Sécurité numérique et prise de conscience : les leçons de Wannacry

 

Après la vaste cyber-attaque Wannacry, même s’il faut déplorer de nombreux systèmes touchés, la démonstration aura servi de leçon (à tout le moins d’exemple) et sans doute permis une prise de conscience salutaire en matière de sécurité et d’hygiène numérique.

 

En matière de réflexion sur la cybersécurité, plusieurs productions sont à relever :

 

-          La Loi de programmation militaire (LPM) de 2013 avait déjà envisagé la cyberprotection des sites informatiques essentiels avec la création des Opérateurs d’Importance Vitale (OIV). Le point sur la question : https://www.alliancy.fr/expertise/cybersecurite/2017/03/24/loi-de-programmation-militaire-mise-au-point-sur-le-volet-cybersecurite

 

-          Sur le plan des réparations des dommages immatériels suite à une attaque informatique, plusieurs questions déterminantes se posent :

 

1)      Comment estimer le coût d’une faille de données potentielles pour son entreprise ? http://globbsecurity.fr/estimer-cout-dune-faille-de-donnees-potentielle-entreprise-41252/

 

2)      Comment prendre en compte l’indemnisation des atteintes informatiques ?

https://www.lesechos.fr/idees-debats/cercle/cercle-168128-le-marche-de-la-cyber-assurance-risque-pour-les-assureurs-2075814.php

ici aussi : https://www.lesechos.fr/04/02/2014/LesEchos/21619-141-ECH_le-bel-avenir-du-marche-de-la-cyber-assurance.htm

 

-          Et enfin une considération plus générale pertinente en la matière : https://www.lesechos.fr/idees-debats/cercle/cercle-170310-cyber-securite-la-politique-de-lautruche-nest-plus-une-option-2088984.php

 

En attendant l’entrée en vigueur du RGPD …

L’entrée en vigueur du Règlement Général (UE) de protection des données personnelles étant prévue en mai 2018, il reste désormais moins d’un an pour s’y conformer. Une vaste campagne de sensibilisation des entreprises a déjà eu lieu.

 

-          Afin « d’éduquer » les contrevenants à la réglementation « informatique et libertés », en dépit de dénégations au prétexte de dysfonctionnements techniques, une entreprise a été financièrement sanctionnée après deux contrôles sur plainte et recommandations non appliquées. La décision a été rendue publique à titre d’exemple : CNIL, délibération 2017-002, 13/04/2017

https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000034473080&fastReqId=191427501&fastPos=1

 

Petit rappel : en application du RGPD, il n’existera plus de régime d’autorisation préalable, mais une obligation permanente de se conformer pour tous les acteurs de la chaîne à la confidentialité des données personnelles (intégré en amont avec la règle du privacy by design). Des sanctions financières substantielles sont prévues en cas de contrôle et d’infraction constatée à l’instar du cas visé par la CNIL.

 

-          En matière de cookies, la CNIL a annoncé un contrôle accru des sites Internet (un règlement européen devrait voir le jour prochainement en la matière).

 

Rappel sur les règles applicables : https://www.cnil.fr/fr/cookies-traceurs-que-dit-la-loi

 

-          Le contrôleur européen de la protection des données a publié un kit à destination des législateurs des Etats membres sur les futures dispositions applicables : https://edps.europa.eu/sites/edp/files/publication/17-06-01_necessity_toolkit_final_en_0.pdf

 

 

La confidentialité des comptes toujours en débat

Bien que certaines avancées aient été enregistrées ces dernières années sur la restriction à l’accès aux comptes sociaux déposés au greffe du Tribunal de commerce, désormais assortis dans une certaine limite d’une option de confidentialité, une question parlementaire a néanmoins mis en lumière certaines craintes légitimes.

 

Le Ministère de l’Economie et des Finances (Minefi) était interrogé pour savoir s’il est envisagé d’exclure de l’interdiction d’accès aux comptes annuels les sociétés spécialisées en information de solvabilité et prévention de défaillance.

 

En réponse au Sénateur, le Minefi a rappelé que l’article A 123-68-1 du Code de commerce prévoit un accès à l’intégralité des comptes déposés à certaines organisations (autorités judiciaires et administratives, Banque de France, …) en ce compris les sociétés spécialisées en information de solvabilité et prévention de défaillance.

 

http://www.senat.fr/questions/base/2016/qSEQ160320603.html

 

 

A rappeler également que même assortis de l’option de confidentialité (relative comme vu ci-dessus), le dépôt des comptes reste obligatoire, quelle que soit la taille de l’entreprise, ainsi que l’a encore récemment jugé la Cour d’appel de Colmar (CA Colmar, 27 févr. 2017, n°16/05766).

 

 

L’intelligence artificielle (IA) juridique : vers un droit augmenté ?

L’IA nourrit de nombreux fantasmes, autant qu’elle questionne à juste titre nous avons rédigé de nombreuses contributions à paraître en ce sens.

 

En tout état de cause, à travers cette révolution numérique affectant l’économie, le droit ne pouvait pas ne pas être concerné par ce phénomène profond de digitalisation des activités humaines.

 

Nous avons abordé dernièrement la question de l’algorithme et de sa nature juridique http://demaisonrouge-avocat.com/2017/05/16/le-debat-des-juristes-nature-juridique-de-lalgorithme/.

 

 

En complément, nous relevons différentes études qui permettent d’asseoir la valeur ajoutée du conseil juridique associé à l’IA et ses écueils :

 

-          Où la pratique et la rédaction des actes juridiques se trouve à pouvoir être non seulement valorisée, mais aussi financièrement quantifiée, concourant à constituer un actif incorporel : http://openflow.legal/actes-juridiques-bientot-valorisables/

 

-          Où la mise en œuvre de l’open law institué par la loi pour une République numérique conduit à sanctionner l’Etat pour défaut d’anonymisation de décisions de Justice : http://www.precisement.org/blog/Defaut-d-anonymisation-d-un-arret-sur-Legifrance-l-Etat-condamne-a-1000-euros.html

 

-          Où la blockchain conduit à s’interroger sur les « smart contrats » et plus généralement sur la pratique innovante du droit des obligations https://www.lesechos.fr/idees-debats/cercle/cercle-154276-la-blockchain-et-la-loi-1201704.php

Ce secret qui résiste bien peu à l’Administration

Le secret, et plus encore le secret industriel et commercial, n’est pas opposable à l’Administration, à charge pour elle de le conserver, sauf exception (voir ci-dessous).

 

Plusieurs textes et décision confirment ce principe :

 

-          3 entreprises sanctionnées pour entente anticoncurrentielles introduisent un recours devant la CJUE, au motif que les informations ayant servi de base à leur condamnation ont été transmises à la Commission européenne suite à une enquête de la Police fiscale italienne. Ce faisant, la police aurait violé les droits de la défense. La CJUE rejette leur requête au motif que la Commission est fondée à utiliser des informations obtenues régulièrement auprès des autorités nationales, quand bien même elles ont été initialement collectées à d’autres fins (CJUE 27 avril 2017, aff. C-469/15 P) ;

 

-          En matière de fraude fiscale également, désormais, en vertu du décret n°2017-601 du 21 avril 2017, l’Administration fiscale peut, à titre expérimental, rémunérer ses informateurs adressant les renseignements de façon spontanée et non anonyme (mais non pas désintéressée…) ;

 

-          S’agissant des décrets d’application de la loi « Macron » du 6 août 2015, relatifs aux professions réglementées, une mesure conduisait à une réforme des tarifs (huissiers, notaires, administrateurs et mandataires judiciaires) après examen statistique. Or, cette étude à des fins statistique devait être opérée à partir des chiffres communiqués par les professionnels en exercice à leurs instances départementales ou régionales. Saisi d’un recours contre cette obligation de communication pesant sur les professions réglementées, le Conseil d’Etat a annulé cette disposition, estimant que le recueil de ces informations par les instances professionnelles portait atteinte au secret des affaires dès lors qu’elles sont susceptibles de révéler à de potentiels concurrents leur santé financière et leur stratégie commerciale (CE, Conseil national des greffiers des tribunaux de commerce et autres, 24 mai 2017).

 

-          Bien que les avocats soient tenus au secret professionnel (encore rappelé par le CNB suite aux révélations dans la presse du conseil de Richard FERRAND http://www.lextimes.fr/actualites/affaire-ferrand/un-avocat-ne-devrait-pas-dire-ca-selon-le-cnb ) le décret n°2017-867 relatif au répertoire numérique des représentants d’intérêts (en application de la loi Sapin 2), oblige les avocats lobbyistes à s’immatriculer en tant que tel, outre le renforcement du rôle du Bâtonnier dans le cadre des procédures de visite et de communication concernant les avocats https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000034633293&fastPos=1&fastReqId=332971270&categorieLien=cid&oldAction=rechTexte

 

A noter a contrario, les obligations de renseignement pesant sur le pouvoir adjudicateur dans la commande public :

 

-          L’arrêté du 14 avril 2017 (JORF du 27 avril 2017) fixant les modalités de publication données essentielles des marchés publics et des contrats de concession, pris en application de l’ordonnance n°2015-899 du 23 juillet 2015.