Récemment le Forum International Entreprise Cybersécurité 2022 et la 8ème édition des Rencontres Cybersécurité d’Occitanie ont réuni des entreprises et des collectivités pour évoquer les enjeux futurs en matière de cybersécurité. De ces rencontres a émergé un constat sans appel : “dans les prochaines années il n’y aura pas d’entreprise pérenne sans cybersécurité !”

C’est la raison pour laquelle il est aujourd’hui essentiel que les entreprises n’envisagent plus la cybersécurité comme une menace hypothétique mais comme un risque réel qu’il faut prévenir. Pour renforcer efficacement la cybersécurité des entreprises, trois thématiques ressortent : l’ingénierie sociale, les attaques techniques, la résilience. 

L’ingénierie sociale : le danger se trouve entre la chaise et le clavier

En matière d’entreprise cybersécurité, il a été observé que la faille la plus récurrente vient de l’humain. Qui n’a jamais reçu un e-mail ou un sms d’un ami vous invitant à cliquer sur un lien suspect pour consulter une photo de vous, lien cachant en réalité un piratage par hameçonnage (phishing) afin de récupérer vos données personnelles (mot de passe, identifiant, adresse IP…).

Plus communément appelé piratage psychologique ou social hacking, l’ingénierie sociale consiste à manipuler l’humain pour réaliser une escroquerie. Dans le milieu professionnel, l’ingénierie sociale est particulièrement élaborée et cible le plus souvent les services comptables ou les services administratifs en demandant un accès informatique, des informations personnelles ou en envoyant des fausses factures sous l’e-mail d’un client, d’un sous-traitant ou d’un employé. La personne ciblée va alors par abus de confiance, permettre  au pirate informatique d’infiltrer le système de l’entreprise ou de dérober une somme d’argent sans que la DSI ne soit informée.

La pandémie et l’augmentation du télétravail a également servi de tremplin pour les cyberattaques par ingénierie sociale, lorsque le salarié est connecté sur son wifi personnel avec la DSI qui ne peut intervenir rapidement sur le poste de travail, la moindre erreur humaine peut avoir des conséquences dévastatrice pour la sécurité informatique de l’entreprise.

Pour lutter contre ce type d’attaque, il est essentiel pour les entreprises de former leurs équipes à la cybersécurité en mettant particulièrement l’accent sur les corps de métier les plus ciblés par ce type d’attaques. Il est également possible de tester ses équipes avec un test d’intrusion (pentest) réalisé par des entreprises spécialisées chargées de simuler une attaque phishing. 

Les attaques techniques : conserver la compétence sur ses données en entreprise

Au-delà de l’aspect humain, il convient également de sécuriser les systèmes informatiques du point de vue technique. Il existe aujourd’hui un florilège de types de cyberattaques comme les attaques par déni de service (Dos), l’installation de malwares ou encore les rançongiciels (ransomware). Et pour les prévenir, il est essentiel d’avoir des personnes habilitées à y faire face, si possible en interne (RSSI, responsable SOC, responsable CSIRT, etc…) et un plan de crise bien huilé.

Bien sûr, la prévention technique à un coût considérable pour les petites et moyennes entreprises c’est pourquoi il est recommandé aux chefs d’entreprises d’estimer la valeur de leurs  possessions et de leur attribuer un niveau de protection adapté. Puis, d’analyser les risques et enfin de veiller à limiter la portée de l’attaque.

Toutes ces contraintes mènent certaines entreprises à externaliser leur cybersécurité afin de réduire les coûts, mais il ne faut pas oublier qu’externaliser sa cybersécurité c’est transmettre des données sensibles à un tiers en lui donnant accès à des fonctions vitales pour l’entreprise. Ainsi il est essentiel de veiller à coopérer avec des partenaires de confiance et de prévoir une bonne gestion des contrats d’externalisation. En cas de fuite de données ou de cyberattaque, c’est ce contrat qui pourra protéger l’entreprise contre la mise en cause de sa responsabilité. 

Autre point sensible, l’externalisation des infrastructures dans le cloud. Avec l’explosion du télétravail, de plus en plus d’entreprises utilisent des services d’hébergement de données “hors site”, afin de permettre aux salariés d’accéder à leur espace de travail dématérialisé depuis chez eux. Les données de l’entreprise sont alors transférées vers des datacenter qui sont également en proie aux cyberattaques. Afin de translater efficacement les mesures de cybersécurité de l’entreprise, il est nécessaire de privilégier les hébergeurs dont la société mère est basée en Europe et qui sont donc soumis au Règlement Général sur la Protection des Données (RGPD).  

Entreprise cybersécurité et résilience : Que faire lorsqu’il est déjà trop tard ?

Il n’est jamais possible d’anticiper toutes les failles de sécurité informatique et tôt ou tard une entreprise fera probablement l’objet d’une fuite de données. Cependant il est possible de réduire considérablement les dégâts d’une attaque en ayant correctement anticipé la gestion de la cellule de crise. 

Afin de réagir efficacement le jour où une cyberattaque surviendra, il est nécessaire de mettre en place une procédure de gestion de crise visant à coordonner des équipes variées dont les périmètres d’action peuvent être d’ordre technique ou stratégique. Dans ce type de procédure, il est nécessaire de mettre l’accent sur la communication, non seulement en interne mais également en externe avec les clients, les partenaires et les autorités. Une attaque cyber mènera nécessairement à une rupture de service et il n’est pas bénéfique de tenter de dissimuler un tel évènement. Au contraire, rassurer et informer régulièrement ses partenaires est la clé d’une reprise d’activité sans perte de confiance. 

En interne, la gestion de crise peut être un évènement déroutant voire traumatisant pour les salariés. Une cyberattaque peut amener les salariés à se demander combien de temps l’activité sera interrompue, si cela va impacter leur travail ou encore s’ il y a un risque pour leur emploi dans le cas où la crise ne serait pas résolue. C’est pourquoi gérer l’humain est au cœur de la gestion de crise, il faut prendre en compte la charge mentale que cela implique sur les équipes lors de crises qui durent plusieurs jours voire plusieurs semaines. Certaines entreprises prévoient dans leur protocole de crise des taxis pour les salariés qui doivent rentrer tard ou arriver tôt le matin ou encore des bonbons à disposition dans la cellule de crise.

Enfin, pour renforcer la résilience d’une entreprise, l’Anssi recommande la mise en place d’une simulation de cyberattaque avec toutes les équipes concernées. Un tel exercice permet de sensibiliser en interne mais aussi de rassurer son écosystème sur les capacités de l’entreprise à éprouver de telles crises. 

Pour finir, comme l’a souligné Jean Paul Laborde, ancien secrétaire adjoint aux nations unies : “Sur le plan judiciaire il est essentiel que les auteurs de telles attaques soient condamnés”. La cybercriminalité est aujourd’hui la forme de crime organisé la moins réprimée du fait de la difficulté d’identifier les auteurs. Ainsi, lors d’une cyberattaque, il est essentiel sur le plan juridique de récolter un maximum de données permettant d’identifier les auteurs et de faire la liaison avec la gendarmerie et le procureur de la République. Sans responsabilité les attaques cyber continueront à se multiplier. 

Par Anna PLOIX, juriste

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, entreprise cybersécurité avocat et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Choisir avec soin ses mots de passe

Le mot de passe est un outil d’authentification utilisé notamment pour accéder à un équipement numérique et à ses données.

Pour bien protéger vos informations :

• Choisissez des mots de passe composés si possible de 12 caractères de type différent (majuscules, minuscules, chiffres, caractères spéciaux) n’ayant aucun lien avec vous (nom, date de naissance…) et ne figurant pas dans le dictionnaire.
• Déterminez des règles de choix et de dimensionnement (longueur) des mots de passe et faites les respecter ;
• Modifiez toujours les éléments d’authentification (identifiants, mots de passe) définis par défaut sur les équipements (imprimantes, serveurs, box…) ;
• Rappelez aux collaborateurs de ne pas conserver les mots de passe dans des fichiers ou sur des post-it ;
• Sensibilisez les collaborateurs au fait qu’ils ne doivent pas préenregistrer leurs mots de passe dans les navigateurs, notamment lors de l’utilisation ou la connexion à un ordinateur public ou partagé (salons, déplacements…).

Deux méthodes simples peuvent vous aider à définir vos mots de passe :

• La méthode phonétique : « J’ai acheté 5 CDs pour cent euros cet après-midi » : ght5CDs%E7am ;
• La méthode des premières lettres : « Allons enfants de la patrie, le jour de gloire est arrivé » : aE2lP,lJ2Géa!

Mettre à jour régulièrement ses logiciels

Il convient de mettre en place certaines règles :

• définissez et faites appliquer une politique de mises à jour régulières : » S’il existe un service informatique au sein de l’entreprise, il est chargé de la mise à jour du système d’exploitation et des logiciels ; » S’il n’en existe pas, il appartient aux utilisateurs de faire cette démarche, sous l’autorité du chef d’entreprise.
• configurez vos logiciels pour que les mises à jour de sécurité s’installent automatiquement chaque fois que cela est possible. Sinon, téléchargez les correctifs de sécurité disponibles ;
• utilisez exclusivement les sites Internet officiels des éditeurs.

Bien connaître ses utilisateurs et ses prestataires

On distingue généralement les droits dits « d’utilisateur » et les droits dits « d’administrateur » :

• Dans l’utilisation quotidienne de votre ordinateur (naviguer sur Internet, lire ses courriels, utiliser des logiciels de bureautique, de jeu,…), prenez un compte utilisateur. Il répondra parfaitement à vos besoins.
• Le compte administrateur n’est à utiliser que pour intervenir sur le fonctionnement global de l’ordinateur (gérer des comptes utilisateurs, modifier la politique de sécurité, installer ou mettre à jour des logiciels,…).

Le compte administrateur permet d’effectuer d’importantes modifications sur votre ordinateur :

• réservez l’utilisation au service informatique, si celui-ci existe ;
• dans le cas contraire, protégez-en l’accès, n’ouvrez pour les employés que des comptes utilisateur, n’utilisez pas le compte administrateur pour de la navigation sur Internet ;
• identifiez précisément les différents utilisateurs du système et les privilèges qui leur sont accordés. Tous ne peuvent pas bénéficier de droits d’administrateur ;
• supprimez les comptes anonymes et génériques (stagiaire, contact, presse, etc.). Chaque utilisateur doit être identifié nommément afin de pouvoir relier une action sur le système à un utilisateur ;
• encadrez par des procédures déterminées les arrivées et les départs de personnel pour vous assurer que les droits octroyés sur les systèmes d’information sont appliqués au plus juste et surtout qu’ils sont révoqués lors du départ de la personne.

Effectuer des sauvegardes régulières

Vous pourrez alors en disposer suite à un dysfonctionnement de votre système d’exploitation ou à une attaque.

Sécuriser l’accès Wi-Fi

L’utilisation du Wi-Fi est une pratique attractive. Il ne faut cependant pas oublier qu’un Wi-Fi mal sécurisé peut permettre à des personnes d’intercepter vos données et d’utiliser la connexion Wi-Fi à votre insu pour réaliser des opérations malveillantes malintentionnées. Pour cette raison l’accès à Internet par un point d’accès Wi-Fi est à éviter dans le cadre d’une activité sensible : une installation filaire reste plus sécurisée et plus performante.

Le Wi-Fi peut parfois être le seul moyen possible d’accéder à Internet, il convient dans ce cas de sécuriser l’accès en configurant votre borne d’accès à Internet.

Pour ce faire :

• n’hésitez pas à contacter l’assistance technique de votre fournisseur d’accès.Les fournisseurs d’accès à Internet vous guident dans cette configuration en vous proposant différentes étapes
• n’utilisez pas les Wi-Fi « publics » (réseaux offerts dans les gares, les aéroports ou les hôtels) pour des raisons de sécurité et de confidentialité ;
• assurez-vous que votre ordinateur est bien protégé par un antivirus et un pare-feu. Si le recours à un service de ce type est la seule solution disponible (lors d’un déplacement, par exemple), il faut s’abstenir d’y faire transiter toute donnée personnelle ou confidentielle (en particulier messages, transactions financières). Enfin, il n’est pas recommandé de laisser vos clients, fournisseurs ou autres tiers se connecter sur votre réseau (Wi-Fi ou filaire).
• préférez avoir recours à une borne d’accès dédiée si vous devez absolument fournir un accès tiers. Ne partagez pas votre connexion.

Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur

Bien que proposant des services innovants, les smartphones sont peu sécurisés. Il est donc indispensable d’appliquer certaines règles élémentaires de sécurité informatique :

• n’installez que les applications nécessaires et vérifiez à quelles données elles peuvent avoir accès avant de les télécharger (informations géographiques, contacts, appels téléphoniques…). Certaines applications demandent l’accès à des données qui ne sont pas nécessaires à leur fonctionnement, il faut éviter de les installer ;
• en plus du code PIN qui protège votre carte téléphonique, utilisez un schéma ou un mot de passe pour sécuriser l’accès à votre terminal et le configurer pour qu’il se verrouille automatiquement ;
• effectuez des sauvegardes régulières de vos contenus sur un support externe pour pouvoir les conserver en cas de restauration de votre appareil dans son état initial ;
• ne préenregistrez pas vos mots de passe.

Protéger ses données lors de ses déplacements

Voyager avec ces appareils nomades fait peser des menaces sur des informations sensibles dont le vol ou la perte auraient des conséquences importantes sur les activités de l’organisation. Il convient de se référer au passeport de conseils aux voyageurs édité par l’ANSSI.

Être prudent lors de l’utilisation de sa messagerie

Les courriels et leurs pièces jointes jouent souvent un rôle central dans la réalisation des attaques informatiques (courriels frauduleux, pièces jointes piégées, etc.).

Lorsque vous recevez des courriels, prenez les précautions suivantes :

• l’identité d’un expéditeur n’étant en rien garantie : vérifiez la cohérence entre l’expéditeur présumé et le contenu du message et vérifier son identité. En cas de doute, ne pas hésiter à contacter directement l’émetteur du mail;
• n’ouvrez pas les pièces jointes provenant de destinataires inconnus ou dont le titre ou le format paraissent incohérents avec les fichiers que vous envoient habituellement vos contacts;
• si des liens figurent dans un courriel, passez votre souris dessus avant de cliquer. L’adresse complète du site s’affichera dans la barre d’état du navigateur située en bas à gauche de la fenêtre (à condition de l’avoir préalablement activée). Vous pourrez ainsi en vérifier la cohérence;
• ne répondez jamais par courriel à une demande d’informations personnelles ou confidentielles (ex : code confidentiel et numéro de votre carte bancaire). En effet, des courriels circulent aux couleurs d’institutions comme les Impôts pour récupérer vos données. Il s’agit d’attaques par hameçonnage ou « phishing » ;
• n’ouvrez pas et ne relayez pas de messages de types chaînes de lettre, appels à la solidarité, alertes virales, etc. ;
• désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

Télécharger ses programmes sur les sites officiels des éditeurs

Si vous téléchargez du contenu numérique sur des sites Internet dont la confiance n’est pas assurée, vous prenez le risque d’enregistrer sur votre ordinateur des programmes ne pouvant être mis à jour, qui, le plus souvent, contiennent des virus ou des chevaux de Troie. Cela peut permettre à des personnes malveillantes de prendre le contrôle à distance de votre machine pour espionner les actions réalisées sur votre ordinateur, voler vos données personnelles, lancer des attaques, etc.

Dans ce contexte, afin de veiller à la sécurité de votre machine et de vos données :

• téléchargez vos programmes sur les sites de leurs éditeurs ou d’autres sites de confiance ;
• pensez à décocher ou désactiver toutes les cases proposant d’installer des logiciels complémentaires ;
• restez vigilants concernant les liens sponsorisés et réfléchir avant de cliquer sur des liens ;
• désactivez l’ouverture automatique des documents téléchargés et lancez une analyse antivirus avant de les ouvrir afin de vérifier qu’ils ne contiennent aucune charge virale connue.

Être vigilant lors d’un paiement sur Internet

Lorsque vous réalisez des achats sur Internet, vos coordonnées bancaires sont susceptibles d’être interceptées par des attaquants directement sur votre ordinateur ou dans les fichiers clients du site marchand. Ainsi, avant d’effectuer un paiement en ligne, il est nécessaire de procéder à des vérifications sur le site Internet :

• contrôlez la présence d’un cadenas dans la barre d’adresse ou en bas à droite de la fenêtre de votre navigateur Internet (remarque : ce cadenas n’est pas visible sur tous les navigateurs) ;
• assurez-vous que la mention « https:// » apparait au début de l’adresse du site Internet ;
• vérifiez l’exactitude de l’adresse du site Internet en prenant garde aux fautes d’orthographe par exemple.

Si possible, lors d’un achat en ligne :

• privilégiez la méthode impliquant l’envoi d’un code de confirmation de la commande par SMS ;
• De manière générale, ne transmettez jamais le code confidentiel de votre carte bancaire ;
• n’hésitez pas à vous rapprocher votre banque pour connaître et utiliser les moyens sécurisés qu’elle propose.

Séparer les usages personnels des usages professionnels

Les usages et les mesures de sécurité sont différents sur les équipements de communication (ordinateur, ordiphone, etc.) personnels et professionnels. Le AVEC (Apportez Votre Equipement personnel de Communication) ou BYOD (Bring Your Own Device) est une pratique qui consiste, pour les collaborateurs, à utiliser leurs équipements personnels (ordinateur, ordiphone, tablette, etc.) dans un contexte professionnel.

Si cette solution est de plus en plus utilisée aujourd’hui, elle pose des problèmes en matière de sécurité des données (vol ou perte des appareils, intrusions, manque de contrôle sur l’utilisation des appareils par les collaborateurs, fuite de données lors du départ du collaborateur).

Dans ce contexte, il est recommandé de séparer vos usages personnels de vos usages professionnels :

• ne faites pas suivre vos messages électroniques professionnels sur des services de messagerie utilisés à des fins personnelles ;
• n’hébergez pas de données professionnelles sur vos équipements personnels (clé USB, téléphone, etc.) ou sur des moyens personnels de stockage en ligne ;
• de la même façon, évitez de connecter des supports amovibles personnels (clés USB, disques durs externes, etc.) aux ordinateurs de l’entreprise.

Si vous n’appliquez pas ces bonnes pratiques, vous prenez le risque que des personnes malveillantes volent des informations sensibles de votre entreprise après avoir réussi à prendre le contrôle de votre machine personnelle.

Prendre soin de ses informations personnelles, professionnelles et de son identité numérique

Les données que vous laissez sur Internet vous échappent instantanément. Des personnes malveillantes pratiquent l’ingénierie sociale, c’est-à-dire récoltent vos informations personnelles, le plus souvent frauduleusement et à votre insu, afin de déduire vos mots de passe, d’accéder à votre système informatique, voire d’usurper votre identité ou de conduire des activités d’espionnage industriel.

Dans ce contexte, une grande prudence est conseillée dans la diffusion de vos informations personnelles sur Internet :

• soyez vigilant vis-à-vis des formulaires que vous êtes amenés à remplir : » ne transmettez que les informations strictement nécessaires ; » pensez à décocher les cases qui autoriseraient le site à conserver ou à partager vos données ;
• ne donnez accès qu’à un minimum d’informations personnelles et professionnelles sur les réseaux sociaux, et soyez vigilant lors de vos interactions avec les autres utilisateurs ;
• pensez à régulièrement vérifier vos paramètres de sécurité et de confidentialité (Cf. Guide de la CNIL sur la sécurité des données personnelles) ;
• enfin, utilisez plusieurs adresses électroniques dédiées à vos différentes activités sur Internet : une adresse réservée aux activités dites sérieuses (banques, recherches d’emploi, activité professionnelle…) et une adresse destinée aux autres services en ligne (forums, jeux concours…).

En résumé …

Afin de renforcer efficacement la sécurité de vos équipements communicants et de vos données, vous pouvez compléter les douze bonnes pratiques de ce guide par les mesures suivantes :

• désignez un correspondant/référent pour la sécurité informatique dans les entreprises ;
• rédigez une charte informatique ;
• chiffrez vos données et vos échanges d’information à l’aide de logiciels de chiffrement* ;
• durcissez la configuration de votre poste et utilisez des solutions de sécurité éprouvées (pare-feux*, antivirus*) ;
• avant d’enregistrer des fichiers provenant de supports USB sur votre ordinateur, faites-les analyser par un antivirus ;
• désactivez l’exécution automatique des supports amovibles depuis votre ordinateur ;
• éteignez votre ordinateur pendant les périodes d’inactivité prolongée (nuit, weekend, vacances) ;
• surveillez et monitorez votre système, notamment en utilisant les journaux d’événements, pour réagir aux événements suspects (connexion d’un utilisateur hors de ses horaires habituels, transfert massif de données vers l’extérieur de l’entreprise, tentatives de connexion sur un compte non actif,…).

Pour aller plus loin

• ANSSI : http://www.ssi.gouv.fr
• CNIL : http://www.cnil.fr
• Service de l’information stratégique et de la sécurité économiques (SISSE) : http://www.entreprises.gouv.fr/information-strategique-sisse
• Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (Police nationale) : https://www.internet-signalement.gouv.fr

Sources : CNIL – Guide des bonnes pratiques de l’informatique 2017

Serait-il alors seulement possible que des “hackers” agissent de manière bienveillante ? Oui. Ces personnes se nomment les “white hat” (ou “hacker blanc” en français). Mais existe-t-il des risques juridiques pour les hackers blancs ? Legal Brain vous répond.

Qu’est-ce qu’un white hat ?

Un white hat est un internaute qui révèle les failles de sécurité aux plateformes défaillantes. Un white hat exercerait donc la même activité qu’un hacker malveillant mais dans le but de renforcer la sécurité des plateformes qui présenteraient des failles. 

Certains pourraient penser que les “Anonymous” (célèbre groupe de hacker) sont des white hat. Or, un white hat ne passe jamais à l’offensive. Il ne fait que révéler les failles de sécurité, à l’inverse des Anonymous qui, bien que leur combat peut être considéré comme éthique, modifient bel et bien les systèmes informatiques dans le but de commettre des préjudices.

Que dit la loi sur les risques juridiques pour les hackers blancs ?

Un chapitre entier du Code pénal est consacré aux “atteintes aux systèmes de traitement automatisé de données” et vise donc spécifiquement les risques juridiques pour les hackers blancs. L’article 323-1, premier article du chapitre, réprime “le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données (STAD)”, c’est-à-dire que seront punies les personnes ayant accédé à un STAD sans autorisation. Or, c’est ce que font exactement les white hat. 

L’activité des white hat serait donc punie, selon la loi, de deux ans d’emprisonnement et de 60 000 euros d’amende. Pourtant, la plupart des white hat accèdent à ces réseaux sans aucune intention de nuire et même parfois sans avoir conscience de commettre une infraction.

Heureusement pour eux, l’article 121-3 du Code Pénal prévoit “il n’y a point de crime ou de délit sans intention de le commettre”. C’est pourquoi les juges ont relaxé certains hackers blancs lorsque leur bonne foi était caractérisée.

Un exemple de white hat relaxé

Dans la mesure où les actes commis par les white hat sont réprimés par la loi, il peut être difficile d’imaginer que les juges relaxent certains d’entre eux. Et pourtant. 

Dans une affaire Kitetoa datant des années 2000, un journaliste informatique avait trouvé des fichiers de données personnelles de clients librement accessibles sur le site internet de Tati. Tentant en vain de prévenir le magasin, il décida de publier un article sur ce problème de sécurité. La chaîne de magasins a ensuite porté plainte contre le journaliste.

Les juges ont finalement relaxé le journaliste en estimant qu’on ne pouvait reprocher à un internaute d’accéder, en utilisant un navigateur grand public, à des parties de site web qui ne sont ni protégées ni signalées comme confidentielles. A partir du moment où la plateforme ne mentionne pas que certains accès sont interdits, la personne s’étant introduite dans ces failles de sécurité ne peut être tenue responsable pénalement. En outre, le “hacker” ne doit pas causer de préjudice, ce qui n’était pas le cas en l’espèce.

Quelques exemples de white hat condamnés

Bien entendu, il existe beaucoup plus de cas où les white hat ont été condamnés pénalement, ce qui montre qu’il existe toujours aujourd’hui des risques juridiques pour les hackers blancs.

1er exemple :

Un parfait contre-exemple existe à l’affaire Kitetoa : l’affaire Bluetouff. Dans cette affaire, un internaute connu sous le pseudonyme de “Bluetouff” avait récupéré 8 giga octets de données sur le site de l’ANSES (Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail). Ces données étaient librement accessibles sur le site, tout comme dans l’affaire Tati.

Dans un premier temps, le tribunal correctionnel a suivi la jurisprudence Tati en estimant que l’ANSES n’avait « pas manifesté clairement l’intention de restreindre l’accès aux données récupérées ». Pourtant, “Bluetouff” a été condamné. Pourquoi un tel revirement de jurisprudence ?

Ce revirement s’explique par une prise de conscience d’une meilleure protection des données. Tati est une entreprise privée tandis que l’ANSES est un établissement public français appartenant au ministère, ce qui lui confère une protection spéciale selon les juges. Accéder à un ordinateur non protégé par un mot de passe et y copier des données n’est donc pas condamnable si ces données ne font pas l’objet d’une protection spécifique comme le secret de la Défense Nationale ou celle applicable au Potentiel Scientifique et Technique de la Nation. 

De plus, dans l’affaire Bluetouff, l’internaute a avoué être arrivé par hasard sur la page web litigieuse avant de prendre conscience que cet accès était interdit. La prise de conscience de cette interdiction ne l’avait pourtant pas empêché de copier les données de santé présentes sur l’ANSES. Donc, si l’intention n’était pas frauduleuse, le maintien, en revanche, l’était. De plus, le vol de données a été caractérisé ici.

2e exemple :

Quatre étudiants avaient réussi, grâce à un logiciel de décryptage de mot de passe, à récupérer les mots de passe d’autres utilisateurs de l’université. Pour justifier la possession d’un logiciel de décryptage de mot de passe, les étudiants plaidaient le but pédagogique de l’opération. L’article 323-3-1 du Code pénal réprime, notamment, le fait de posséder un programme informatique destiné à commettre des infractions informatiques, à moins d’avoir un motif légitime.

Pour les plaignants, le motif légitime était l’enseignement. Or, le fait d’apprendre à accéder aux comptes de tiers ne s’inscrivait dans aucun cursus de l’établissement et avait été réalisé sans que les responsables ne soient au courant.

3e exemple : 

Après avoir informé Microsoft d’une faille de sécurité sur un de leur logiciel, un informaticien avait publié un article sur le site de sa société qui montrait comment exploiter la faille découverte. Le tribunal condamne l’informaticien au motif que ce genre d’informations auraient dû rester confidentielles.

Pour sa défense, l’informaticien arguait qu’il avait publié l’article dans le but d’avertir ses abonnés de la faille. Les juges ont estimé que l’informaticien ne pouvait ignorer que ce genre de révélation pouvait permettre à des utilisateurs malveillants de nuire à la société Microsoft. De plus, relevant par ailleurs que cet internaute percevait des revenus publicitaires proportionnels au nombre de visiteurs de son site, et qu’il avait donc intérêt à accroître son audience par la publication d’informations sensibles, la cour a rejeté l’excuse de la bonne foi.

Peut-on espérer voir une plus grande clémence des juges envers les white hat à l’avenir ?

Le fait de révéler une faille de sécurité dans le but d’aider les organismes doit-il toujours à l’avenir être considéré comme une infraction ? Si aucun préjudice n’existe ni vis-à-vis de la société, ni vis-à-vis d’une personne physique ou morale, pourquoi maintenir cette infraction ? En effet, face à la numérisation accrue des services, il peut être utile pour la société d’anéantir toute forme de risques juridiques pour les hackers blancs.

Lors des débats sur la loi Lemaire ( dite “la loi pour une République numérique”) des propositions sur le statut des white hat avaient émergé de l’hémicycle. Un parlementaire avait notamment proposé de créer un nouvel article prévoyant : « Toute personne qui a tenté de commettre ou commis le délit prévu au présent article est exempte de peine si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système de traitement automatisé de données en cause d’un risque d’atteinte aux données ou au fonctionnement du système. »

La rédaction de cet article suscitait de nombreuses questions et certains parlementaires estimaient même qu’il ouvrait la porte à un plus grand nombre de commissions d’infractions. Cet article aurait en effet permis, par la simple prévention d’une autorité, de commettre des infractions numériques.

Ainsi, la proposition a été remanié et l’article L.2321-4 du Code de la défense aujourd’hui en vigueur dispose que : “Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable aux services de l’État, définis par le Premier ministre, lorsqu’ils sont informés de l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données, par une personne agissant de bonne foi et en l’absence de publicité de l’information.” L’identité du lanceur d’alerte reste confidentielle.

Cet article a deux avantages par rapport à la première proposition. D’une part, aucune poursuite pénale ne pourra être engagée à l’encontre d’un white hat de bonne foi ayant informé l’ANSSI d’une faille informatique. D’autre part, le fait d’informer l’ANSSI pourra tempérer les ardeurs de l’entreprise lors d’une éventuelle plainte.

Le législateur a donc entendu les white hat et une meilleure protection juridique leur est aujourd’hui consacrée. Toutefois, le comportement de bonne foi des white hat doit demeurer, ce qui sous-entend qu’aucune copie des données ou publication révélant la faille ne sera tolérée même postérieurement à l’avertissement de l’ANSSI. Cette dernière est seule compétente dans la gestion du problème technique.

Quelles sont les données de santé ? 

La CNIL définit les données de santé comme “les données à caractère personnel concernant la santé sont les données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne.” 

Trois catégories de données entrent désormais dans cette notion. Il s’agit d’abord des données de santé par nature (antécédents médicaux, maladies, prestations de soins réalisés, résultats d’examens, traitements, handicap…). Certaines données, du fait de leur croisement avec d’autres, sont considérées comme des données de santé car ce croisement permet de tirer une conclusion sur l’état ou les risques de santé de la personne (croisement d’une mesure de poids avec un nombre de pas ou une mesure des apports caloriques, croisement de la tension avec la mesure de l’effort…). Enfin, celles qui deviennent des données de santé du fait de leur destination, soit leur usage sur le plan médical.

Les données qui ne permettent pas de tirer d’informations ou de conclusions sur l’état de santé d’une personne, ne sont pas des données de santé. Ainsi une application qui ne fait que collecter un nombre de pas lors d’une sortie à l’extérieur, sans faire de croisement avec d’autres données, ne recueille pas des données de santé.

Données de santé et RGPD : qui peut recueillir et utiliser ces données de santé ?

Ce sont les patients qui fournissent leurs données médicales lors d’un rendez-vous chez un médecin, à l’hôpital, ou au sein d’autres établissements de santé (centre de radiologie ou de rééducation, cabinet de kinésithérapie…). Les données peuvent être recueillies par “un questionnaire proposé à l’accueil et des séries de questions posées pendant la consultation”. De plus en plus d’applications numériques, spécialisées dans le domaine de la santé, sont mises en place. Il suffit d’avoir un objet connecté pour y accéder. Le meilleur exemple est Doctolib. Il est possible de prendre rendez-vous chez un généraliste, dans un centre de vaccination ou bien de transmettre ses documents médicaux, de renseigner ses données de santé.

Le RGPD fixe les obligations que doivent respecter les organismes privés et publics, concernant leurs traitements des données de santé. Il impose la désignation d’un délégué à la protection des données (DPO), la détention d’un registre des traitements et la réalisation d’une analyse des risques. Ainsi, seuls les agents et les organismes médicaux peuvent recueillir et utiliser les données de santé, s’ils ont obtenu le consentement du patient et respectent ces réglementations. Il peut s’agir des professionnels de santé libéraux (médecin, infirmière, kiné, dentiste…), des établissements de santé (laboratoires, hôpitaux…), de la Sécurité Sociale ou de la mutuelle santé du patient puisqu’elles remboursent ses dépenses.

Pourquoi les données de santé doivent être exploitées ?

L’exploitation des données de santé permet d’offrir aux patients des soins personnalisés à leurs besoins médicaux. C’est pour cela que toutes les données médicales d’un patient sont stockées ensemble sur une base, afin de définir les traitements qui lui conviennent. Ce stockage sur des bases de données minimise ainsi les erreurs de diagnostic, et évite la prescription de médicaments incompatibles entre eux. “Cela grâce à la capacité des outils technologiques à traiter plusieurs informations en même temps sans omettre une seule”.

Mais il arrive que les données médicales soient traitées par des agents ou des organismes n’ayant pas reçu l’autorisation préalable de la CNIL, dans un contexte de renseignement administratif. Le Conseil d’Etat a rendu deux décisions le 19 juillet 2010 (n°317182 et n°334014), dans lesquelles il déclare les fichiers de recensement des élèves de maternelle et de primaire non conformes à la loi Informatique et libertés du 6 janvier 1978. Le Conseil d’Etat ordonne la suppression des données relatives à la santé des élèves, qui avaient été collectées dans la première version de « Base élèves ». Ces fichiers sont litigieux, du fait que “ces données permettent de connaître la nature de l’affection ou du handicap dont souffrent les élèves concernés et constituent par conséquent des données relatives à la santé, dont le traitement aurait dû être précédé d’une autorisation de la CNIL”. Le Conseil d’Etat laisse aussi le choix aux parents, qui peuvent émettre le refus d’inscrire leur enfant dans ces fichiers pour des motifs légitimes. Dans un arrêt du 28 mars 2014, le Conseil d’État annule deux dispositions du décret SIRHEN “portant création d’un traitement automatisé de données à caractère personnel (…) relatif à la gestion des ressources humaines du ministère de l’Education nationale”. Ce traitement automatisé a pour objectif de recueillir des données « relatives à la mention du sexe et de la nationalité du conjoint ou partenaire » des agents. Le Conseil d’Etat rappelle que la loi permet bien “la création de traitements, automatisés ou non, portant sur des données à caractère personnel”. Ces données à caractère personnel incluent “des données personnelles portant sur les conjoints, partenaires, enfants et autres personnes à la charge des personnels”, dans la mesure où elles sont “nécessaires pour permettre à ces derniers de bénéficier des avantages liés à leur situation de famille”. Ce qui n’est pas le cas “des informations relatives au sexe et à la nationalité des conjoints ou partenaires des agents”.

Les fuites numériques de données de santé sont-elles possibles ? Quelles en sont leurs conséquences face au RGPD ?

Les risques principaux liés aux données de santé, des laboratoires ou des cliniques, sont les cyberattaques. Une cyberattaque est définie comme un “incident de sécurité au cours duquel des acteurs internes malveillants ou des attaquants externes parviennent à accéder de façon non autorisée à des données confidentielles ou à des informations sensibles”. Les données de santé sont de plus en plus sujettes à des fuites. On recense un certain nombre de cyberattaques, malgré toutes les mesures de défense informatique instaurées par le droit français et le RGPD. Elles peuvent prendre la forme d’une fuite d’informations personnelles et de résultats de test, car la plateforme du site médical n’était pas bien sécurisée. Il peut s’agir du piratage d’un laboratoire de biologie, divulguant les informations personnelles et médicales des patients.

Ces types de cyberattaques n’ont fait qu’augmenter avec la crise sanitaire du Covid19 et la mise en place hâtive du télétravail. Elles ont touché les entreprises, mais aussi les établissements à caractère médical (hôpitaux, instituts de recherche médicale, biotechs). La plupart étaient des attaques de ransomware, perpétrées par le logiciel malveillant CryptoLocker sur des ordinateurs possédant Windows. CryptoLocker se propage simplement via des emails. “Lors d’une attaque de ransomware, les pirates chiffrent généralement les données et les gardent en otage jusqu’à ce que la victime verse une rançon élevée”. A la fin du mois de mars 2020, une tentative de cyberattaque a été intentée contre l’Assistance Publique-Hôpitaux de Paris. Elle a été la cible d’une attaque par déni de service dont le but est de rendre inaccessible un serveur par l’envoi de nombreuses requêtes jusqu’à le saturer, provoquant une panne ou un fonctionnement fortement dégradé. Mais « l’attaque qui a duré une heure (…) n’a jamais atteint les infrastructures » d’après le porte-parole de l’AP-HP. Cependant certains hôpitaux ne sont pas d’aussi grosses structures que l’AP-HP. Les hôpitaux de Villefranche-sur-Saône et de Dax notamment en ont été les cibles. Ces attaques de ransomware ont eu pour conséquence le report d’opérations, car certains équipements médicaux et les dossiers patients étaient inaccessibles. En ce qui concerne les structures impliquées dans la recherche de traitement contre le Covid-19, des attaques ont aussi été intentées par les hackers. Ils voulaient voler des données scientifiques, liées à la recherche d’un vaccin contre le virus, pour les revendre à prix d’or sur Internet. Des attaques ont été intentées notamment contre l’Agence européenne du médicament, les laboratoires AstraZeneca et Moderna.

Quels sont les risques pour les entreprises en cas de fuite de données ? Leur responsabilité peut-elle être engagée ?

Les clients ont la possibilité de porter plainte contre celui qui a traité et hébergé les données. L’enquête devra déterminer la source des fuites, pour permettre l’articulation d’un droit de rectification ou d’un droit à l’effacement des données. Ces deux droits sont prévus par le RGPD. “Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations la concernant lorsqu’ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l’utilisation, la communication ou la conservation est interdite” (droit de rectification – CNIL). Le droit à l’effacement a pour objectif que tout internaute puisse obtenir le retrait de données personnelles qui le concerne sur internet.

Le client peut engager la responsabilité de traiteur et de l’hébergeur des données devant les tribunaux civils, sur le fondement de la violation du secret médical. Ils pourront statuer sur l’existence du préjudice et évaluer son indemnisation.

La CNIL n’est pas compétente pour prononcer l’indemnisation des préjudices des clients, mais elle prononce des amendes en cas de non-respect des réglementations RGPD. Ainsi, les cabinets médicaux ou les établissements de santé ayant subi des fuites de données peuvent recevoir une amende de 20 millions d’euros, ou allant jusqu’à 4% de leur chiffre d’affaires. La CNIL sanctionne donc par de lourdes pénalités.

Comment les cabinets ou établissements médicaux doivent-ils répondre à l’obligation du consentement éclairé issu du RGPD ? 

L’article R.4127-36 du code de la santé publique définit les modalités de recueil du consentement du patient. “Le consentement de la personne examinée ou soignée doit être recherché dans tous les cas.” Il est donc obligatoirement recherché par le médecin avant que celui-ci procède à un acte médical (examen clinique habituel, investigations complémentaires, traitement, surveillance du traitement et ses suites…). L’article différencie certains malades selon leur capacité à exprimer leur volonté. “Lorsque le malade, en état d’exprimer sa volonté, refuse les investigations ou le traitement proposés, le médecin doit respecter ce refus après avoir informé le malade de ses conséquences. Si le malade est hors d’état d’exprimer sa volonté, le médecin ne peut intervenir sans que la personne de confiance, à défaut, la famille ou un de ses proches ait été prévenu et informé, sauf urgence ou impossibilité.” Deux cas de malades hors d’état d’exprimer leur volonté sont distingués. Il s’agit des mineurs et des majeurs sous tutelle. S’ils sont aptes à le faire, le médecin doit impérativement rechercher leur consentement. Sinon, c’est le titulaire de l’autorité parentale ou le tuteur qui prend toutes les décisions relatives à la santé (de l’enfant, du majeur sous tutelle).

Le consentement du patient doit être exprimé à l’oral, de manière claire et manifeste. Son recueil n’est pas soumis au formalisme de l’établissement d’un écrit. Le législateur a cependant établi et rappelé qu’une trace écrite du consentement du patient est nécessaire pour certains actes médicaux. C’est la cas pour l’interruption volontaire de grossesse (L.2212-7 du Code de santé publique), la stérilisation à visée contraceptive (L.2123-1 du Code de santé publique), la recherche impliquant la personne humaine (L.1122-1-1 du Code de santé publique), le prélèvement d’organes produits du corps humain (L.1232-2 du Code de santé publique).

Le consentement aux soins médicaux doit être éclairé et libre. Pour que l’exigence d’éclairement soit remplie, le médecin ou le personnel médical doit fournir au patient toutes les informations loyales, claires et adaptées à son degré de compréhension. Le patient doit être capable de comprendre les modalités et les conséquences des soins médicaux qu’on veut lui procurer. Cette compréhension lui permet d’accepter ou de refuser, tout en étant libre de toute pression ou contrainte. Le consentement éclairé et libre implique que le patient a connaissance des alternatives thérapeutiques envisageables pour le traitement de son problème de santé, avec leurs avantages et leurs inconvénients.

Comment les cabinets ou établissements médicaux peuvent-ils mieux protéger leurs données ?

La législation française est très riche en ce qui concerne la cybercriminalité. Elle est prise en compte dans le droit français depuis la Loi Informatique et Libertés de 1978, qui réglemente la liberté de ficher les personnes humaines. L’encadrement juridique des pratiques numériques prévoit des peines allant jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende pour les cyberattaques. La surveillance d’Internet est un volet essentiel à la lutte contre ces attaques informatiques. La Loi Renseignement de 2015 permet de renforcer “les moyens d’action des services de renseignement dans la sphère numérique”.  Après les attentats de Paris en 2015, le gouvernement a lancé l’opération Stop Djihadisme “afin de contrecarrer les campagnes de propagande jihadiste sur les réseaux sociaux.” Il existe par ailleurs des doctrines de lutte informatique offensive (LIO) et de lutte informatique défensive (LID). Il s’agit du volet offensif de la doctrine cyber militaire française, qui a été officialisé le 18 janvier 2018 par la ministre des armées. 

Pour sécuriser les données personnelles de leurs clients et lutter contre les cyberattaques, le RGPD donne aux entreprises diverses opérations qu’elles devront appliquer. Il conseille d’appliquer des “méthodes de chiffrement des données et des connexions” (conservation et transferts) et des “mesures d’authentification plus fortes” (utilisation de carte à puce, signature électronique…). Doivent être mises en place des mesures permettant d’accéder facilement aux données stockées en cas d’incident physique ou technique. Le RGPD impose également des procédures permettant d’évaluer la performance des mesures techniques et organisationnelles de sécurisation des traitements.

Mais cette législation peut présenter des failles dans son fonctionnement. Les cabinets et établissements médicaux peuvent avoir des difficultés à exécuter les opérations du RGPD, car peu de structures possèdent une vision globale de leur système informatique. Sans cette vision, il risque d’être difficile de mettre en place une politique de cyberdéfense efficace. “Il faut d’abord faire la cartographie détaillée des supports internes et externes de stockage des données.” Mais cette démarche n’est pas simple considérant que certains logiciels ne sont plus forcément sous la gestion du service informatique même de ces structures. Le phénomène du “Bring Your Own Device”, et l’utilisation d’objets connectés personnels au travail (tablettes, smartphones) ne facilitent pas non plus cette démarche. Toutes les applications qui sont mises en place par les employés, et à l’insu du responsable informatique, devront être recensées.

Quelles sont les différences de protocoles entre les laboratoires américains et les laboratoires français ? Cela a-t-il des conséquences sur la sécurité des données ?

Les protocoles de santé sont très longs en France. Cela crée une insécurité juridique. A l’inverse, les protocoles américains sont plus courts. Faire plus court et plus simple c’est aussi garantir la sécurité des données.

Données de santé et RGPD : l’accompagnement de Legal Brain Avocats 

Legal Brain Avocats, votre avocat RGPD vous accompagne à toutes les étapes : 

• établir le registre de vos traitements effectués, 
• sécuriser et négocier les différents contrats pour être en conformité sur la réglementation,
• former votre personnel au traitement et à la protection des informations, 
• sécuriser la collecte, l’analyse et le stockage de données sensibles (par ex. biométriques)
• encadrer le transfert de vos données dans/hors l’Union européenne ;
• vous représenter lors de contrôles auprès de la Commission nationale de l’informatique et des libertés (CNIL) 

Pour en savoir plus ou pour obtenir un devis, nous vous invitons à nous contacter.

Que veut dire « donnée personnelle » ?

C’est une information qui, directement ou indirectement, permet d’identifier une personne physique, un nom, un prénom, une adresse, une photographie, l’enregistrement d’un son, d’une voix, une empreinte digitale ou biométrique, tous ces éléments sont des données à caractère personnel, un numéro d’identification, comme une adresse IP, un numéro de carte bancaire. Des informations qui, même très indirectement, permettent d’identifier une personne physique sont des données personnelles.

Qu’est-ce qu’un traitement d’une donnée personnelle ? 

La notion de traitement est largement définie dans le règlement européen. Pour que le règlement européen s’applique, il faut que ces données à caractère personnel soient enregistrées dans un traitement, dans un outil, généralement informatisé, qui va permettre de collecter, organiser, traiter de la donnée personnelle. Il peut s’agir d’un progiciel extrêmement sophistiqué pour gérer les ressources humaines ou lutter contre la fraude, mais aussi d’un petit tableur dans un outil de bureautique standard. Dès lors que l’outil permet de classer de l’information, même de manière simple, vous êtes dans un traitement de données.

Quel est l’objectif du règlement sur la protection des données personnelles en droit du travail ?

L’objectif du RGPD est de protéger la vie privée des personnes au travail, vis-à-vis de l’employeur, la vie privée des personnes dans le quotidien commercial, quand on souscrit des produits, des contrats, des biens auprès d’une banque, auprès d’un site Internet, et aussi dans son intimité, lorsqu’il s’agit de tous les outils disponibles sur Internet, comme les réseaux sociaux, les blogs, etc.

Est-ce que le RGPD est un frein pour développer son activité ? 

Sous réserve du respect de ses règles essentielles, on peut faire beaucoup de choses avec le règlement européen, dont l’objectif est de permettre la libre circulation et la libre utilisation des données. Faire du marketing avec des données, sur le plan juridique, c’est possible. Contrôler l’activité de ses salariés pour un employeur, juridiquement, c’est possible. Remplissez notre formulaire et un avocat RGPD vous recontactera pour apporter une solution à votre besoin.

Quelle est la différence entre la protection des données personnelles et la protection de la vie privée ? 

La protection des données personnelles recouvre une notion encore plus forte que la protection de la vie privée, c’est la protection des libertés publiques. Ce sujet concerne principalement les structures publiques. Lorsqu’une administration collecte de la donnée, parfois à très haute échelle, il y a des règles déontologiques, juridiques à respecter pour empêcher cette administration d’aller trop loin dans la surveillance des personnes.

RGPD : quelles sont les principales contraintes qui s’imposent aux entreprises ? 

La première, c’est que, lorsque vous collectez des informations auprès de personnes, ces personnes ont des droits : le droit à l’information, au consentement dans certains cas, le droit d’accès, d’opposition, etc. La mise en œuvre de tous ces droits doit donner lieu à la rédaction de procédures internes pour être sûr que le jour où la personne exerce ces droits, le professionnel soit en mesure de répondre correctement.

Ensuite, plus largement, les organisations qui souhaitent mettre en œuvre un traitement de données à des fins commerciales, business… doivent respecter un cadre d’obligations prévu dans le règlement : principe de finalité, obligation de proportionnalité, de sécuriser les données, de fixer des durées de conservation. Il faut connaître précisément ce cadre composé d’une dizaine de règles, et veiller à ce que sur chaque projet informatique, ce cadre soit respecté.

Qu’est-ce que désigne par la notion responsable de traitement ? 

Le responsable du traitement, c’est-à-dire celui qui va engager sa responsabilité sur le plan pénal, notamment, c’est celui qui prend l’initiative de mettre en œuvre le fichier. Au terme de l’article 4 du règlement européen, le responsable de traitement est la personne physique ou morale qui va déterminer, seule ou conjointement, très important, les finalités et les moyens du traitement.

Il peut prendre cette initiative seul ou conjointement avec d’autres. Il peut donc y avoir une responsabilité conjointe, un partage de responsabilité. Dans cette hypothèse, il peut y avoir un intérêt à ce que les entités qui vont être responsables conjointement se mettent d’accord contractuellement sur qui est responsable de quoi. Quand on parle de responsable de traitement, on parle souvent du représentant légal de l’entité juridique qui met en œuvre le traitement.

Comment le RGPD s’applique en France et aux Français ?

Première critère, c’est la territorialité de la personne. Si je suis implanté en France et si je collecte de la donnée, je suis responsable de traitement, je dois respecter ces règles.

Le deuxième critère vise à obliger des entreprises qui seraient établies à l’étranger, en dehors de l’Union Européenne, mais qui collectent des données en Europe, à respecter le droit à la protection des données en Europe. Par exemple, une entreprise américaine établie aux États-Unis qui a mis en place en France un site Internet sur lequel elle vend des biens ou des services à un public établi en France, elle devra respecter le règlement européen.

Le troisième critère concerne le suivi du comportement des personnes. C’est lié à l’Internet. Si je mets un place un site avec lequel je peux suivre le comportement des personnes, par des techniques de segmentation comportementale, de marketing ciblé, là aussi, même si je suis établi en dehors de l’Union Européenne, je devrai respecter le règlement européen. Ce critère, est essentiel, parce que l’objectif est d’obliger des opérateurs établis en dehors de l’Union Européenne à respecter les règles de protection des Européens. 

Pourquoi faut-il être vigilant sur le respect du RGPD ? Quels sont les risques ? 

Si la mise en pratique du RGPD n’est pas évidente, les risques sont aussi nombreux :  risque d’image, sanctions judiciaires, notamment pénales, sanctions administratives prononcées par la CNIL, voire dans certains cas, un risque disciplinaire.

Mise en conformité – l’accompagnement de Legal Brain Avocats 

Avocat données personnelles Paris, Legal Brain Avocats, votre avocat RGPD vous accompagne à toutes les étapes : 

• établir le registre de vos traitements effectués, 
• sécuriser et négocier les différents contrats pour être en conformité sur la réglementation,
• former votre personnel au traitement et à la protection des informations, 
• sécuriser la collecte, l’analyse et le stockage de données sensibles (par ex. biométriques)
• encadrer le transfert de vos données dans/hors l’Union européenne ;
• vous représenter lors de contrôles auprès de la Commission nationale de l’informatique et des libertés (CNIL) 

Pour en savoir plus ou pour obtenir un devis ou une convention d’honoraires avocat RGPD, nous vous invitons à nous contacter.

Exemples de cyber-harcèlement moral constaté par la jurisprudence :

1. Les mails agressifs et brutaux adressés à une salariée

Des mails de la part d’un employeur dont le ton se révélerait être un peu trop élevé peut être considéré comme du harcèlement moral numérique selon la jurisprudence.

Dans une décision rendue par la Cour d’appel de Paris le 23 juin 2021 (n° 18/13718), une salariée était en travail à temps plein, ce qui lui laissait la possibilité d’habiter dans une ville loin de son entreprise. 

L’employeur l’a d’abord informé de l’arrêt de son télétravail. Puis, après cette nouvelle, plusieurs mails agressifs et brutaux ont été adressés à la salariée. 

Un exemple de mail considéré comme brutal et agressif : “je ne valide pas ta stratégie sur août de reconduire ce mode de fonctionnement. Je te demande d’arrêter immédiatement toutes ces campagnes….je souhaite connaître ton budget d’investissement prévisionnel sur août. …. merci de me renvoyer également le détail de chaque campagne… la communication à distance pour Cabesto est une solution par défaut, et il est hors de question de ne communiquer que par mail, merci à l’avenir de respecter tes engagements (tu devais me communiquer ces informations pour hier soir) ce mode de fonctionnement ne me convient pas. J’attends ton appel aujourd’hui comme convenu”.

L’employeur affirme ici que la salariée devait communiquer les informations “hier soir” alors qu’aucune mention de ce délai n’avait été fait auparavant.

Plusieurs mails dans le même genre avaient été envoyés ce même jour (jusqu’à 20h36). 

La Cour d’Appel a retenu le harcèlement moral ici en considérant que l’employeur ne justifiait pas la décision de fin du télétravail par un objectif d’amélioration et du bon fonctionnement du service. 

Concernant les mails litigieux, la Cour d’appel affirme que l’employeur reprochait à la salariée de ne pas avoir envoyé un certain nombre d’informations avant un délai sans pour autant que ce délai ne soit précisé auparavant. De plus, elle affirme que le ton employé dans les mails n’était pas justifié.

2. Partager un mail humiliant avec les collègues en copie

Si l’employeur, en plus d’envoyer des mails humiliants à un salarié, choisit d’envoyer une copie de ces échanges aux autres salariés de l’entreprise, les juges considèrent automatiquement qu’il existe un harcèlement numérique.

C’est ce qu’a décidé la Cour d’appel d’Amiens le 20 mars 2019 (n°16/02394) en affirmant que les propos de l’employeur étaient déplacés et que le fait de partager une copie des échanges aux autres salariés de l’entreprise renforçait le caractère humiliant desdits propos.

3. Des menaces par mail dans un cadre professionnel

Le fait de menacer l’avenir professionnel et/ou l’intégrité physique du salarié par le biais des mails constituent un harcèlement moral.

Ce genre de propos peuvent en effet détériorer la santé mental du salarié (encore une fois, CA, Amiens, 20 mars 2019, n°16/02394)

4. Le cyber-harcèlement d’un salarié à l’encontre d’un autre salarié sur Facebook

L’employeur est soumis à une obligation de sécurité, ce qui implique de veiller à la santé de ses employés dans une situation de harcèlement moral numérique. C’est notamment le cas lorsqu’un salarié poste un message insultant sur son mur Facebook visant clairement un autre salarié . La Cour d’appel de Bordeaux retient les faits de harcèlement moral en soulignant qu’il importait peu de savoir si la page était privée ou non tant le message posté était explicitement adressé aux salariés (CA Bordeaux, 7 juin 2018, n°16/06088).

5. Le cyber-harcèlement de plusieurs salariés sur un groupe Facebook à l’encontre de personnes extérieures à l’entreprise

Grandement médiatisée à l’époque, l’affaire de “La ligue du Lol” mettait en cause des journalistes connus de Libération et des Inrockuptibles ayant créé un groupe Facebook dans le but de harceler anonymement des personnes influentes, en grande majorité des féministes. Suite à la révélation de ces faits datant de 2009, le journal Libération décide de mettre à pied certains anciens membres de ce groupe Facebook. D’autres seront même licenciés. 

S’il peut être un peu surprenant de voir que des sanctions disciplinaires arrivent aussi tardivement après les faits, le Code du travail confirme parfaitement cela. Il est en effet possible pour l’employeur de sanctionner ses salariés dans un délai de 2 mois après avoir eu connaissance des faits en question. Le délai était respecté dans les faits.

Certains journalistes licenciés ont alors saisi le conseil des prud’hommes considérant que leur licenciement est sans cause réelle et sérieuse. Un des journalistes du journal Libération a été débouté de sa demande par le Conseil de prud’hommes en novembre 2020. Le journaliste en question a fait appel. 

En revanche, concernant un des journalistes des inrocks,  le conseil de prud’hommes a considéré que son licenciement était sans cause réelle et sérieuse. En effet, aucune enquête interne n’avait été menée par le mensuel. Les accusations se fondaient uniquement sur les propos tenus par la presse.

A propos du cabinet Legal Brain Avocats – Paris

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Le 14 mars 2022, les eurodéputés ont étudié la proposition de règlement MiCA (Market in Crypto Assets) qui devrait encadrer les activités sur actifs numériques ouvrant la voie à une entrée en vigueur du texte d’ici 2024. Le Règlement se présente comme « propice à l’innovation » et ne vise pas à « entraver l’utilisation de nouvelles technologies ».

Alors que la version de la commission européenne de la proposition de règlement MiCA était très allusive sur les NFT, la version modifiée par le Parlement européen explicite cette notion pour exclure du champ du règlement les usages les moins problématique des NFT du champ d’application du futur règlement. 

Quel est l’esprit du règlement MiCA ?

La proposition de règlement MiCA du Parlement Européen et du Conseil sur les marchés de crypto-actifs (modifiant la directive (UE) 2019/1937) s’intéresse principalement aux conditions d’émission des jetons numériques et encadre le statut des prestataires européens de services sur actif numériques.

Par l’instauration d’un cadre juridique, les députés européens prônent la transparence, la communication et l’autorisation des transactions. Plus concrètement, la régulation entend atteindre un difficile équilibre entre confiance des consommateurs, des souscripteurs et développement des services numériques dans l’espace européenne.

En grande partie inspirée de la loi Pacte française, la proposition de règlement MiCA vise principalement à renforcer la protection des usagers et affirmer une volonté d’encadrer les marchés. Le texte présente au demeurant des insuffisances en termes de fiscalité notamment et plusieurs approximations et incohérences quant à son champ d’application matériel, notamment à l’égard des NFT.

In fine, l’Union européenne n’a pas pour volonté de réglementer les actifs numériques en tant que tel. Elle tend plutôt à encadrer les acteurs et activités relatives à ces actifs.

Que prévoit concrètement le projet de règlement MiCA ?

La proposition entend encadrer plus précisément :

• Les offres au public de jetons : ainsi, les émetteurs devraient se conformer à diverses obligations. Ils auraient l’obligation de publier un livre blanc (sauf exception). Ce livre blanc est un document recueillant les informations concernant un projet. Cette livre blanc, issu des usages du secteur est déjà une obligation actuellement en droit français dès lors que le visa de l’AMF est sollicité.

• Les prestataires européens de services sur actifs numériques : la fourniture de services sur actifs numérique au sein de l’espace économique européen nécessiterait d’obtenir l’autorisation de l’autorité compétent.
• Les émissions de jetons : ainsi, les jetons visés par le texte sont les jetons utilitaires (utility tokens), les jetons de monnaie électronique (supervisés par l’Autorité bancaire européenne) et les jetons se référant à un actif (sont visés ici notamment les stablecoins).

Par ailleurs, ladite proposition a fait couler beaucoup d’encre quant à son interdiction initiale d’émission de crypto-actifs reposant sur des protocoles de preuves de travail (PoW), comme Bitcoin ou Ethereum et ce, en raison de considérations essentiellement climatiques. L’amendement visant à interdire ce procédé de minage a finalement été repoussé, au grand soulagement des défenseurs de cette industrie émergente.

Qu’en est-il des NFTs ?

La proposition de règlement MiCA excluait les NFTs dès lors que ces derniers :

• ne disposaient pas de propriétés propres aux instruments financiers ;
• ne pouvaient servir de moyen de paiement ;
• n’agissaient pas comme des jetons utilitaires donnant accès à des produits ou services.

Néanmoins, les NFTs uniques et qui ne peuvent être fractionnés ou acceptés comme moyen de paiement, comme de simples points de fidélité, qui représentent des droits de propriété intellectuelle, des certificats d’authenticité d’un bien physique, étaient simplement exclus du champ du règlement sans davantage de précisons. Au demeurant, la seule attribution d’un identifiant unique ou leur désignation, description ou appellation en NFT ne suffit pas in fine à les exclure totalement du champ d’application du texte.

En outre, à la lecture des modifications opérées et donc de la nouvelle version amendée par le Parlement, les considérants 8 (a) et (c) présentent des développements importants pour l’avenir des NFTs non assimilables aux instruments financiers. Il y est notamment laissé entrevoir une future réglementation spécifique pour ces derniers sous l’égide de la Commission européenne, qui prendrait en compte les spécificités et besoins du secteur culturel et du divertissement.

MiCA : une nouvelle ère pour la zone euro ?

La dernière version de la proposition de règlement européen MiCA revient également sur la limitation de la faculté d’émission de jeton aux personnes morales en l’élargissant aux personnes physiques, un point particulièrement important pour les artistes et une évolution souhaitée notamment par le Groupe de travail « NFTs et marché de l’art » de l’Institut Art & Droit Sous-groupe « Règlementation des NFTs d’œuvres d’art ».

Malgré des améliorations notables, la proposition de règlement MiCA ne fait pas l’unanimité et le futur de ce texte reste incertain dans un contexte international concurrentiel où les monnaies numériques de banques centrales (MNBC) commencent à émerger, à l’image du e-yuan. Cette schizophrénie ressort de textes qui tentent de concilier des enjeux divergents à la lumière de l’ensemble des autres dispositifs législatifs en cours d’élaboration.

En parallèle se déroule d’autres négociations au niveau européen, dans le cadre du paquet législatif relatif à la lutte anti-blanchiment, adopté par la Commission européenne le 20 juillet 2021, ces mesures sont destinées à saper l’anonymat des transactions en cryptomonnaies afin de pouvoir mieux lutter contre les pratiques illégales. Celui-ci inclut une proposition visant les transferts de cryptomonnaies, intégrée dans la révision du règlement sur les informations accompagnant les transferts de fonds. Cette proposition consisterait à imposer aux fournisseurs de services de paiement des obligations d’informations sur l’émetteur et le bénéficiaire des transferts en cryptomonnaies.

Ce nouveau régime juridique devrait néanmoins renforcer la confiance des consommateurs dans les cryptoactifs. La mise en œuvre du Règlement se fera très certainement de manière progressive afin d’éviter toute interruption brutale des activités de la part des acteurs européens. 

Cet article a été préparé par Marion Deleporte (stagiaire Legal Brain promotion 2022) et Matthieu Quiniou (associé fondateur).

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Pourquoi le rescrit fiscal JEI est-il important pour les jeunes entreprises ?

La demande de rescrit jeune entreprise innovante (rescrit JEI) permettra de bénéficier d’exonération fiscale de manière sécurisée. Le rescrit permet en effet de poser une question d’ordre fiscal à l’administration afin qu’elle donne une réponse personnalisée en fonction de votre situation. Cette réponse engage l’administration vis-à-vis de votre société. 

Ainsi, en tant que jeune entreprise innovante, vous pouvez demander à l’administration fiscale si vous pouvez bénéficier de certaines exonérations fiscales. Si sa réponse est positive, il sera impossible pour elle de remettre en cause votre situation fiscale.

Une réponse positive à une demande de rescrit fiscal JEI est un atout en or pour toutes les jeunes entreprises. Grâce à elle, vous serez vu auprès des acteurs du marché comme une entreprise solide et crédible en matière d’innovation. Les aides financières seront également plus faciles à obtenir.

Pourquoi faire appel à un avocat pour le rescrit JEI ?

Les conditions pour obtenir ces avantages sont nombreuses et il est plus prudent de faire  appel à un avocat afin de faire une demande de rescrit.

Afin de monter au mieux votre dossier, il est nécessaire de faire appel à un avocat au regard des nombreuses conditions et spécificités de la demande de rescrit fiscal. Legal Brain Avocats vous aide d’une part à déterminer votre éligibilité et d’autre part à monter intégralement votre dossier de la manière la plus optimale qui soit. 

L’administration fiscale peut ne pas répondre positivement tout de suite. En effet, elle peut d’abord poser des questions spécifiques sur votre situation personnelle. Legal Brain Avocat vous aide également à répondre aux questions de l’administration fiscale.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Qu’est-ce que le rescrit fiscal ?

C’est une prise de position formelle de l’administration fiscale sur la situation de fait du contribuable qui en fait la demande au regard d’un texte fiscal. La réponse donnée par l’administration l’engage auprès du contribuable, si bien qu’une relation quasi contractuelle naît entre le contribuable et l’administration.

Quels sont les avantages du rescrit fiscal ?

Il faut savoir qu’il existe deux types de rescrits fiscaux :

• Le rescrit fiscal général
• Le rescrit fiscal spécial

Concernant le rescrit fiscal général, il correspond à la définition donnée ci-dessus. L’avantage est donc d’être assuré d’avoir des informations fiables concernant votre situation fiscale car, comme il a déjà été dit, l’administration s’engage dans la réponse donnée. Ainsi, l’administration ne pourra pas réhausser votre taux d’imposition après avoir fourni une réponse contraire. De plus, le rescrit fiscal démontre une certaine bonne foi de votre part à l’administration.

En bref, le rescrit fiscal général vous assure une sécurité juridique indéniable vis-à-vis de l’administration.

Concernant les rescrits fiscaux spéciaux, il en existe plusieurs types aux avantages différents. On peut citer par exemple le rescrit “entreprise nouvelle” afin de savoir si votre situation permet de bénéficier d’un allègement d’impôt prévu pour les nouvelles entreprises. Autre exemple, le rescrit “crédit d’impôt recherche” consiste pour un organisme à demander à l’administration fiscale si un projet de dépenses de recherches est éligible au bénéfice de ce crédit d’impôt.

D’autres procédures de rescrit visent par ailleurs à faire valider par l’administration des opérations effectuées par un organisme afin de sécuriser ses projets. C’est le cas par exemple du rescrit “clause anti-abus”.

Legal Brain Avocats propose de rédiger et transmettre votre rescrit fiscal à l’administration. Si vous souhaitez connaître tous les rescrits fiscaux possibles, contactez-nous.

Comment faire une demande de rescrit fiscal ?

Compte tenu des nombreuses procédures spéciales existantes, la demande de rescrit devrait fortement être menée par un avocat. Toutefois, il est toujours possible que le contribuable fasse cette démarche seul, au risque de voir la procédure rallongée à cause des échanges de réponses entre lui et l’administration.

Le code de procédure fiscale dispose que la demande doit absolument comporter le nom ou la raison sociale et l’adresse de l’auteur, ainsi que les dispositions (les articles de lois) que celui-ci compte appliquer. Ensuite, la demande doit être précise, complète et sincère. 

Cette demande doit être envoyée par tout moyen permettant de prouver sa réception. Ainsi, la lettre recommandée avec accusé de réception est le meilleur moyen pour l’envoi de la demande.

D’autres informations peuvent être demandées selon le type de rescrit sollicité.

Quels sont les délais à prendre en compte ?

La demande de rescrit fiscal doit se faire dans un certain délai. Elle doit absolument être faite avant le terme du délai laissé pour faire les démarches fiscales c’est-à-dire avant la fin du délai pour faire une déclaration ou avant la fin du délai pour payer un impôt.

A partir de la réception de la demande, l’administration aura un délai de 3 mois pour répondre. Si la demande est incomplète, le délai court à compter de la réception des informations complémentaires demandées.

Si vous n’êtes pas d’accord avec la réponse donnée par l’administration, vous pouvez demander un réexamen de votre demande dans un délai de 2 mois à compter de la réception de la réponse. La seconde demande doit être faite dans les mêmes conditions de fond et de forme que la première.

Les associations peuvent-elles faire une demande de rescrit fiscal ?

En effet, tout contribuable peut faire une demande de rescrit fiscal. La demande de rescrit faite par une association s’appelle le rescrit “mécénat”. Il permet à une association d’interroger l’administration fiscale sur son éligibilité au mécénat, c’est-à-dire sur son habilitation à recevoir des dons manuels non soumis aux droits d’enregistrement et à délivrer des reçus fiscaux.

En revanche, il est intéressant de noter que la Direction Générale des Finances Publiques, pour donner une réponse à un rescrit “mécénat”, prend en compte le message véhiculé par l’association concomitamment  à l’activité qu’elle déploie. Pour cela, la DGFIP se base sur une note qui classe les associations en trois catégories : celles qui véhiculent un message politique, celles qui ont pour objet de modifier la législation en vigueur sur des sujets précis et celles qui sont qualifiables de “religieuses ou sectaires”.

L’administration donnera une réponse différente en fonction de ces trois catégories d’associations.

Jeune entreprise innovante : pourquoi faire une demande de rescrit JEI ?

Le gouvernement a mis en place une exonération fiscale pour toutes les entreprises qui investiraient dans la recherche et le développement. Ces entreprises sont appelées les jeunes entreprises innovantes (ou JEI). Pour bénéficier de cette exonération fiscale, il n’est pas nécessaire de faire un rescrit, celui-ci étant uniquement utile pour connaître l’avis de l’administration fiscale sur votre situation personnelle.

Pour bénéficier de cette exonération fiscale, il faut :

• être une PME : avoir moins de 250 employés et avoir un chiffre d’affaire inférieur à 50 millions d’euros
• avoir moins de 8 ans d’existence
• Avoir un volume minimal de dépense dans la recherche
• Être indépendante
• Être réellement nouvelle : dans le sens où elle ne doit pas être issue d’une restructuration ou d’une extension d’activité préexistante ou d’une reprise d’une telle activité.

Néanmoins, le rescrit fiscal JEI peut s’avérer très utile pour ce genre d’entreprise car il prévoit de nombreux bénéfices.

Tout d’abord, tout comme les autres rescrits fiscaux, il permet de sécuriser votre entreprise en ce que la réponse donnée par l’administration fiscale l’engage vis-à-vis de vous. Si la réponse est positive, ni l’URSSAF ni la  DGFIP ne pourra remettre en cause votre éligibilité.

De plus, le statut JEI est lié au “crédit d’impôt recherche” car tous deux répondent aux mêmes conditions. Ainsi, un rescrit fiscal JEI vous permet de vous assurer également de votre éligibilité au crédit d’impôt recherche.

Enfin, avoir un rescrit validé par la DGFIP vous permet d’avoir une crédibilité auprès de différents acteurs importants, notamment de la banque publique d’investissement (BIP). Même si avoir un rescrit validé n’est pas un critère pour obtenir une aide de la BPI, cela joue un rôle important dans l’obtention d’une aide. 

En revanche, il faudra veiller à vérifier chaque année que votre situation n’a pas évolué au point de ne plus être éligible à cette exonération fiscale.

Quand demander un rescrit fiscal ?

Dès lors qu’il existe un doute sur votre éligibilité à une exonération fiscale ou à un dispositif fiscal de défiscalisation par exemple, il est très fortement recommandé de demander un rescrit fiscal afin d’éviter un contrôle fiscal peu rassurant.

Comme dit au-dessus, la demande de rescrit fiscal doit absolument être faite avant le terme du délai laissé pour faire les démarches fiscales c’est-à-dire avant la fin du délai pour faire une déclaration ou avant la fin du délai pour payer un impôt.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr. 

Nom de domaine : de quoi parle-t-on ? 

Le nom de domaine correspond à une dénomination électronique unique d’un organisme, permettant de l’identifier sur Internet. Il a donc un double rôle : il est à la fois un signe de ralliement de la clientèle et un instrument de la localisation de l’activité commerciale d’une entreprise. Les noms de domaines disposent soit d’un suffixe ou extension générique (.com, .org etc), soit d’un suffixe géographique (.fr, .eu).

Comment réserver un nom de domaine ?

Réserver un nom de domaine, n’est pas aussi difficile et long qu’on pourrait le penser.  Le principe étant « premier arrivé, premier servi ». C’est en effet, celui qui a déclaré en premier réserver la dénomination d’un nom de domaine qui en sera le titulaire légitime et pourra alors empêcher son acquisition par un autre, quel que soit le secteur d’activité et sous réserve que le nom ne porte pas atteinte à des droits antérieurs des tiers. 

Pour se faire, il suffit simplement de se tourner vers des bureaux d’enregistrement ou « Registrars », qui sont des sociétés prestataires de services tels que des fournisseurs d’accès à internet, des hébergeurs etc. Ces bureaux d’enregistrements doivent être accrédités par les organismes pour la création des noms de domaine sous les extensions qu’elle gère. 

Selon les suffixes, l’organisme chargé de l’enregistrement et de la protection des noms de domaines n’est pas le même : 

• En France, l’organisme compétent pour les extensions en « .fr » est l’AFNIC (Association française pour le nommage internet),
• Au niveau européen, pour les extensions en «.eu », c’est l’EURid (European Registry for Internet Domains) qui est compétent 
• Au niveau international, pour les extensions en « .com », « .net », « .org » etc, c’est l’ICANN (Internet corporation for assigned names and numbers) qui est l’organisme compétent. 

La plupart des bureaux d’enregistrement accrédités par l’AFNIC, dont WHOIS, propose un formulaire en ligne qui permet de fournir les informations nécessaires à la prise en charge d’une demande de réservation du nom de domaine que vous. 

Quelles sont les conditions de validité d’un nom de domaine ?

Le choix du nom de domaine est libre tant qu’il respecte la protection des noms de domaine. Par exemple, pour qu’il soit valable, certains termes prévus dans la charte de nommage et les lois françaises doivent êtres respectés tels que : 

• Le nom de domaine choisi doit être conforme à l’ordre public, aux bonnes mœurs,
• Il doit être disponible, c’est-à-dire ne pas déjà l’objet d’un enregistrement auprès de l’Afnic,
• Il ne doit pas utiliser de termes susceptibles de porter atteinte à des droits de propriété intellectuelle ou de la personnalité, sauf si l’entreprise justifie d’un intérêt légitime et agit de bonne foi,
• Il doit respecter les contraintes syntaxiques
• L’enregistrement d’un nom de domaine ne peut se faire si le nom est interdit ou réservé 

A défaut, l’Afnic peut être amenée à en refuser l’enregistrement, par l’intermédiaire du bureau d’enregistrement sollicité pour la demande. 

Pourquoi protéger son nom de domaine ?

La protection des noms de domaine est essentielle pour tout organisme disposant d’un site internet, puisque le nom de domaine est un élément clé de leur identité en ligne et un moyen de communiquer avec le monde sur leur activité. Il est alors indispensable de le protéger contre les nombreux risques sur le net. 

Parmi les dangers présents sur Internet, on peut retrouver : 

• Le cybersquatting ou vol de nom de domaine qui est une pratique consistant à l’enregistrement d’un nom de domaine identique ou similaire à une marque, avec l’intention de nuire à un tiers ou d’en tirer profit injustement. 
• Le typosquatting, qui est une forme de cybersquattage consistant à l’enregistrement d’un nom de domaine comportant des fautes de frappe et d’orthographe, pouvant induire l’internaute vers cette adresse erronée. 
• Le slamming, qui est une pratique consistant à inciter les propriétaires de noms de domaine à renouveler leur abonnement dans un autre bureau d’enregistrement en prétextant des fausses factures de renouvellement ou à un chantage à l’enregistrement. 
• La concurrence parasitaire, désigne la pratique par laquelle une entreprise s’immisce dans le sillage d’une autre afin de tirer profit de ses efforts, de son savoir-faire ainsi que de sa notoriété sans rien dépenser.

Comment protéger son nom de domaine ?

La protection des noms de domaine ne passe par la simple réservation. Il est en effet conseillé, pour bénéficier d’une véritable protection juridique, que le nom de domaine s’apparente  à un signe distinctif, pour pouvoir jouir de la protection du droit des marques, par le biais de l’action en contrefaçon. Le nom devra alors respecter les conditions de validité des marques. A défaut, la seule action possible pour le titulaire du nom est celle en concurrence déloyale ou parasitisme sur le fondement de la responsabilité civile délictuelle.

Pourquoi et comment renouveler son nom de domaine ?

Un nom de domaine n’est pas valable à vie, il dispose d’une durée renouvelable allant de un à dix ans, puis expire. Il faut donc penser à le renouveler chaque année pour éviter qu’il ne retombe dans le domaine public. Le propriétaire dispose de 30 jours après sa date d’expiration pour réactiver son domaine et le renouveler. Le renouvellement s’effectue auprès d’un bureau d’enregistrement et selon ses modalités.

Le nom de domaine peut-il être transféré ? 

Oui. Le nom de domaine peut être transféré à condition que la personne soit éligible à l’enregistrement d’un nom de domaine. Ce transfert sera considéré comme un nouvel enregistrement, signifiant alors que le titulaire du nom devra payer un nouvel enregistrement et que le domaine devra être renouvelé exactement un an après la date du transfert. 

Peut-on récupérer un nom de domaine acheté par un tiers et qui porte atteinte à ma marque ? 

Oui, le propriétaire d’une marque peut solliciter la récupération d’un nom de domaine, lorsque le domaine utilisé ne respecte pas trois conditions cumulatives : 

• Le domaine est identique ou similaire à la marque déposée ;
• Son titulaire n’a pas de droits ou d’intérêt légitime dans le dépôt ;
• Le domaine est enregistré et utilisé de mauvaise foi.

Pour renforcer la protection des noms de domaine, lorsque l’usage du nom de domaine par un tiers porte atteinte à la fonction essentielle de la marque, son titulaire peut récupérer le domaine litigieux. C’est le principe affirmé dans un arrêt, rendu le 5 juin 2019, par la chambre commerciale de la Cour de cassation.

Dans cet arrêt, les juges ont fait primer le droit des marques sur l’enregistrement d’un nom de domaine, et ont accordé le transfert du nom de domaine « Saône et loire » appartenant à un bureau de géo référencement au territoire du département propriétaire de la marque « Saône-et-Loire le département ».

La Cour a considéré au vu des faits en l’espèce et aux termes de l’article L 45-2 du code des postes et des communications électroniques,  qu’un éventuel risque de confusion peut se créer dans l’esprit du consommateur de la reprise du signe, que le bureau n’avait aucun intérêt légitime à obtenir l’enregistrement et le renouvellement des noms de domaines litigieux, et, enfin, que l’activité de la société, ne constituait pas forcément des services en rapport avec le territoire du département en cause.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuelle, le droit des relations numériques de travail, la blockchain, le droit pénal du numérique, le droit de l’e-sport et bien d’autres.

Nos services :

• Réalisation de notes juridiques 
• Notes d’intelligence juridiques
• Communication pour des cabinets d’avocats
• Elaboration d’outils technologiques utiles pour le droit
• Litiges, conseils, corporate, rédaction d’actes

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr.