Etes-vous concernés par NIS2?

Le 5 juillet 2023, le Sénat a adopté en première lecture le projet de loi modifié visant à sécuriser et réguler l’espace numérique. Il sera présenté devant l’Assemblée nationale en septembre 2023.

Le projet de loi s’inscrit dans l’évolution rapide au niveau européen des dispositions visant à réguler les activités en ligne (avec, notamment, l’entrée en vigueur du Digitale Services Act (DSA) et du Digital Market Act (DMA)). Il intègre également certaine des recommandations formées dans les rapports sur la souveraineté numérique et la protection des mineurs face à la pornographie et aux fins de régulation des activités des influenceurs.

Les conditions de signalement de contenus illicites sont ainsi renforcées, ainsi que les obligations des éditeurs et hébergeurs en cas de saisine. Les sanctions en l’absence de traitement des notifications de contenus illicites sont également développées, conformément aux dispositions du DSA.

Le projet de loi vise également à limiter la possibilité pour les principaux acteurs du numérique de privilégier leurs propres services sur les plateformes qu’ils éditent, conformément aux principes du DMA.

Le projet de loi inclut par exemple des dispositions restreignant les frais de transfert pouvant être imposés par un hébergeur Cloud à ses clients lorsque ceux-ci souhaitent changer de fournisseur de services d’hébergement. Les frais pouvant être demandés devront se limiter aux frais de migration liés au changement de fournisseur et ne pourront donc plus atteindre les montants importants connus aujourd’hui.

Le projet de loi aborde également la question de l’absence de régulation des Jeux utilisant des Objets Numériques Monétisables (JONUM), dont le statut a fait l’objet de nombreux débats. La qualification des objets concernés, entre jeux d’argent et actifs numériques, ne semble pas encore totalement tranchée.

Le projet de loi prévoit cependant la possibilité pour le Gouvernement de prendre par ordonnance, dans un délai de quatre mois à compter de la publication de la loi, les mesures nécessaires pour réguler ces jeux.

Le projet de loi constitue donc un ensemble complexe, complémentant l’intégration au droit national de plusieurs des dispositions du DSA et du DMA.

L’Arcom devrait ainsi devenir le Coordinateur des services numériques en France. Il sera accompagné dans ses missions par l’Autorité de la concurrence et la Cnil, qui devraient également être désignées comme autorités compétentes responsables de la surveillance des fournisseurs de services intermédiaires et de l’exécution du DSA en France.

Source :

• https://www.vie-publique.fr/loi/289345-securiser-et-reguler-lespace-nunerique-projet-de-loi-sren ;
• https://www.senat.fr/leg/tas22-156.html

Dire que l’on est désormais entré dans une économie basée sur la data, est devenu un lieu commun.

Avec l’arrivée de nouveaux acteurs, on assiste à l’émergence de nouvelles problématiques et à la survenance de nouveaux risques :

• le risque cyber et celui d’atteinte à la vie privée ;
• la généralisation des fake news ;
• les risques de manipulation via des commentaires mensongers ; ou encore
• la prise en compte de l’IA qui vient poser des questions qui relevaient jusque là du domaine de la science-fiction.
  Le législateur européen s’est emparé de ces questions et a voté une série de textes regroupés sous l’appellation « Paquet numérique ».
  Le cabinet Leben-Avocats a le plaisir de vous présenter une synthèse de ces différents textes. (Digital Service Act, Digital Governance Act, Digital Market Act, Data Act, IA Act, Cyber Resilience Act, NIS2…)
  La synthèse, c’est par ici.

Par Eolia BUSATA et Henri LEBEN, avocats à la Cour

Le Digital Market Act (Règlement UE n°2022/1925 – DMA) a vocation à permettre de réguler le pouvoir des acteurs économiques en capacité de verrouiller l’accès aux marchés numériques dans l’Union européenne.

Le Règlement s’applique ainsi aux acteurs disposant de capacités de verrouillage ou de contrôle de leurs marchés, car ils constituent un point d’accès important des entreprises utilisatrices pour toucher leur clientèle, et qui sont alors qualifiés de « contrôleur d’accès » ou « gatekeepers ».

La qualification de contrôleurs d’accès sera appliquée automatiquement à toute entreprise qui, au cours des 3 dernières années, a :
• Réalisé 7,5 milliards d’euros au moins de CA annuel dans l’UE ou 75 milliards, d’euros ou plus de capitalisation boursière durant la dernière année ;
• Eté utilisée par au moins 45 millions d’utilisateurs finaux par mois et 10.000 professionnels par an ;
• Fourni un ou plusieurs services de plateforme essentiels dans au moins trois pays de l’UE, parmi lesquels : services d’intermédiation (comme les places de marché, les boutiques d’applications), moteurs de recherche, réseaux sociaux, messagerie en ligne, etc.

Une fois ces seuils atteints, les entreprises concernées devront s’identifier auprès de la Commission européenne dans le 2 mois de l’entrée en vigueur du DMA. Celle-ci étudiera alors la déclaration et procédera, si applicable, à la désignation de l’entreprise déclarante en tant que « contrôleur de marché ».

Les premières désignations sont donc attendues début septembre 2023.

La Commission pourra, dans tous les cas, désigner unilatéralement les entreprises qui remplissent les critères mais ne se signalent pas comme telles.

Par ailleurs, les entreprises dont l’activité est susceptible de les placer en position de domination de leur marché sans que cette position soit encore durable se verront attribuer le statut de « contrôleurs d’accès émergents ». Certaines des obligations applicables aux contrôleurs d’accès leur seront immédiatement applicables.

Parmi les mesures prévues par le règlement pour encadrer le pouvoir de marché des contrôleurs d’accès, beaucoup vont affecter l’organisation même des plateformes.

Les entreprises concernées devront notamment :
• Rendre également faciles l’abonnement et le désabonnement au services de plateforme essentielle qu’ils fournissent ;
• Permettre de désinstaller facilement leurs applications préinstallées (tels que des suites logicielles ou un navigateur) ;
• Rendre interopérables les fonctionnalités de base de leurs services de messagerie instantanée avec ceux de leurs concurrents ;
• Autoriser les vendeurs à promouvoir leurs offres et à conclure des contrats avec leurs clients en dehors des plateformes ;
• Donner aux vendeurs l’accès à leurs données de performance marketing ou publicitaire sur leur plateforme.

Les plateformes seront également tenues d’informer la Commission européenne de l’évolution de leur organisation, en lui notifiant notamment les acquisitions et fusions qu’elles réalisent.

Ces obligations s’accompagnent de la restriction de pratiques ayant pour objet de favoriser les services annexes proposés par les contrôleurs d’accès (auto préférence de leurs produits, installation automatique de leurs logiciels sur un appareil, exploitation des données des vendeurs sur la plateforme pour les concurrencer, obligation d’utiliser le système de paiement du contrôleur, etc.).

Une entité lésée par un contrôleur d’accès pourra s’appuyer sur la liste de ces obligations et interdictions pour demander des dommages et intérêts devant les juges nationaux. La liste prévue par le règlement pourra être complétée par la Commission, en fonction de l’évolution des pratiques des plateformes.

Les sanctions prévues portent sur des montants relativement élevés, et peuvent aller jusqu’à la mise en œuvre de mesures correctives comportementales ou structurelle par la Commission.

Pour nous contacter, c’est ici. (https://www.leben-avocats.com/contact/)

Par Eolia BUSATA et Henri LEBEN, avocats à la Cour

Le Digital Services Act (Règlement UE n°2022/2065 – DSA) a vocation à réguler les services en ligne au sein de l’Union européenne, en luttant contre les contenus illicites et en renforçant les obligations de contrôle interne des plateformes.

Le calendrier d’application du règlement est étendu, les premières mesures sont entrées en vigueur en novembre et d’autres suivront, jusqu’au 17 février 2024, date à laquelle l’ensemble des dispositions du Règlement seront applicables.

Le Règlement s’applique à tout intermédiaire ou fournisseur de services en ligne offrant ses services et produits sur le marché de l’UE, indépendamment de sa localisation géographique. Les entités concernées sont, notamment, les fournisseurs de services d’informatique en Cloud et d’accès à un Internet et la plupart des lieux d’achat et de vente en ligne (places de marché, boutiques d’application, réseaux sociaux, plateformes de voyage et d’hébergement, etc.).

Un statut particulier est conféré aux très grands opérateurs ayant un nombre mensuel moyen de destinataires actifs dans l’UE égal ou supérieur à 45 millions. Ce nombre pourra être réévalué en cas d’évolution de la population de l’Union de 5%.

Les très petites et petites entreprises (moins de 50 salariés et moins de 10 millions de CA annuel) qui n’atteignent pas 45 millions d’utilisateurs mensuels seront exemptées de certaines obligations.

Toutes les entreprises concernées devront désigner un point de contact unique (et un représentant légal pour les entités établies hors UE).

Le Règlement contient plusieurs obligations dont les principales sont :

• La lutte contre les contenus illicites : plusieurs mesures doivent être prévues dont la mise en place d’un outil permettant de signaler facilement les contenus illicites, mais également l’obligation pour les marketplaces de mieux s’informer sur leurs vendeurs (vérification de leur fiabilité, de leur identité, etc.),

Le règlement prévoit à ce titre la création du statut de « signaleurs de confiance » / « Trusted flaggers », c’est-à-dire, des entités reconnues pour leur expertise dans la détection et l’identification de contenus illicites, et leur indépendance. Elles seront désignées dans chaque Etat et leurs signalements devront être traités en priorité.

Un rapport annuel récapitulant leurs actions est à adresser au coordinateur national les ayant désignés.

• Transparence : les plateformes devront mettre en place un système interne de traitement des réclamations des utilisateurs (notamment dans les cas de suspension ou de résiliation des comptes sur les plateformes) et clarifier le fonctionnement des algorithmes utilisés pour recommander les contenus publicitaires.

Ce second point s’accompagne d’interdictions spécifiques : interdiction de la publicité ciblée à destination des mineurs, ou de celle basée sur des données sensibles, sauf consentement exprès des personnes.

Les très grandes plateformes, et les très grands moteurs de recherche, sont soumis à des obligations supplémentaires, y compris :
• La mise en place d’un système de recommandation de contenus non-fondé sur le profilage et d’un registre des publicités contenant diverses informations (qui a parrainé l’annonce, comment et pourquoi celle-ci cible tels individus…) ;
• Une obligation d’analyser annuellement les risques systémiques qu’elles créent (sur la haine et la violence en ligne, les droits fondamentaux, les processus électoraux, la santé publique…) et de prendre les mesures nécessaires pour atténuer ces risques (respect de codes de conduite, suppression des faux comptes, etc.) ;
• La réalisation d’audits annuels indépendants de réduction des risques, sous le contrôle de la Commission européenne.

Le contrôle de l’application du Règlement est confié, dans chaque Etat, à un « coordinateur des services numériques », rassemblés au niveau de l’UE dans un Comité européen des services numériques. Ces coordinateurs devront être déclarés au plus tard le 17 février 2024.

En France, cette mission est confiée à l’Arcom.

En cas de violation du règlement, les coordinateurs des services numériques et la Commission pourront prononcer des astreintes et des sanctions. Pour les très grandes plateformes et les très grands moteurs de recherche, la Commission pourra infliger des amendes pouvant aller jusqu’à 6% de leur chiffre d’affaires mondial.

En cas de violations graves et répétées au règlement, des interdictions d’activités sur le marché de l’UE pourront être prononcées.

De manière générale, le règlement a vocation à s’adapter à la taille et aux conséquences éventuelles de l’activité de l’entreprise sur le marché de l’UE.

En fonction de votre activité, une analyse au cas par cas des mesures qui vous sont applicables est donc nécessaire.

Pour faire le point avec nos équipes sur les obligations applicables à votre entreprise, c’est ici. (https://www.leben-avocats.com/contact/)

Contenus numériques : mettez-vous en conformité avant le 1er octobre 2022

Publication du décret relatif aux garanties légales applicables aux contenus et services numériques

Issue de la transposition de deux directives, l’ordonnance n°2021-1247 relative à la garantie légale de conformité pour les biens, les contenus numériques et les services numériques créait les bases de l’application aux contenus et services numériques des garanties légales de conformité et des vices cachées.

Afin de compléter les dispositions déjà détaillées au sein de l’ordonnance, le décret n°2022-946 du 29 juin 2022 apporte des précisions quant à l’application pratique de ces règes et à leur formalisme.

Le décret précise ainsi les modalités d’exécution par les différents acteurs de leurs obligations, et notamment :

1. Les informations obligatoires s’agissant de l’identité du professionnel ;
2. Les informations obligatoires s’agissant de la portée des mises à jour des contenus numériques ;
3. Le formalisme de l’encadré à intégrer aux conditions générales qui récapitule les engagements en matière de garanties du vendeur.

Le décret entre en vigueur au 1er octobre 2022.

1. L’identification du professionnel :

Conformément à ce qui s’appliquait déjà en matière de garanties légales, les professionnels fournissant des contenus et services numériques sont tenus d’informer les consommateurs, dans leurs conditions générales, des éléments nécessaires à l’identification du professionnel répondant des garanties légales : raison sociale, adresse, informations de contact (téléphonique et email), modalités de traitement des réclamations, etc.

2. Mise à jour des contenus numériques :

Les contenus et services numériques pouvant faire l’objet de mises à jour, le producteur de biens contenant des éléments numériques, et le vendeur, sont tenus de :
• Pour le producteur, informer :
o Le vendeur professionnel de la durée au cours de laquelle les mises à jour logicielles fournies par lui restent compatibles avec les fonctionnalités du bien ; et
o Le consommateur, de façon lisible et compréhensible, des caractéristiques essentielles de chaque mise à jour des éléments numériques du bien, notamment de l’espace de stockage qu’elle requiert, de son impact sur les performances du bien et de l’évolution des fonctionnalités qu’elle comporte.
• Pour le vendeur, mettre les informations communiquées par le producteur à dispositions du consommateur. Le vendeur met ces informations à la disposition du consommateur.

Afin de leur permettre de répondre à ces obligations, le décret précise notamment que le producteur de biens contenant des éléments numériques est tenu d’informer le vendeur, sans frais :
• Des logiciels du bien faisant l’objet des mises à jour, y compris les mises à jour de sécurité ;
• De la durée de fourniture de ces mises à jour ou la date à laquelle cette fourniture prend fin.

En cas de modification de ces informations, le producteur en informe le vendeur, et lui communique les conséquences éventuelles.

Ces informations doivent être communiquées par le vendeur au consommateur. Le cas échéant, il peut communiquer au consommateur la référence d’un site ou d’une application éditée par le producteur et détaillant les informations ainsi fournies.

Le producteur doit en effet communiquer au consommateur les caractéristiques essentielles des mises à jour du produit ou service numérique (notamment : objet de la mise à jour – répond-elle à une exigence de sécurité ou sert-elle à faire évoluer les fonctionnalités du bien -, versions du logiciel/ système d’exploitation ou pilote concerné par la mise à jour, l’espace de stockage requis par la mise à jour ainsi que les conséquences de la mise à jour sur les performances du bien).

Ces informations doivent être communiquées avant la mise à jour, et devraient rester disponibles postérieurement.

3. Information des consommateurs quant à l’exercice des garanties légales de conformité s’agissant de contenus numériques :

L’article D.211-2 du code la consommation impose au professionnel d’insérer dans ses conditions générales de vente de biens un encadré détaillant les garanties fournies ainsi que leurs modalités d’exercice et leurs caractéristiques. Cette disposition est similaire à celle déjà en vigueur s’agissant de la vente de biens.

Les modèles d’encadrés figurent aux annexes des articles D. 211-3 et D. 211-4 du code de la consommation et doivent être choisis selon que les biens et services numériques sont fournis de manière ponctuelle ou continue, ou bien en complément d’un contrat de vente de biens.

Les principales différences entre ces modèles sont décrites dans le tableau suivant :

Par ailleurs, lorsque le contrat de vente du bien prévoit la fourniture d’éléments numériques de manière continue pendant une durée supérieure à deux ans, la garantie légale est applicable à ce contenu numérique ou ce service numérique tout au long de la période de fourniture prévue.

Enfin, tout vendeur qui fait obstacle de mauvaise foi à la mise en œuvre de la garantie légale de conformité encourt une amende civile d’un montant maximal de 300 000 euros, qui peut être porté jusqu’à 10 % du chiffre d’affaires moyen annuel.

Contrairement aux modèles précédents, cet encadré tient compte de la durée de fourniture des services et doit être adapté en conséquence.

Points restant à clarifier :

L’ordonnance n° 2021-1247 relative à la garantie légale de conformité a créé à la charge des professionnels une obligation d’information spécifique lorsque le consommateur fournit un avantage en contrepartie de la fourniture du contenu numérique, en complément ou en remplacement d’un prix.

Cette obligation impose au professionnel de détailler dans ses conditions générales la nature de l’avantage reçu en lieu et place du prix. Il doit notamment préciser dans des termes « clairs et compréhensibles, le modèle économique faisant apparaitre l’incidence pour lui de cet avantage sur ses revenus ou son bénéfice économique » (article R. 211-5 du Code de la consommation).

Le décret n’apporte cependant pas d’éléments spécifiques sur la nature des informations à communiquer.

S’agissant des données personnelles, il se limite à préciser que le professionnel qui conduirait un traitement de données personnelles dans le cadre de la fourniture de cet avantage est tenu d’expliciter dans ses conditions générales les modalités d’exploitation de ces données à des fins publicitaires ou commerciales.

Au vu du développement des modèles dits « gratuits » où la fourniture du service ou du contenu numérique n’entraine pas de contrepartie financière immédiate de la part du consommateur, la nature exacte des informations à communiquer aux consommateurs devra faire l’objet de la plus vive attention.

Source : https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000045978303