récente du règlement européen sur l’intelligence artificielle (RIA) : mise en perspective.
La signature scannée n’est pas une signature électronique présumée fiable
Au fil des arrêts, la jurisprudence sur la valeur juridique d’une signature scannée évolue et s’affine. L’arrêt rendu par la Cour de cassation le 13 mars 2024 apporte une pierre angulaire à cet édifice naissant.
Oui, les organes de presse sont bien soumis au RGPD
Comme chaque mois, Alexandre Fievée tente d’apporter des réponses aux questions que tout le monde se pose en matière de protection des données personnelles, en s’appuyant sur les décisions rendues par les différentes autorités nationales de contrôle au niveau européen et les juridictions européennes. Ce mois-ci, il se penche sur la question de l’application du RGPD aux organes de presse.