Comme l’affirmait Emmanuel Macron en 2020 “Les Américains ont les GAFA [Google, Amazon, Facebook, Apple], les Chinois ont les BATX [Baidu, Alibaba, Tencent, Xiaomi] et les Européens ont la RGPD.” En manque de géants du numérique, l’Europe se réduit à construire des outils de défense pour ne pas devenir un far west numérique.

Pourtant, ces outils de défense ne sont pas suffisants en matière de cybersécurité. La cybersécurité renvoie, au sens de la loi européenne sur la cybersécurité, aux actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces.

Hameçonage, piratage, chantage à la webcam, virus, cyberharcèlement… le nombre de cyberattaques a drastiquement augmenté depuis 2020, touchant autant les particuliers que les entreprises ou les administrations. Renforcé par le climat de guerre actuel, les cybermenaces n’ont jamais été aussi présentes et il est urgent pour l’Europe de réagir. Il est donc nécessaire de s’intéresser aux règles juridiques de la cybersécurité.

Quelles sont les règles juridiques de la cybersécurité en Europe ?

Le renforcement de la cybersécurité passe bien évidemment par une évolution technologique mais également par une régulation des comportements humains. Le droit permet d’encourager ou d’interdire certains d’entre eux. C’est pourquoi le droit de l’Union cherche à encourager les administrations, les entreprises et les citoyens à adopter une « hygiène informatique », c’est-à-dire des mesures simples, de routine, qui, lorsqu’ils les mettent en oeuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cybermenaces. La régulation juridique des comportements a donc une place essentielle dans les questions de cybersécurité.

Avant 2019, les réactions défensives face aux cyberattaques étaient surtout nationales et chaque Etat européen disposait de son propre fonctionnement juridique et technologique. Or, dans son Règlement 2019/881, l’Union Européenne pointe le fait que des incidents majeurs pourraient survenir au point de toucher l’Union européenne toute entière. Ainsi, le parlement européen affirme que “cela nécessite de mettre en place des réponses efficaces et coordonnées et une gestion de la crise à l’échelon de l’Union, sur la base de politiques spécifiques et d’instruments élargis aux fins de la solidarité européenne et de l’assistance mutuelle”.

Qu’est-ce que le Cybersecurity Act  ?

Le Cybersecurity Act est un acte législatif européen adopté par le Parlement Européen en 2019. L’objectif principal est de renforcer les pouvoirs de l’ENISA (European Union Agency for Cybersecurity), l’agence européenne chargée de la cybersécurité, mais aussi de faire de l’Europe un acteur mondial en matière de cybersécurité.

Ce cadre européen de certification de cybersécurité établit un ensemble de règles, d’exigences techniques, de normes et de procédures qui s’appliquent à la certification ou à l’évaluation de la conformité de produits et de services liés aux technologies de l’information et des communications (TIC).

Afin de renforcer la confiance des consommateurs , le règlement européen instaure pour la première fois des exigences pour ce qu’on appelle “les schémas européens de certifications de sécurité”. Qu’est-ce donc ? Les schémas de certification de sécurité visent à protéger les données. La certification est une attestation de protection des données contre le stockage, le traitement, l’accès ou la diffusion, la destruction, l’altération accidentels ou non des produits TIC à l’échelle européenne (à la manière du sigle “CE” sur les produits non alimentaires).

Il existe plusieurs niveaux de certification : élémentaire, substantiel, élevé, en fonction du niveau de résistance des produits TIC aux cybermenaces :

• Le niveau élémentaire est le niveau de cybersécurité le plus bas : il sera exigé pour les produits destinés au grand public.
• Le niveau élevé minimise le risque que des cyberattaques de pointe soient menées par des acteurs aux compétences ou ressources importantes (exemple : dispositifs médicaux connectés).
• Le niveau substantiel vise le risque médian. Il est plus important que le niveau élémentaire mais ne nécessite pas une cybersécurité hautement développée non plus.

Ce cadre de certification est assuré par différents acteurs au niveau européen et national.

Qu’est-ce que la directive SRI ?

La directive sur la sécurité des réseaux et des systèmes d’information (SRI), introduite en 2016, a été la première mesure législative prise à l’échelle de l’UE pour intensifier la coopération entre les États membres sur la question essentielle de la cybersécurité.

Pour rappel, une directive, à la différence d’un règlement, est un acte juridique européen qui n’a pas d’effet direct, c’est-à-dire qu’il n’impose pas directement des mesures aux Etats. Elle n’est qu’une ligne directrice listant certains objectifs  en laissant aux Etats membres le choix des moyens pour les atteindre. En revanche, si les législations nationales ne sont pas réformées conformément au droit de l’UE, des sanctions peuvent être appliquées.

La directive SRI établit des exigences en matière de sécurité et de notification pour les opérateurs de services essentiels (OSE). Les opérateurs de service essentiel sont, selon la directive, les opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Les opérateurs de services essentiels (OSE) doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information. Sont notamment visés les secteurs de l’énergie, des transports, des banques, des infrastructures de marchés financiers, de la santé, des fournitures et distributions d’eau potable et infrastructures numériques.

L’objectif de cette directive est de faire en sorte que chaque État membre renforce sa cybersécurité. De plus, la directive met en place certains objectifs destinés à renforcer la coopération entre les Etats en cas de cyberattaques  et assurer la gestion des risques liés à la sécurité avec notamment la notification des failles de sécurité.

Pour cela, la directive enjoint les Etats membres à se doter d’autorités de contrôle capables d’assurer la cybersécurité au niveau national. La France remplissait déjà cette obligation avec la création de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en 2009. De plus, la directive prévoit la création de Centres de réponse aux incidents de sécurité informatique (CSIRT) qui doivent notamment suivre les incidents et intervenir au niveau national, analyser les risques et élaborer des mécanismes d’alertes.

La directive SRI est-elle un succès ?

Le bilan de la directive SRI est mitigé. Le manque de clarté de la directive SRI a été vivement critiquée, notamment en ce qu’elle ne détermine pas assez bien son champ d’application (qui sont vraiment les opérateurs de services essentiels ?). Résultat, la législation des États membres varient, parfois de manière importante, d’un pays à l’autre. De plus, les sanctions prévues pour les entités qui n’avaient pas mis en place des exigences de sécurité ou n’avaient pas signalé les incidents n’étaient quasiment jamais appliquées. Enfin, un effort est encore à faire au niveau de la confiance réciproque entre les Etats membres dans les échanges d’informations, confiance nécessaire à l’efficacité des mesures de cybersécurité.

C’est pourquoi, en décembre 2020, la Commission européenne a proposé une directive SRI révisée (directive SRI 2) pour remplacer la directive de 2016. La nouvelle proposition répond à l’évolution des menaces et tient compte de la mutation numérique, d’ailleurs accélérée par la crise de la COVID-19.

L’idée de cette nouvelle directive est d’étendre le champ matériel avec une surveillance plus ciblée sur les acteurs clés. Ainsi, la liste des secteurs concernés s’étend davantage. En outre, la proposition élimine la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques : les entités seraient classées en fonction de leur importance et divisées, respectivement, en catégories essentielles et importantes, avec des régimes de surveillance différents.

La proposition cherche aussi à renforcer la confiance des autorités publiques nationales et des entreprises pour encourager le partage d’informations. Pour cela, les CSIRT joueront les rôles d’intermédiaires de confiance entre les différents Etats afin de faciliter les intéractions.

Le régime des sanctions sera également harmonisé.

Quelles sont les règles juridiques de la cybersécurité au niveau national ?

La France a récemment adopté une loi visant à renforcer la protection des utilisateurs des plateformes numériques. Cette loi a été adoptée le 3 mars 2022 et est entrée en vigueur le 4. L’objet principal de cette loi est d’instaurer un cyber score (à la manière du Nutriscore pour les aliments) afin d’informer les utilisateurs de la fiabilité des plateformes numériques qu’ils consultent. 

Pour connaître leur niveau de sécurisation des données, les opérateurs devront réaliser un audit préalable effectué par des prestataires qualifiés par l’ANSSI.

Les critères seront fixés par un arrêté tandis que les plateformes concernées seront sélectionnées en fonction de l’importance de leur activité et listées dans un décret.

Le dispositif est prévu pour entrer en application le 1er octobre 2023.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Récemment le Forum International Entreprise Cybersécurité 2022 et la 8ème édition des Rencontres Cybersécurité d’Occitanie ont réuni des entreprises et des collectivités pour évoquer les enjeux futurs en matière de cybersécurité. De ces rencontres a émergé un constat sans appel : “dans les prochaines années il n’y aura pas d’entreprise pérenne sans cybersécurité !”

C’est la raison pour laquelle il est aujourd’hui essentiel que les entreprises n’envisagent plus la cybersécurité comme une menace hypothétique mais comme un risque réel qu’il faut prévenir. Pour renforcer efficacement la cybersécurité des entreprises, trois thématiques ressortent : l’ingénierie sociale, les attaques techniques, la résilience. 

L’ingénierie sociale : le danger se trouve entre la chaise et le clavier

En matière d’entreprise cybersécurité, il a été observé que la faille la plus récurrente vient de l’humain. Qui n’a jamais reçu un e-mail ou un sms d’un ami vous invitant à cliquer sur un lien suspect pour consulter une photo de vous, lien cachant en réalité un piratage par hameçonnage (phishing) afin de récupérer vos données personnelles (mot de passe, identifiant, adresse IP…).

Plus communément appelé piratage psychologique ou social hacking, l’ingénierie sociale consiste à manipuler l’humain pour réaliser une escroquerie. Dans le milieu professionnel, l’ingénierie sociale est particulièrement élaborée et cible le plus souvent les services comptables ou les services administratifs en demandant un accès informatique, des informations personnelles ou en envoyant des fausses factures sous l’e-mail d’un client, d’un sous-traitant ou d’un employé. La personne ciblée va alors par abus de confiance, permettre  au pirate informatique d’infiltrer le système de l’entreprise ou de dérober une somme d’argent sans que la DSI ne soit informée.

La pandémie et l’augmentation du télétravail a également servi de tremplin pour les cyberattaques par ingénierie sociale, lorsque le salarié est connecté sur son wifi personnel avec la DSI qui ne peut intervenir rapidement sur le poste de travail, la moindre erreur humaine peut avoir des conséquences dévastatrice pour la sécurité informatique de l’entreprise.

Pour lutter contre ce type d’attaque, il est essentiel pour les entreprises de former leurs équipes à la cybersécurité en mettant particulièrement l’accent sur les corps de métier les plus ciblés par ce type d’attaques. Il est également possible de tester ses équipes avec un test d’intrusion (pentest) réalisé par des entreprises spécialisées chargées de simuler une attaque phishing. 

Les attaques techniques : conserver la compétence sur ses données en entreprise

Au-delà de l’aspect humain, il convient également de sécuriser les systèmes informatiques du point de vue technique. Il existe aujourd’hui un florilège de types de cyberattaques comme les attaques par déni de service (Dos), l’installation de malwares ou encore les rançongiciels (ransomware). Et pour les prévenir, il est essentiel d’avoir des personnes habilitées à y faire face, si possible en interne (RSSI, responsable SOC, responsable CSIRT, etc…) et un plan de crise bien huilé.

Bien sûr, la prévention technique à un coût considérable pour les petites et moyennes entreprises c’est pourquoi il est recommandé aux chefs d’entreprises d’estimer la valeur de leurs  possessions et de leur attribuer un niveau de protection adapté. Puis, d’analyser les risques et enfin de veiller à limiter la portée de l’attaque.

Toutes ces contraintes mènent certaines entreprises à externaliser leur cybersécurité afin de réduire les coûts, mais il ne faut pas oublier qu’externaliser sa cybersécurité c’est transmettre des données sensibles à un tiers en lui donnant accès à des fonctions vitales pour l’entreprise. Ainsi il est essentiel de veiller à coopérer avec des partenaires de confiance et de prévoir une bonne gestion des contrats d’externalisation. En cas de fuite de données ou de cyberattaque, c’est ce contrat qui pourra protéger l’entreprise contre la mise en cause de sa responsabilité. 

Autre point sensible, l’externalisation des infrastructures dans le cloud. Avec l’explosion du télétravail, de plus en plus d’entreprises utilisent des services d’hébergement de données “hors site”, afin de permettre aux salariés d’accéder à leur espace de travail dématérialisé depuis chez eux. Les données de l’entreprise sont alors transférées vers des datacenter qui sont également en proie aux cyberattaques. Afin de translater efficacement les mesures de cybersécurité de l’entreprise, il est nécessaire de privilégier les hébergeurs dont la société mère est basée en Europe et qui sont donc soumis au Règlement Général sur la Protection des Données (RGPD).  

Entreprise cybersécurité et résilience : Que faire lorsqu’il est déjà trop tard ?

Il n’est jamais possible d’anticiper toutes les failles de sécurité informatique et tôt ou tard une entreprise fera probablement l’objet d’une fuite de données. Cependant il est possible de réduire considérablement les dégâts d’une attaque en ayant correctement anticipé la gestion de la cellule de crise. 

Afin de réagir efficacement le jour où une cyberattaque surviendra, il est nécessaire de mettre en place une procédure de gestion de crise visant à coordonner des équipes variées dont les périmètres d’action peuvent être d’ordre technique ou stratégique. Dans ce type de procédure, il est nécessaire de mettre l’accent sur la communication, non seulement en interne mais également en externe avec les clients, les partenaires et les autorités. Une attaque cyber mènera nécessairement à une rupture de service et il n’est pas bénéfique de tenter de dissimuler un tel évènement. Au contraire, rassurer et informer régulièrement ses partenaires est la clé d’une reprise d’activité sans perte de confiance. 

En interne, la gestion de crise peut être un évènement déroutant voire traumatisant pour les salariés. Une cyberattaque peut amener les salariés à se demander combien de temps l’activité sera interrompue, si cela va impacter leur travail ou encore s’ il y a un risque pour leur emploi dans le cas où la crise ne serait pas résolue. C’est pourquoi gérer l’humain est au cœur de la gestion de crise, il faut prendre en compte la charge mentale que cela implique sur les équipes lors de crises qui durent plusieurs jours voire plusieurs semaines. Certaines entreprises prévoient dans leur protocole de crise des taxis pour les salariés qui doivent rentrer tard ou arriver tôt le matin ou encore des bonbons à disposition dans la cellule de crise.

Enfin, pour renforcer la résilience d’une entreprise, l’Anssi recommande la mise en place d’une simulation de cyberattaque avec toutes les équipes concernées. Un tel exercice permet de sensibiliser en interne mais aussi de rassurer son écosystème sur les capacités de l’entreprise à éprouver de telles crises. 

Pour finir, comme l’a souligné Jean Paul Laborde, ancien secrétaire adjoint aux nations unies : “Sur le plan judiciaire il est essentiel que les auteurs de telles attaques soient condamnés”. La cybercriminalité est aujourd’hui la forme de crime organisé la moins réprimée du fait de la difficulté d’identifier les auteurs. Ainsi, lors d’une cyberattaque, il est essentiel sur le plan juridique de récolter un maximum de données permettant d’identifier les auteurs et de faire la liaison avec la gendarmerie et le procureur de la République. Sans responsabilité les attaques cyber continueront à se multiplier. 

Par Anna PLOIX, juriste

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, entreprise cybersécurité avocat et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Serait-il alors seulement possible que des “hackers” agissent de manière bienveillante ? Oui. Ces personnes se nomment les “white hat” (ou “hacker blanc” en français). Mais existe-t-il des risques juridiques pour les hackers blancs ? Legal Brain vous répond.

Qu’est-ce qu’un white hat ?

Un white hat est un internaute qui révèle les failles de sécurité aux plateformes défaillantes. Un white hat exercerait donc la même activité qu’un hacker malveillant mais dans le but de renforcer la sécurité des plateformes qui présenteraient des failles. 

Certains pourraient penser que les “Anonymous” (célèbre groupe de hacker) sont des white hat. Or, un white hat ne passe jamais à l’offensive. Il ne fait que révéler les failles de sécurité, à l’inverse des Anonymous qui, bien que leur combat peut être considéré comme éthique, modifient bel et bien les systèmes informatiques dans le but de commettre des préjudices.

Que dit la loi sur les risques juridiques pour les hackers blancs ?

Un chapitre entier du Code pénal est consacré aux “atteintes aux systèmes de traitement automatisé de données” et vise donc spécifiquement les risques juridiques pour les hackers blancs. L’article 323-1, premier article du chapitre, réprime “le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données (STAD)”, c’est-à-dire que seront punies les personnes ayant accédé à un STAD sans autorisation. Or, c’est ce que font exactement les white hat. 

L’activité des white hat serait donc punie, selon la loi, de deux ans d’emprisonnement et de 60 000 euros d’amende. Pourtant, la plupart des white hat accèdent à ces réseaux sans aucune intention de nuire et même parfois sans avoir conscience de commettre une infraction.

Heureusement pour eux, l’article 121-3 du Code Pénal prévoit “il n’y a point de crime ou de délit sans intention de le commettre”. C’est pourquoi les juges ont relaxé certains hackers blancs lorsque leur bonne foi était caractérisée.

Un exemple de white hat relaxé

Dans la mesure où les actes commis par les white hat sont réprimés par la loi, il peut être difficile d’imaginer que les juges relaxent certains d’entre eux. Et pourtant. 

Dans une affaire Kitetoa datant des années 2000, un journaliste informatique avait trouvé des fichiers de données personnelles de clients librement accessibles sur le site internet de Tati. Tentant en vain de prévenir le magasin, il décida de publier un article sur ce problème de sécurité. La chaîne de magasins a ensuite porté plainte contre le journaliste.

Les juges ont finalement relaxé le journaliste en estimant qu’on ne pouvait reprocher à un internaute d’accéder, en utilisant un navigateur grand public, à des parties de site web qui ne sont ni protégées ni signalées comme confidentielles. A partir du moment où la plateforme ne mentionne pas que certains accès sont interdits, la personne s’étant introduite dans ces failles de sécurité ne peut être tenue responsable pénalement. En outre, le “hacker” ne doit pas causer de préjudice, ce qui n’était pas le cas en l’espèce.

Quelques exemples de white hat condamnés

Bien entendu, il existe beaucoup plus de cas où les white hat ont été condamnés pénalement, ce qui montre qu’il existe toujours aujourd’hui des risques juridiques pour les hackers blancs.

1er exemple :

Un parfait contre-exemple existe à l’affaire Kitetoa : l’affaire Bluetouff. Dans cette affaire, un internaute connu sous le pseudonyme de “Bluetouff” avait récupéré 8 giga octets de données sur le site de l’ANSES (Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail). Ces données étaient librement accessibles sur le site, tout comme dans l’affaire Tati.

Dans un premier temps, le tribunal correctionnel a suivi la jurisprudence Tati en estimant que l’ANSES n’avait « pas manifesté clairement l’intention de restreindre l’accès aux données récupérées ». Pourtant, “Bluetouff” a été condamné. Pourquoi un tel revirement de jurisprudence ?

Ce revirement s’explique par une prise de conscience d’une meilleure protection des données. Tati est une entreprise privée tandis que l’ANSES est un établissement public français appartenant au ministère, ce qui lui confère une protection spéciale selon les juges. Accéder à un ordinateur non protégé par un mot de passe et y copier des données n’est donc pas condamnable si ces données ne font pas l’objet d’une protection spécifique comme le secret de la Défense Nationale ou celle applicable au Potentiel Scientifique et Technique de la Nation. 

De plus, dans l’affaire Bluetouff, l’internaute a avoué être arrivé par hasard sur la page web litigieuse avant de prendre conscience que cet accès était interdit. La prise de conscience de cette interdiction ne l’avait pourtant pas empêché de copier les données de santé présentes sur l’ANSES. Donc, si l’intention n’était pas frauduleuse, le maintien, en revanche, l’était. De plus, le vol de données a été caractérisé ici.

2e exemple :

Quatre étudiants avaient réussi, grâce à un logiciel de décryptage de mot de passe, à récupérer les mots de passe d’autres utilisateurs de l’université. Pour justifier la possession d’un logiciel de décryptage de mot de passe, les étudiants plaidaient le but pédagogique de l’opération. L’article 323-3-1 du Code pénal réprime, notamment, le fait de posséder un programme informatique destiné à commettre des infractions informatiques, à moins d’avoir un motif légitime.

Pour les plaignants, le motif légitime était l’enseignement. Or, le fait d’apprendre à accéder aux comptes de tiers ne s’inscrivait dans aucun cursus de l’établissement et avait été réalisé sans que les responsables ne soient au courant.

3e exemple : 

Après avoir informé Microsoft d’une faille de sécurité sur un de leur logiciel, un informaticien avait publié un article sur le site de sa société qui montrait comment exploiter la faille découverte. Le tribunal condamne l’informaticien au motif que ce genre d’informations auraient dû rester confidentielles.

Pour sa défense, l’informaticien arguait qu’il avait publié l’article dans le but d’avertir ses abonnés de la faille. Les juges ont estimé que l’informaticien ne pouvait ignorer que ce genre de révélation pouvait permettre à des utilisateurs malveillants de nuire à la société Microsoft. De plus, relevant par ailleurs que cet internaute percevait des revenus publicitaires proportionnels au nombre de visiteurs de son site, et qu’il avait donc intérêt à accroître son audience par la publication d’informations sensibles, la cour a rejeté l’excuse de la bonne foi.

Peut-on espérer voir une plus grande clémence des juges envers les white hat à l’avenir ?

Le fait de révéler une faille de sécurité dans le but d’aider les organismes doit-il toujours à l’avenir être considéré comme une infraction ? Si aucun préjudice n’existe ni vis-à-vis de la société, ni vis-à-vis d’une personne physique ou morale, pourquoi maintenir cette infraction ? En effet, face à la numérisation accrue des services, il peut être utile pour la société d’anéantir toute forme de risques juridiques pour les hackers blancs.

Lors des débats sur la loi Lemaire ( dite “la loi pour une République numérique”) des propositions sur le statut des white hat avaient émergé de l’hémicycle. Un parlementaire avait notamment proposé de créer un nouvel article prévoyant : « Toute personne qui a tenté de commettre ou commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système. »

La rédaction de cet article suscitait de nombreuses questions et certains parlementaires estimaient même qu’il ouvrait la porte à un plus grand nombre de commissions d’infractions. Cet article aurait en effet permis, par la simple prévention d’une autorité, de commettre des infractions numériques.

Ainsi, la proposition a été remanié et l’article L.2321-4 du Code de la défense aujourd’hui en vigueur dispose que : “Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable aux services de l’État, définis par le Premier ministre, lorsqu’ils sont informés de l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données, par une personne agissant de bonne foi et en l’absence de publicité de l’information.” L’identité du lanceur d’alerte reste confidentielle.

Cet article a deux avantages par rapport à la première proposition. D’une part, aucune poursuite pénale ne pourra être engagée à l’encontre d’un white hat de bonne foi ayant informé l’ANSSI d’une faille informatique. D’autre part, le fait d’informer l’ANSSI pourra tempérer les ardeurs de l’entreprise lors d’une éventuelle plainte.

Le législateur a donc entendu les white hat et une meilleure protection juridique leur est aujourd’hui consacrée. Toutefois, le comportement de bonne foi des white hat doit demeurer, ce qui sous-entend qu’aucune copie des données ou publication révélant la faille ne sera tolérée même postérieurement à l’avertissement de l’ANSSI. Cette dernière est seule compétente dans la gestion du problème technique.

Quelles sont les données de santé ? 

La CNIL définit les données de santé comme “les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.” 

Trois catégories de données entrent désormais dans cette notion. Il s’agit d’abord des données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…). Certaines données, du fait de leur croisement avec d’autres, sont considérées comme des données de santé car ce croisement permet de tirer une conclusion sur l’état ou les risques de santé de la personne (croisement d’une mesure de poids avec un nombre de pas ou une mesure des apports caloriques, croisement de la tension avec la mesure de l’effort…). Enfin, celles qui deviennent des données de santé du fait de leur destination, soit leur usage sur le plan médical.

Les données qui ne permettent pas de tirer d’informations ou de conclusions sur l’état de santé d’une personne, ne sont pas des données de santé. Ainsi une application qui ne fait que collecter un nombre de pas lors d’une sortie à l’extérieur, sans faire de croisement avec d’autres données, ne recueille pas des données de santé.

Données de santé et RGPD : qui peut recueillir et utiliser ces données de santé ?

Ce sont les patients qui fournissent leurs données médicales lors d’un rendez-vous chez un médecin, à l’hôpital, ou au sein d’autres établissements de santé (centre de radiologie ou de rééducation, cabinet de kinésithérapie…). Les données peuvent être recueillies par “un questionnaire proposé à l’accueil et des séries de questions posées pendant la consultation”. De plus en plus d’applications numériques, spécialisées dans le domaine de la santé, sont mises en place. Il suffit d’avoir un objet connecté pour y accéder. Le meilleur exemple est Doctolib. Il est possible de prendre rendez-vous chez un généraliste, dans un centre de vaccination ou bien de transmettre ses documents médicaux, de renseigner ses données de santé.

Le RGPD fixe les obligations que doivent respecter les organismes privés et publics, concernant leurs traitements des données de santé. Il impose la désignation d’un délégué à la protection des données (DPO), la détention d’un registre des traitements et la réalisation d’une analyse des risques. Ainsi, seuls les agents et les organismes médicaux peuvent recueillir et utiliser les données de santé, s’ils ont obtenu le consentement du patient et respectent ces réglementations. Il peut s’agir des professionnels de santé libéraux (médecin, infirmière, kiné, dentiste…), des établissements de santé (laboratoires, hôpitaux…), de la Sécurité Sociale ou de la mutuelle santé du patient puisqu’elles remboursent ses dépenses.

Pourquoi les données de santé doivent être exploitées ?

L’exploitation des données de santé permet d’offrir aux patients des soins personnalisés à leurs besoins médicaux. C’est pour cela que toutes les données médicales d’un patient sont stockées ensemble sur une base, afin de définir les traitements qui lui conviennent. Ce stockage sur des bases de données minimise ainsi les erreurs de diagnostic, et évite la prescription de médicaments incompatibles entre eux. “Cela grâce à la capacité des outils technologiques à traiter plusieurs informations en même temps sans omettre une seule”.

Mais il arrive que les données médicales soient traitées par des agents ou des organismes n’ayant pas reçu l’autorisation préalable de la CNIL, dans un contexte de renseignement administratif. Le Conseil d’Etat a rendu deux décisions le 19 juillet 2010 (n°317182 et n°334014), dans lesquelles il déclare les fichiers de recensement des élèves de maternelle et de primaire non conformes à la loi Informatique et libertés du 6 janvier 1978. Le Conseil d’Etat ordonne la suppression des données relatives à la santé des élèves, qui avaient été collectées dans la première version de « Base élèves ». Ces fichiers sont litigieux, du fait que “ces données permettent de connaître la nature de l’affection ou du handicap dont souffrent les élèves concernés et constituent par conséquent des données relatives à la santé, dont le traitement aurait dû être précédé d’une autorisation de la CNIL”. Le Conseil d’Etat laisse aussi le choix aux parents, qui peuvent émettre le refus d’inscrire leur enfant dans ces fichiers pour des motifs légitimes. Dans un arrêt du 28 mars 2014, le Conseil d’État annule deux dispositions du décret SIRHEN “portant création d’un traitement automatisé de données à caractère personnel (…) relatif à la gestion des ressources humaines du ministère de l’Education nationale”. Ce traitement automatisé a pour objectif de recueillir des données « relatives à la mention du sexe et de la nationalité du conjoint ou partenaire » des agents. Le Conseil d’Etat rappelle que la loi permet bien “la création de traitements, automatisés ou non, portant sur des données à caractère personnel”. Ces données à caractère personnel incluent “des données personnelles portant sur les conjoints, partenaires, enfants et autres personnes à la charge des personnels”, dans la mesure où elles sont “nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille”. Ce qui n’est pas le cas “des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents”.

Les fuites numériques de données de santé sont-elles possibles ? Quelles en sont leurs conséquences face au RGPD ?

Les risques principaux liés aux données de santé, des laboratoires ou des cliniques, sont les cyberattaques. Une cyberattaque est définie comme un “incident de sécurité au cours duquel des acteurs internes malveillants ou des attaquants externes parviennent à accéder de façon non autorisée à des données confidentielles ou à des informations sensibles”. Les données de santé sont de plus en plus sujettes à des fuites. On recense un certain nombre de cyberattaques, malgré toutes les mesures de défense informatique instaurées par le droit français et le RGPD. Elles peuvent prendre la forme d’une fuite d’informations personnelles et de résultats de test, car la plateforme du site médical n’était pas bien sécurisée. Il peut s’agir du piratage d’un laboratoire de biologie, divulguant les informations personnelles et médicales des patients.

Ces types de cyberattaques n’ont fait qu’augmenter avec la crise sanitaire du Covid19 et la mise en place hâtive du télétravail. Elles ont touché les entreprises, mais aussi les établissements à caractère médical (hôpitaux, instituts de recherche médicale, biotechs). La plupart étaient des attaques de ransomware, perpétrées par le logiciel malveillant CryptoLocker sur des ordinateurs possédant Windows. CryptoLocker se propage simplement via des emails. “Lors d’une attaque de ransomware, les pirates chiffrent généralement les données et les gardent en otage jusqu’à ce que la victime verse une rançon élevée”. A la fin du mois de mars 2020, une tentative de cyberattaque a été intentée contre l’Assistance Publique-Hôpitaux de Paris. Elle a été la cible d’une attaque par déni de service dont le but est de rendre inaccessible un serveur par l’envoi de nombreuses requêtes jusqu’à le saturer, provoquant une panne ou un fonctionnement fortement dégradé. Mais « l’attaque qui a duré une heure (…) n’a jamais atteint les infrastructures » d’après le porte-parole de l’AP-HP. Cependant certains hôpitaux ne sont pas d’aussi grosses structures que l’AP-HP. Les hôpitaux de Villefranche-sur-Saône et de Dax notamment en ont été les cibles. Ces attaques de ransomware ont eu pour conséquence le report d’opérations, car certains équipements médicaux et les dossiers patients étaient inaccessibles. En ce qui concerne les structures impliquées dans la recherche de traitement contre le Covid-19, des attaques ont aussi été intentées par les hackers. Ils voulaient voler des données scientifiques, liées à la recherche d’un vaccin contre le virus, pour les revendre à prix d’or sur Internet. Des attaques ont été intentées notamment contre l’Agence européenne du médicament, les laboratoires AstraZeneca et Moderna.

Quels sont les risques pour les entreprises en cas de fuite de données ? Leur responsabilité peut-elle être engagée ?

Les clients ont la possibilité de porter plainte contre celui qui a traité et hébergé les données. L’enquête devra déterminer la source des fuites, pour permettre l’articulation d’un droit de rectification ou d’un droit à l’effacement des données. Ces deux droits sont prévus par le RGPD. “Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite” (droit de rectification – CNIL). Le droit à l’effacement a pour objectif que tout internaute puisse obtenir le retrait de données personnelles qui le concerne sur internet.

Le client peut engager la responsabilité de traiteur et de l’hébergeur des données devant les tribunaux civils, sur le fondement de la violation du secret médical. Ils pourront statuer sur l’existence du préjudice et évaluer son indemnisation.

La CNIL n’est pas compétente pour prononcer l’indemnisation des préjudices des clients, mais elle prononce des amendes en cas de non-respect des réglementations RGPD. Ainsi, les cabinets médicaux ou les établissements de santé ayant subi des fuites de données peuvent recevoir une amende de 20 millions d’euros, ou allant jusqu’à 4% de leur chiffre d’affaires. La CNIL sanctionne donc par de lourdes pénalités.

Comment les cabinets ou établissements médicaux doivent-ils répondre à l’obligation du consentement éclairé issu du RGPD ? 

L’article R.4127-36 du code de la santé publique définit les modalités de recueil du consentement du patient. “Le consentement de la personne examinée ou soignée doit être recherché dans tous les cas.” Il est donc obligatoirement recherché par le médecin avant que celui-ci procède à un acte médical (examen clinique habituel, investigations complémentaires, traitement, surveillance du traitement et ses suites…). L’article différencie certains malades selon leur capacité à exprimer leur volonté. “Lorsque le malade, en état d’exprimer sa volonté, refuse les investigations ou le traitement proposés, le médecin doit respecter ce refus après avoir informé le malade de ses conséquences. Si le malade est hors d’état d’exprimer sa volonté, le médecin ne peut intervenir sans que la personne de confiance, à défaut, la famille ou un de ses proches ait été prévenu et informé, sauf urgence ou impossibilité.” Deux cas de malades hors d’état d’exprimer leur volonté sont distingués. Il s’agit des mineurs et des majeurs sous tutelle. S’ils sont aptes à le faire, le médecin doit impérativement rechercher leur consentement. Sinon, c’est le titulaire de l’autorité parentale ou le tuteur qui prend toutes les décisions relatives à la santé (de l’enfant, du majeur sous tutelle).

Le consentement du patient doit être exprimé à l’oral, de manière claire et manifeste. Son recueil n’est pas soumis au formalisme de l’établissement d’un écrit. Le législateur a cependant établi et rappelé qu’une trace écrite du consentement du patient est nécessaire pour certains actes médicaux. C’est la cas pour l’interruption volontaire de grossesse (L.2212-7 du Code de santé publique), la stérilisation à visée contraceptive (L.2123-1 du Code de santé publique), la recherche impliquant la personne humaine (L.1122-1-1 du Code de santé publique), le prélèvement d’organes produits du corps humain (L.1232-2 du Code de santé publique).

Le consentement aux soins médicaux doit être éclairé et libre. Pour que l’exigence d’éclairement soit remplie, le médecin ou le personnel médical doit fournir au patient toutes les informations loyales, claires et adaptées à son degré de compréhension. Le patient doit être capable de comprendre les modalités et les conséquences des soins médicaux qu’on veut lui procurer. Cette compréhension lui permet d’accepter ou de refuser, tout en étant libre de toute pression ou contrainte. Le consentement éclairé et libre implique que le patient a connaissance des alternatives thérapeutiques envisageables pour le traitement de son problème de santé, avec leurs avantages et leurs inconvénients.

Comment les cabinets ou établissements médicaux peuvent-ils mieux protéger leurs données ?

La législation française est très riche en ce qui concerne la cybercriminalité. Elle est prise en compte dans le droit français depuis la Loi Informatique et Libertés de 1978, qui réglemente la liberté de ficher les personnes humaines. L’encadrement juridique des pratiques numériques prévoit des peines allant jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende pour les cyberattaques. La surveillance d’Internet est un volet essentiel à la lutte contre ces attaques informatiques. La Loi Renseignement de 2015 permet de renforcer “les moyens d’action des services de renseignement dans la sphère numérique”.  Après les attentats de Paris en 2015, le gouvernement a lancé l’opération Stop Djihadisme “afin de contrecarrer les campagnes de propagande jihadiste sur les réseaux sociaux.” Il existe par ailleurs des doctrines de lutte informatique offensive (LIO) et de lutte informatique défensive (LID). Il s’agit du volet offensif de la doctrine cyber militaire française, qui a été officialisé le 18 janvier 2018 par la ministre des armées. 

Pour sécuriser les données personnelles de leurs clients et lutter contre les cyberattaques, le RGPD donne aux entreprises diverses opérations qu’elles devront appliquer. Il conseille d’appliquer des “méthodes de chiffrement des données et des connexions” (conservation et transferts) et des “mesures d’authentification plus fortes” (utilisation de carte à puce, signature électronique…). Doivent être mises en place des mesures permettant d’accéder facilement aux données stockées en cas d’incident physique ou technique. Le RGPD impose également des procédures permettant d’évaluer la performance des mesures techniques et organisationnelles de sécurisation des traitements.

Mais cette législation peut présenter des failles dans son fonctionnement. Les cabinets et établissements médicaux peuvent avoir des difficultés à exécuter les opérations du RGPD, car peu de structures possèdent une vision globale de leur système informatique. Sans cette vision, il risque d’être difficile de mettre en place une politique de cyberdéfense efficace. “Il faut d’abord faire la cartographie détaillée des supports internes et externes de stockage des données.” Mais cette démarche n’est pas simple considérant que certains logiciels ne sont plus forcément sous la gestion du service informatique même de ces structures. Le phénomène du “Bring Your Own Device”, et l’utilisation d’objets connectés personnels au travail (tablettes, smartphones) ne facilitent pas non plus cette démarche. Toutes les applications qui sont mises en place par les employés, et à l’insu du responsable informatique, devront être recensées.

Quelles sont les différences de protocoles entre les laboratoires américains et les laboratoires français ? Cela a-t-il des conséquences sur la sécurité des données ?

Les protocoles de santé sont très longs en France. Cela crée une insécurité juridique. A l’inverse, les protocoles américains sont plus courts. Faire plus court et plus simple c’est aussi garantir la sécurité des données.

Données de santé et RGPD : l’accompagnement de Legal Brain Avocats 

Legal Brain Avocats, votre avocat RGPD vous accompagne à toutes les étapes : 

• établir le registre de vos traitements effectués, 
• sécuriser et négocier les différents contrats pour être en conformité sur la réglementation,
• former votre personnel au traitement et à la protection des informations, 
• sécuriser la collecte, l’analyse et le stockage de données sensibles (par ex. biométriques)
• encadrer le transfert de vos données dans/hors l’Union européenne ;
• vous représenter lors de contrôles auprès de la Commission nationale de l’informatique et des libertés (CNIL) 

Pour en savoir plus ou pour obtenir un devis, nous vous invitons à nous contacter.

Le 14 mars 2022, les eurodéputés ont étudié la proposition de règlement MiCA (Market in Crypto Assets) qui devrait encadrer les activités sur actifs numériques ouvrant la voie à une entrée en vigueur du texte d’ici 2024. Le Règlement se présente comme « propice à l’innovation » et ne vise pas à « entraver l’utilisation de nouvelles technologies ».

Alors que la version de la commission européenne de la proposition de règlement MiCA était très allusive sur les NFT, la version modifiée par le Parlement européen explicite cette notion pour exclure du champ du règlement les usages les moins problématique des NFT du champ d’application du futur règlement. 

Quel est l’esprit du règlement MiCA ?

La proposition de règlement MiCA du Parlement Européen et du Conseil sur les marchés de crypto-actifs (modifiant la directive (UE) 2019/1937) s’intéresse principalement aux conditions d’émission des jetons numériques et encadre le statut des prestataires européens de services sur actif numériques.

Par l’instauration d’un cadre juridique, les députés européens prônent la transparence, la communication et l’autorisation des transactions. Plus concrètement, la régulation entend atteindre un difficile équilibre entre confiance des consommateurs, des souscripteurs et développement des services numériques dans l’espace européenne.

En grande partie inspirée de la loi Pacte française, la proposition de règlement MiCA vise principalement à renforcer la protection des usagers et affirmer une volonté d’encadrer les marchés. Le texte présente au demeurant des insuffisances en termes de fiscalité notamment et plusieurs approximations et incohérences quant à son champ d’application matériel, notamment à l’égard des NFT.

In fine, l’Union européenne n’a pas pour volonté de réglementer les actifs numériques en tant que tel. Elle tend plutôt à encadrer les acteurs et activités relatives à ces actifs.

Que prévoit concrètement le projet de règlement MiCA ?

La proposition entend encadrer plus précisément :

• Les offres au public de jetons : ainsi, les émetteurs devraient se conformer à diverses obligations. Ils auraient l’obligation de publier un livre blanc (sauf exception). Ce livre blanc est un document recueillant les informations concernant un projet. Cette livre blanc, issu des usages du secteur est déjà une obligation actuellement en droit français dès lors que le visa de l’AMF est sollicité.

• Les prestataires européens de services sur actifs numériques : la fourniture de services sur actifs numérique au sein de l’espace économique européen nécessiterait d’obtenir l’autorisation de l’autorité compétent.
• Les émissions de jetons : ainsi, les jetons visés par le texte sont les jetons utilitaires (utility tokens), les jetons de monnaie électronique (supervisés par l’Autorité bancaire européenne) et les jetons se référant à un actif (sont visés ici notamment les stablecoins).

Par ailleurs, ladite proposition a fait couler beaucoup d’encre quant à son interdiction initiale d’émission de crypto-actifs reposant sur des protocoles de preuves de travail (PoW), comme Bitcoin ou Ethereum et ce, en raison de considérations essentiellement climatiques. L’amendement visant à interdire ce procédé de minage a finalement été repoussé, au grand soulagement des défenseurs de cette industrie émergente.

Qu’en est-il des NFTs ?

La proposition de règlement MiCA excluait les NFTs dès lors que ces derniers :

• ne disposaient pas de propriétés propres aux instruments financiers ;
• ne pouvaient servir de moyen de paiement ;
• n’agissaient pas comme des jetons utilitaires donnant accès à des produits ou services.

Néanmoins, les NFTs uniques et qui ne peuvent être fractionnés ou acceptés comme moyen de paiement, comme de simples points de fidélité, qui représentent des droits de propriété intellectuelle, des certificats d’authenticité d’un bien physique, étaient simplement exclus du champ du règlement sans davantage de précisons. Au demeurant, la seule attribution d’un identifiant unique ou leur désignation, description ou appellation en NFT ne suffit pas in fine à les exclure totalement du champ d’application du texte.

En outre, à la lecture des modifications opérées et donc de la nouvelle version amendée par le Parlement, les considérants 8 (a) et (c) présentent des développements importants pour l’avenir des NFTs non assimilables aux instruments financiers. Il y est notamment laissé entrevoir une future réglementation spécifique pour ces derniers sous l’égide de la Commission européenne, qui prendrait en compte les spécificités et besoins du secteur culturel et du divertissement.

MiCA : une nouvelle ère pour la zone euro ?

La dernière version de la proposition de règlement européen MiCA revient également sur la limitation de la faculté d’émission de jeton aux personnes morales en l’élargissant aux personnes physiques, un point particulièrement important pour les artistes et une évolution souhaitée notamment par le Groupe de travail « NFTs et marché de l’art » de l’Institut Art & Droit Sous-groupe « Règlementation des NFTs d’œuvres d’art ».

Malgré des améliorations notables, la proposition de règlement MiCA ne fait pas l’unanimité et le futur de ce texte reste incertain dans un contexte international concurrentiel où les monnaies numériques de banques centrales (MNBC) commencent à émerger, à l’image du e-yuan. Cette schizophrénie ressort de textes qui tentent de concilier des enjeux divergents à la lumière de l’ensemble des autres dispositifs législatifs en cours d’élaboration.

En parallèle se déroule d’autres négociations au niveau européen, dans le cadre du paquet législatif relatif à la lutte anti-blanchiment, adopté par la Commission européenne le 20 juillet 2021, ces mesures sont destinées à saper l’anonymat des transactions en cryptomonnaies afin de pouvoir mieux lutter contre les pratiques illégales. Celui-ci inclut une proposition visant les transferts de cryptomonnaies, intégrée dans la révision du règlement sur les informations accompagnant les transferts de fonds. Cette proposition consisterait à imposer aux fournisseurs de services de paiement des obligations d’informations sur l’émetteur et le bénéficiaire des transferts en cryptomonnaies.

Ce nouveau régime juridique devrait néanmoins renforcer la confiance des consommateurs dans les cryptoactifs. La mise en œuvre du Règlement se fera très certainement de manière progressive afin d’éviter toute interruption brutale des activités de la part des acteurs européens. 

Cet article a été préparé par Marion Deleporte (stagiaire Legal Brain promotion 2022) et Matthieu Quiniou (associé fondateur).

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Pourquoi le rescrit fiscal JEI est-il important pour les jeunes entreprises ?

La demande de rescrit jeune entreprise innovante (rescrit JEI) permettra de bénéficier d’exonération fiscale de manière sécurisée. Le rescrit permet en effet de poser une question d’ordre fiscal à l’administration afin qu’elle donne une réponse personnalisée en fonction de votre situation. Cette réponse engage l’administration vis-à-vis de votre société. 

Ainsi, en tant que jeune entreprise innovante, vous pouvez demander à l’administration fiscale si vous pouvez bénéficier de certaines exonérations fiscales. Si sa réponse est positive, il sera impossible pour elle de remettre en cause votre situation fiscale.

Une réponse positive à une demande de rescrit fiscal JEI est un atout en or pour toutes les jeunes entreprises. Grâce à elle, vous serez vu auprès des acteurs du marché comme une entreprise solide et crédible en matière d’innovation. Les aides financières seront également plus faciles à obtenir.

Pourquoi faire appel à un avocat pour le rescrit JEI ?

Les conditions pour obtenir ces avantages sont nombreuses et il est plus prudent de faire  appel à un avocat afin de faire une demande de rescrit.

Afin de monter au mieux votre dossier, il est nécessaire de faire appel à un avocat au regard des nombreuses conditions et spécificités de la demande de rescrit fiscal. Legal Brain Avocats vous aide d’une part à déterminer votre éligibilité et d’autre part à monter intégralement votre dossier de la manière la plus optimale qui soit. 

L’administration fiscale peut ne pas répondre positivement tout de suite. En effet, elle peut d’abord poser des questions spécifiques sur votre situation personnelle. Legal Brain Avocat vous aide également à répondre aux questions de l’administration fiscale.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Qu’est-ce que le rescrit fiscal ?

C’est une prise de position formelle de l’administration fiscale sur la situation de fait du contribuable qui en fait la demande au regard d’un texte fiscal. La réponse donnée par l’administration l’engage auprès du contribuable, si bien qu’une relation quasi contractuelle naît entre le contribuable et l’administration.

Quels sont les avantages du rescrit fiscal ?

Il faut savoir qu’il existe deux types de rescrits fiscaux :

• Le rescrit fiscal général
• Le rescrit fiscal spécial

Concernant le rescrit fiscal général, il correspond à la définition donnée ci-dessus. L’avantage est donc d’être assuré d’avoir des informations fiables concernant votre situation fiscale car, comme il a déjà été dit, l’administration s’engage dans la réponse donnée. Ainsi, l’administration ne pourra pas réhausser votre taux d’imposition après avoir fourni une réponse contraire. De plus, le rescrit fiscal démontre une certaine bonne foi de votre part à l’administration.

En bref, le rescrit fiscal général vous assure une sécurité juridique indéniable vis-à-vis de l’administration.

Concernant les rescrits fiscaux spéciaux, il en existe plusieurs types aux avantages différents. On peut citer par exemple le rescrit “entreprise nouvelle” afin de savoir si votre situation permet de bénéficier d’un allègement d’impôt prévu pour les nouvelles entreprises. Autre exemple, le rescrit “crédit d’impôt recherche” consiste pour un organisme à demander à l’administration fiscale si un projet de dépenses de recherches est éligible au bénéfice de ce crédit d’impôt.

D’autres procédures de rescrit visent par ailleurs à faire valider par l’administration des opérations effectuées par un organisme afin de sécuriser ses projets. C’est le cas par exemple du rescrit “clause anti-abus”.

Legal Brain Avocats propose de rédiger et transmettre votre rescrit fiscal à l’administration. Si vous souhaitez connaître tous les rescrits fiscaux possibles, contactez-nous.

Comment faire une demande de rescrit fiscal ?

Compte tenu des nombreuses procédures spéciales existantes, la demande de rescrit devrait fortement être menée par un avocat. Toutefois, il est toujours possible que le contribuable fasse cette démarche seul, au risque de voir la procédure rallongée à cause des échanges de réponses entre lui et l’administration.

Le code de procédure fiscale dispose que la demande doit absolument comporter le nom ou la raison sociale et l’adresse de l’auteur, ainsi que les dispositions (les articles de lois) que celui-ci compte appliquer. Ensuite, la demande doit être précise, complète et sincère. 

Cette demande doit être envoyée par tout moyen permettant de prouver sa réception. Ainsi, la lettre recommandée avec accusé de réception est le meilleur moyen pour l’envoi de la demande.

D’autres informations peuvent être demandées selon le type de rescrit sollicité.

Quels sont les délais à prendre en compte ?

La demande de rescrit fiscal doit se faire dans un certain délai. Elle doit absolument être faite avant le terme du délai laissé pour faire les démarches fiscales c’est-à-dire avant la fin du délai pour faire une déclaration ou avant la fin du délai pour payer un impôt.

A partir de la réception de la demande, l’administration aura un délai de 3 mois pour répondre. Si la demande est incomplète, le délai court à compter de la réception des informations complémentaires demandées.

Si vous n’êtes pas d’accord avec la réponse donnée par l’administration, vous pouvez demander un réexamen de votre demande dans un délai de 2 mois à compter de la réception de la réponse. La seconde demande doit être faite dans les mêmes conditions de fond et de forme que la première.

Les associations peuvent-elles faire une demande de rescrit fiscal ?

En effet, tout contribuable peut faire une demande de rescrit fiscal. La demande de rescrit faite par une association s’appelle le rescrit “mécénat”. Il permet à une association d’interroger l’administration fiscale sur son éligibilité au mécénat, c’est-à-dire sur son habilitation à recevoir des dons manuels non soumis aux droits d’enregistrement et à délivrer des reçus fiscaux.

En revanche, il est intéressant de noter que la Direction Générale des Finances Publiques, pour donner une réponse à un rescrit “mécénat”, prend en compte le message véhiculé par l’association concomitamment  à l’activité qu’elle déploie. Pour cela, la DGFIP se base sur une note qui classe les associations en trois catégories : celles qui véhiculent un message politique, celles qui ont pour objet de modifier la législation en vigueur sur des sujets précis et celles qui sont qualifiables de “religieuses ou sectaires”.

L’administration donnera une réponse différente en fonction de ces trois catégories d’associations.

Jeune entreprise innovante : pourquoi faire une demande de rescrit JEI ?

Le gouvernement a mis en place une exonération fiscale pour toutes les entreprises qui investiraient dans la recherche et le développement. Ces entreprises sont appelées les jeunes entreprises innovantes (ou JEI). Pour bénéficier de cette exonération fiscale, il n’est pas nécessaire de faire un rescrit, celui-ci étant uniquement utile pour connaître l’avis de l’administration fiscale sur votre situation personnelle.

Pour bénéficier de cette exonération fiscale, il faut :

• être une PME : avoir moins de 250 employés et avoir un chiffre d’affaire inférieur à 50 millions d’euros
• avoir moins de 8 ans d’existence
• Avoir un volume minimal de dépense dans la recherche
• Être indépendante
• Être réellement nouvelle : dans le sens où elle ne doit pas être issue d’une restructuration ou d’une extension d’activité préexistante ou d’une reprise d’une telle activité.

Néanmoins, le rescrit fiscal JEI peut s’avérer très utile pour ce genre d’entreprise car il prévoit de nombreux bénéfices.

Tout d’abord, tout comme les autres rescrits fiscaux, il permet de sécuriser votre entreprise en ce que la réponse donnée par l’administration fiscale l’engage vis-à-vis de vous. Si la réponse est positive, ni l’URSSAF ni la  DGFIP ne pourra remettre en cause votre éligibilité.

De plus, le statut JEI est lié au “crédit d’impôt recherche” car tous deux répondent aux mêmes conditions. Ainsi, un rescrit fiscal JEI vous permet de vous assurer également de votre éligibilité au crédit d’impôt recherche.

Enfin, avoir un rescrit validé par la DGFIP vous permet d’avoir une crédibilité auprès de différents acteurs importants, notamment de la banque publique d’investissement (BIP). Même si avoir un rescrit validé n’est pas un critère pour obtenir une aide de la BPI, cela joue un rôle important dans l’obtention d’une aide. 

En revanche, il faudra veiller à vérifier chaque année que votre situation n’a pas évolué au point de ne plus être éligible à cette exonération fiscale.

Quand demander un rescrit fiscal ?

Dès lors qu’il existe un doute sur votre éligibilité à une exonération fiscale ou à un dispositif fiscal de défiscalisation par exemple, il est très fortement recommandé de demander un rescrit fiscal afin d’éviter un contrôle fiscal peu rassurant.

Comme dit au-dessus, la demande de rescrit fiscal doit absolument être faite avant le terme du délai laissé pour faire les démarches fiscales c’est-à-dire avant la fin du délai pour faire une déclaration ou avant la fin du délai pour payer un impôt.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Nom de domaine : de quoi parle-t-on ? 

Le nom de domaine correspond à une dénomination électronique unique d’un organisme, permettant de l’identifier sur Internet. Il a donc un double rôle : il est à la fois un signe de ralliement de la clientèle et un instrument de la localisation de l’activité commerciale d’une entreprise. Les noms de domaines disposent soit d’un suffixe ou extension générique (.com, .org etc), soit d’un suffixe géographique (.fr, .eu).

Comment réserver un nom de domaine ?

Réserver un nom de domaine, n’est pas aussi difficile et long qu’on pourrait le penser.  Le principe étant « premier arrivé, premier servi ». C’est en effet, celui qui a déclaré en premier réserver la dénomination d’un nom de domaine qui en sera le titulaire légitime et pourra alors empêcher son acquisition par un autre, quel que soit le secteur d’activité et sous réserve que le nom ne porte pas atteinte à des droits antérieurs des tiers. 

Pour se faire, il suffit simplement de se tourner vers des bureaux d’enregistrement ou « Registrars », qui sont des sociétés prestataires de services tels que des fournisseurs d’accès à internet, des hébergeurs etc. Ces bureaux d’enregistrements doivent être accrédités par les organismes pour la création des noms de domaine sous les extensions qu’elle gère. 

Selon les suffixes, l’organisme chargé de l’enregistrement et de la protection des noms de domaines n’est pas le même : 

• En France, l’organisme compétent pour les extensions en « .fr » est l’AFNIC (Association française pour le nommage internet),
• Au niveau européen, pour les extensions en «.eu », c’est l’EURid (European Registry for Internet Domains) qui est compétent 
• Au niveau international, pour les extensions en « .com », « .net », « .org » etc, c’est l’ICANN (Internet corporation for assigned names and numbers) qui est l’organisme compétent. 

La plupart des bureaux d’enregistrement accrédités par l’AFNIC, dont WHOIS, propose un formulaire en ligne qui permet de fournir les informations nécessaires à la prise en charge d’une demande de réservation du nom de domaine que vous. 

Quelles sont les conditions de validité d’un nom de domaine ?

Le choix du nom de domaine est libre tant qu’il respecte la protection des noms de domaine. Par exemple, pour qu’il soit valable, certains termes prévus dans la charte de nommage et les lois françaises doivent êtres respectés tels que : 

• Le nom de domaine choisi doit être conforme à l’ordre public, aux bonnes mœurs,
• Il doit être disponible, c’est-à-dire ne pas déjà l’objet d’un enregistrement auprès de l’Afnic,
• Il ne doit pas utiliser de termes susceptibles de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, sauf si l’entreprise justifie d’un intérêt légitime et agit de bonne foi,
• Il doit respecter les contraintes syntaxiques
• L’enregistrement d’un nom de domaine ne peut se faire si le nom est interdit ou réservé 

A défaut, l’Afnic peut être amenée à en refuser l’enregistrement, par l’intermédiaire du bureau d’enregistrement sollicité pour la demande. 

Pourquoi protéger son nom de domaine ?

La protection des noms de domaine est essentielle pour tout organisme disposant d’un site internet, puisque le nom de domaine est un élément clé de leur identité en ligne et un moyen de communiquer avec le monde sur leur activité. Il est alors indispensable de le protéger contre les nombreux risques sur le net. 

Parmi les dangers présents sur Internet, on peut retrouver : 

• Le cybersquatting ou vol de nom de domaine qui est une pratique consistant à l’enregistrement d’un nom de domaine identique ou similaire à une marque, avec l’intention de nuire à un tiers ou d’en tirer profit injustement. 
• Le typosquatting, qui est une forme de cybersquattage consistant à l’enregistrement d’un nom de domaine comportant des fautes de frappe et d’orthographe, pouvant induire l’internaute vers cette adresse erronée. 
• Le slamming, qui est une pratique consistant à inciter les propriétaires de noms de domaine à renouveler leur abonnement dans un autre bureau d’enregistrement en prétextant des fausses factures de renouvellement ou à un chantage à l’enregistrement. 
• La concurrence parasitaire, désigne la pratique par laquelle une entreprise s’immisce dans le sillage d’une autre afin de tirer profit de ses efforts, de son savoir-faire ainsi que de sa notoriété sans rien dépenser.

Comment protéger son nom de domaine ?

La protection des noms de domaine ne passe par la simple réservation. Il est en effet conseillé, pour bénéficier d’une véritable protection juridique, que le nom de domaine s’apparente  à un signe distinctif, pour pouvoir jouir de la protection du droit des marques, par le biais de l’action en contrefaçon. Le nom devra alors respecter les conditions de validité des marques. A défaut, la seule action possible pour le titulaire du nom est celle en concurrence déloyale ou parasitisme sur le fondement de la responsabilité civile délictuelle.

Pourquoi et comment renouveler son nom de domaine ?

Un nom de domaine n’est pas valable à vie, il dispose d’une durée renouvelable allant de un à dix ans, puis expire. Il faut donc penser à le renouveler chaque année pour éviter qu’il ne retombe dans le domaine public. Le propriétaire dispose de 30 jours après sa date d’expiration pour réactiver son domaine et le renouveler. Le renouvellement s’effectue auprès d’un bureau d’enregistrement et selon ses modalités.

Le nom de domaine peut-il être transféré ? 

Oui. Le nom de domaine peut être transféré à condition que la personne soit éligible à l’enregistrement d’un nom de domaine. Ce transfert sera considéré comme un nouvel enregistrement, signifiant alors que le titulaire du nom devra payer un nouvel enregistrement et que le domaine devra être renouvelé exactement un an après la date du transfert. 

Peut-on récupérer un nom de domaine acheté par un tiers et qui porte atteinte à ma marque ? 

Oui, le propriétaire d’une marque peut solliciter la récupération d’un nom de domaine, lorsque le domaine utilisé ne respecte pas trois conditions cumulatives : 

• Le domaine est identique ou similaire à la marque déposée ;
• Son titulaire n’a pas de droits ou d’intérêt légitime dans le dépôt ;
• Le domaine est enregistré et utilisé de mauvaise foi.

Pour renforcer la protection des noms de domaine, lorsque l’usage du nom de domaine par un tiers porte atteinte à la fonction essentielle de la marque, son titulaire peut récupérer le domaine litigieux. C’est le principe affirmé dans un arrêt, rendu le 5 juin 2019, par la chambre commerciale de la Cour de cassation.

Dans cet arrêt, les juges ont fait primer le droit des marques sur l’enregistrement d’un nom de domaine, et ont accordé le transfert du nom de domaine « Saône et loire » appartenant à un bureau de géo référencement au territoire du département propriétaire de la marque « Saône-et-Loire le département ».

La Cour a considéré au vu des faits en l’espèce et aux termes de l’article L 45-2 du code des postes et des communications électroniques,  qu’un éventuel risque de confusion peut se créer dans l’esprit du consommateur de la reprise du signe, que le bureau n’avait aucun intérêt légitime à obtenir l’enregistrement et le renouvellement des noms de domaines litigieux, et, enfin, que l’activité de la société, ne constituait pas forcément des services en rapport avec le territoire du département en cause.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Ce dépôt comprend quelques étapes importantes à savoir :

• Vérifications préalables au dépôt 
• La demande de dépôt de la marque
• L’examen de la demande
• L’enregistrement du dépôt 

Les vérifications préalables au dépôt : 

1. Il faut déterminer les produits et ou services qui seront couverts par le dépôt.  
2. Il faudra par la suite classer et ordonner les produits et ou services choisis en fonction de la classification de Nice.
3. Vérifiez la disponibilité et la distinctivité de sa marque avant de la déposer. 

La demande de dépôt de la marque :

La demande de dépôt de la marque auprès de l’INPI s’effectue via un formulaire en ligne. Il faut être très vigilant pendant cette étape, car toute erreur fera l’objet d’une taxe moyennant 104 euros. 

Le dépôt de votre dossier donne lieu au paiement de redevances dont le coût varie en fonction de l’étendue de la protection.

Par la suite, l’INPI adresse un accusé de réception qui comporte la date et le numéro national de votre dépôt. Votre dépôt sera publié au BOPI (bulletin officiel de la propriété industrielle) dans un délai de 6 semaines.

L’examen de la demande : 

Pour que la demande soit valable, les examinateurs de l’INPI vérifient votre dossier. Ils peuvent émettre des objections ou solliciter des précisions concernant la forme, mais aussi le fond de votre dossier. 

En effet, le projet de dépôt d’une demande d’enregistrement d’une marque doit répondre à quelques conditions importantes pour être valable : le signe choisi doit être distinctif, licite, disponible et ne peut être usuel ou descriptif. Sans cela, l’enregistrement peut se voir annuler. 

Un délai d’opposition de 2 mois s’ouvre à compter de la publication,permettant alors à un tiers de s’opposer à une marque. 

L’enregistrement du dépôt : 

En l’absence d’opposition et si la décision s’avère favorable, votre dépôt sera publié au BOPI sous cinq mois minimum et l’office vous délivre un certificat attestant que votre marque est enregistrée. 

Quels sont les droits du titulaire d’une marque enregistrée ?

Le titulaire d’une marque dispose d’un droit de propriété à l’encontre de sa marque; c’est-à-dire, le droit d’user, de jouir et de disposer d’un bien de la manière la plus totale, qui, par la suite, va lui conférer des prérogatives importantes et lui permettre d’exercer certaines actions (en contrefaçon, revendication ect.)

Après l’enregistrement, quel avenir pour ma marque ? 

Après l’enregistrement de la marque, le titulaire pourra l’utiliser ou la faire exploiter par d’autres en la vendant par exemple. 

Il reste tout de même important de la surveiller. En effet, il est essentiel de rester vigilant afin de prévenir toutes atteintes qui pourraient être faites à votre marque. 

Enfin, à la suite de l’enregistrement de votre marque, vous pourrez la renouveler de nouveau ou solliciter sa protection auprès d’offices et/ou organisations internationales (OMPI, EUIPO, OAPI)

Faut-il se faire assister pour protéger sa marque ? 

Tout dépend de votre expérience. La demande à l’INPI peut s’avérer compliquée notamment lorsque vous n’avez aucune expérience, ni connaissances particulières dans le domaine. Il est alors important de se faire accompagner par des professionnels du droit tout au long du processus afin de sécuriser le dépôt de votre marque et l’avenir de celle-ci. 

Nos équipes sont disponibles pour vous conseiller, vous accompagner pendant le dépôt de la marque INPI, dans la protection des intérêts et effectuer des recherches d’antériorité ou pour répondre à vos questions.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport, protection des données personnelles et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Roblox, un jeu vidéo destiné avant tout aux enfants

Destiné avant tout aux enfants, Roblox est un jeu de type sandbox (“bac à sable” en anglais) lancé en 2006 par David Baszucki. Très populaire auprès des jeunes adolescents depuis plusieurs années (la plateforme compte 67% d’utilisateurs âgés de moins de 16 ans), le but du jeu est de construire un jeu afin qu’il soit visité par les autres joueurs.

Il est également possible de changer l’apparence de son personnage en achetant des vêtements, couvre-chefs ou même des visages grâce à une monnaie virtuelle appelée le Robux. La conception d’un jeu par les développeurs (aussi appelés créateurs) et la vente d’articles pour personnaliser les avatars sont rémunérés. Depuis le début de l’épidémie, le jeu Roblox a donc su faire fleurir un marché économique important au point que plusieurs entreprises sont déjà intéressées par cet univers virtuel.

Roblox, un modèle économique innovant

Le système imaginé par Roblox est basé sur une logique simple : capter de jeunes joueurs ayant tendance à plus facilement dépenser de l’argent sur le jeu afin de donner envie aux développeurs adultes de créer plus de jeux (sur le jeu). Pour faire simple, les plus jeunes financent les créations des plus âgés qui sont déterminés à les vendre. Roblox est donc bien plus qu’un simple jeu vidéo à la Minecraft (pourtant tous deux très similaires dans leur apparence cubique), c’est une véritable plateforme proposant des millions de jeux. Rien d’étonnant donc que la capitalisation boursière de l’entreprise Roblox Corporation soit égale à 43,02 milliards de dollars.

Afin d’alimenter ce système prolifique, Roblox compte sur la mise en avant des créateurs les plus populaires du jeu. Cette stratégie permet de faire émerger de véritables blockbusters du jeu vidéo qui retiendront l’attention du plus grand nombre (et des plus jeunes). C’est le cas par exemple du studio Uplift Games ayant créé le jeu Roblox “Adopt Me” qui a compté à lui seul plus de 25 milliards de visites au total. Il s’agit d’un mini monde virtuel dans le jeu où les joueurs ont la possibilité de s’occuper d’animaux de compagnie, de construire leur propre maison et d’améliorer l’apparence de leur avatar.

Ce jeu est, certes le plus populaire de Roblox, mais aussi le plus lucratif. En effet, l’évolution dans ce monde virtuel incite grandement à l’achat de Robux permettant d’acquérir un certain nombre d’outils et d’articles personnalisés. Avec 5,9 milliards de visite en moyenne par an, le jeu aurait déjà rapporté plus de 20 millions de dollars à ses deux créateurs. Quant à Roblox Corporation, le jeu de Uplift Games lui a rapporté quatre fois cette somme grâce à la vente de Robux aux joueurs.

L’univers enfantin du jeu Roblox a su séduire de nombreux enfants à travers le monde, poussant parfois certains à dépenser d’importantes sommes dans cet univers virtuel. Les entreprises l’ont bien compris et certaines d’entre elles s’y installent déjà.

Roblox, un espace d’expérimentations pour les entreprises

Alors que Mark Zuckerberg annonçait en octobre 2021 le changement de nom de Facebook en “Meta” afin de se consacrer entièrement à la création d’un métavers, Roblox compte suivre la même direction. En effet, l’objectif de Mark Zuckerberg est de proposer des rencontres entre amis dans un univers virtuel. Les utilisateurs pourraient alors jouer ensemble à des jeux, faire du shopping ou même aller voir un concert grâce à la réalité virtuelle.

Mais l’autre objectif est de créer un réseau social beaucoup plus immersif dans lequel les utilisateurs pourraient acheter des articles auprès d’entreprises déjà connues (ou non) pour personnaliser leur avatar, leur maison ou autres. Ce second objectif a pour effet d’attirer un certain nombre d’entreprises.

Nike fait partie de ces entreprises. Lancé en novembre 2021, NikeLand est un monde virtuel à l’effigie de la marque où chacun peut participer à des mini-jeux ou acheter des articles Nike. Le monde créé par la marque de sport est inspiré directement de son siège social avec, autour de celui-ci, de multiples terrains de sports (football, basket etc.).

NikeLand est donc un bon moyen pour Nike de toucher de nouveaux clients dans un monde virtuel pour mieux les retrouver dans le monde réel. Nike pourrait également utiliser NikeLand pour tester de nouveaux produits et évaluer les intérêts des consommateurs, mais aussi de permettre aux enfants de co-créer des articles. On peut imaginer qu’une collection conçue en ligne soit finalement vendue dans le monde physique.

Nike n’est pas le seul à avoir eu l’idée de créer son propre univers virtuel dans Roblox. Dans un jeu où la personnalisation des avatars est importante, il était évident que l’industrie du textile s’y implante. En 2021, Vans, Gucci ou encore Ralph Lauren ont eu l’idée de proposer aux utilisateurs d’habiller leurs avatars à l’image de leur marque.

2022 promet donc d’être sous le thème des métavers. Mais alors, le droit ne devrait-il pas réfléchir dès maintenant à une régulation de ces plateformes ?

Le cadre juridique de Roblox face au développement des métavers

C’est inévitable, le droit est déjà bouleversé par l’arrivée des métavers. En prenant l’exemple de Roblox, on voit que de nombreuses branches du droit sont impactées par cet univers virtuel notamment le droit de la consommation (avec l’achat d’articles personnalisés au sein du métavers), le droit pénal (infractions virtuelles et les modes de preuves), le droit civil ( avec la réparation de préjudice commis dans cet univers), le droit du travail (les développeurs/joueurs sont-ils des salariés et comment vont-ils contribuer aux contributions sociales du monde réel ?) ou plus généralement le droit des affaires (avec par exemple le droit des marques créées).

Au regard de la transformation d’un simple jeu vidéo enfantin en véritable métavers, la proportion importante de mineurs au sein de Roblox pose aussi des questions nouvelles (25% des utilisateurs ont moins de 9 ans !). Dans “un jeu” où l’argent est au centre de nombreuses activités, il peut-être nécessaire de réguler l’accès à ce monde virtuel en proposant un âge minimum (comme le prévoit déjà le RGPD pour les réseaux sociaux). Il est même possible depuis quelques mois d’enchérir sur des œuvres d’art directement dans Roblox ! Pas sûr que ce genre d’activités soient appropriées pour des enfants. A voir à l’avenir comment les législations nationales et supra-nationales sauront s’adapter au développement des métavers.

Le droit ne reste pas inactif face à ces évolutions. L’Europe a en effet proposé récemment deux règlements européens visant à réguler ce type de plateforme : le Digital Market Act (DMA) et le Digital Service Act (DSA). Ces textes pourraient très bien s’appliquer à Roblox. Aujourd’hui, le DSA vise toutes les plateformes numériques alors que le DMA vise uniquement les “géants du web” appelés “gatekeepers” dans le texte. Ces gatekeepers sont caractérisés par leur taille, leur nombre important d’utilisateurs réguliers, leur chiffre d’affaires et leur place importante dans le marché. Autant dire que Roblox est plus que concerné par ce futur règlement.

Si cet article vous a été utile, nous espérons que vous le partagerez ou que vous l’intégrerez à une de vos publications en nous citant grâce à un hyperlien. 

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport, protection des données personnelles et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr.