Bonsoir,
Les brèves de cette semaine par le Collectif sont désormais disponibles. Si vous avez le temps, n’hésitez pas à nous faire un petit retour sur nos réseaux sociaux respectifs.
Très bonne lecture et à la semaine prochaine pour de nouvelles brève juridiques.
Cybersécurité du secteur financier : le Règlement « DORA » en route vers l’adoption
Le 10 mai 2022, le Conseil Européen et le Parlement Européen sont parvenus à un accord provisoire sur la proposition de règlement sur la résilience opérationnelle numérique du secteur financier, dit Règlement « DORA » (Digital Operational Resilience Act).
La proposition du Règlement DORA, présentée par la Commission Européenne le 24 septembre 2020, constitue l’un des piliers du paquet « finance numérique » avec la proposition de règlement sur les marchés de cryptoactifs (MiCA), la proposition de règlement sur un régime pilote pour les infrastructures de marché et la proposition de directive visant à clarifier ou à modifier certaines dispositions connexes de l’Union sur les services financiers. Ces textes visent un objectif commun : adapter le secteur financier face au numérique et aux risques liés aux technologies de l’information et de la communication (TIC). Le règlement s’inscrit également dans la continuité de la Directive NIS (Network and Information System Security), adoptée le 6 juillet 2016, qui soumet déjà certains services essentiels à des obligations de sécurité de leur système informatique.
Le projet porté par le Règlement DORA se résume à imposer une sécurité informatique aux professionnels du secteur financier. L’objectif étant de renforcer la résilience opérationnelle numérique des entreprises du secteur, c’est-à-dire, comme le définit l’article 3 de la proposition, d’accroître leur capacité à développer, garantir et réévaluer leur intégrité opérationnelle d’un point de vue technologique en assurant l’intégralité des capacités liées à l’informatique nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui permettent la fourniture continue de services financiers et leur qualité.
Quels sont les acteurs concernés ? Le champ d’application est large puisque l’article 2 de la proposition vise presque tous les types d’entités financières. Parmi elles, les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement et les prestataires de services sur cryptoactifs. Seule exception du secteur : les auditeurs.
Concrètement, les entreprises du secteur financier se verront contraintes de renforcer leur gouvernance en matière informatique. Cela se manifeste par la prise de mesures en matière de gestion des risques liés aux TIC. Les articles 4 à 14 de la proposition prévoient que cette gestion des risques passe par leur identification, classification, prévention et protection, ainsi que par une réponse adaptée. Afin de vérifier l’efficacité des mesures de résilience des entités financières, le règlement prévoit la faculté pour les autorités nationales d’effectuer des tests de pénétration. Ces tests de résilience permettront de tester l’efficacité des entreprises du secteur financier quant à leur cybersécurité et cyberdéfense.
Le Règlement DORA n’est, à ce jour, pas en vigueur. L’accord conclu le 10 mai 2022 doit être approuvé par le Conseil et le Parlement européen avant de pouvoir être adopté.
Diane MALBOIS
Sources :
Un accord historique fixe une rémunération minimale pour les artistes interprètes
Ce vendredi 13 mai a été signé au Ministère de la Culture, un accord a été signé entre les syndicats d’artistes-interprètes et les producteurs de musique. Il a été conclu dans la lignée de la directive européenne sur le droit d’auteur adoptée en 2019, il permet de garantir une rémunération minimale des artistes diffusés sur les plateformes de streaming. Ces organisations militaient pour une meilleure rémunération des artistes-interprètes. Par une ordonnance du 12 mai 2021, le gouvernement avait donné 12 mois aux organisations de producteurs et d’artistes-interprètes afin de trouver un accord.
Après une longue période de négociations, un accord a finalement été conclu afin de fixer une rémunération minimale pour les artistes. Cet accord est bienvenu lorsque l’on sait que jusqu’à présent 90% des artistes perçoivent moins de 1000 euros par an issus du streaming, alors même que les titres dépassent souvent les 100000 écoutes. Les interprètes accompagnant les artistes étaient essentiellement rémunérés au cachet pour un enregistrement mais ne bénéficiaient d’aucune rémunération pour les écoutes en streaming.
Ce nouvel accord prévoit plusieurs nouvelles mesures. Tout d’abord, l’instauration d’un taux minimum de royalties versées aux artistes principaux pour la diffusion de leurs titres en streaming. Ces derniers toucheront entre 10 et 11% de la somme versée par les plateformes aux producteurs. Ce pourcentage était sujet à discussion et il favorisait les têtes d’affiches qui pouvaient mieux négocier leur contrat.
Il prévoit également au titre du streaming, une rémunération forfaitaire d’un peu plus de 100 euros par album et ce pour chaque musicien et interprète impliqué, avec de nouvelles rémunérations déclenchées systématiquement selon les paliers à partir de 7,5 millions d’écoutes en streaming pour le demi-single d’or et 15 millions pour le single d’or. Ainsi les musiciens accompagnateurs pourront aussi être pris en compte dans le processus de rémunération. « Cela peut paraître beaucoup, mais le nombre d’abonnés aux plateformes de streaming augmente de jour en jour. Le volume de streams va nécessairement augmenter, notamment avec l’arrivée de plus en plus d’adultes », tempère Bruno Boutleux de l’Adami.
De plus, une avance de 1000 euros pour les artistes principaux afin de financer leurs projets. Une somme piochée là aussi dans la somme versée par les plateformes aux producteurs. Sachant qu’à l’heure actuelle, les plateformes telles que Spotify, Apple Music ou Deezer versent environ 70% de leurs recettes aux producteurs de musique. De quoi favoriser des genres qui manquent parfois de moyens, « notamment le jazz et la musique du monde », se félicite Bruno Boutleux, le directeur général de l’Adami, organisme qui gère les droits des artistes interprètes. Sera également mis en place un fonds, financé directement par les producteurs, pour aider les nouveaux artistes et les plus fragiles à financer leur album.
L’État s’est également engagé à cofinancer et à renforcer un dispositif de solidarité (FONPEPS) permettant, entre autres, de soutenir les petits labels et les artistes émergents.
Avec la révolution numérique qui a creusé un fossé entre certains artistes qui avaient pour certains des contrats relativement datés, cet accord pourra consolider un même socle d’égalité. « Il y aura désormais quelque chose de plus limpide » assure Sophian Fanen de Radio France, ajoutant que cela remettra de « l’équilibre entre les producteurs et les artistes et pas seulement les artistes principaux qui étaient les seuls à recevoir de l’argent du streaming ».
Si cet accord est très bénéfique pour les artistes-interprètes, il demeure tout de même plusieurs ombres au tableau. En effet, l’accord concerne les producteurs mais n’est pas contraignant pour les plateformes de streaming. Il y a également la question délicate des fausses écoutes (« fake streams ») ou encore, comme le souligne le journaliste musical Sophian Fanen, le cas de la musique classique dont les morceaux, généralement plus longs, ne devraient pas avoir à se contenter du même mode de rémunération qu’un morceau de trois minutes.
Nefssetou GASSAMA
Sources :
Doctolib, et si nos données de santé étaient moins bien gardées qu’on le pensait ?
Une employée de Doctolib, le 3 avril 2019. Certains employés de l’entreprise ont accès à nos données personnelles. (AURELIEN MORISSARD / MAXPPP)
L’article 9 du RGPD définit les données de santé comme des données à caractère personnel particulières de par leur sensibilité. Leur traitement est conditionné au remplissage de certaines conditions qui s’assurent qu’il est nécessaire à l’intérêt vital de la personne. Dès lors, le traitement de ces données de santé par des plateformes notamment de mise en relation de patients et de personnel de santé soulève des interrogations. En effet, le rassemblement massif de données de santé sur le serveur d’une entreprise expose en cas de faille ces données à un danger que les autorités françaises et européennes ne sauraient souffrir.
Doctolib a semblé bien comprendre les enjeux liés à la sécurisation des données qu’elle est en mesure de récolter et avoir fait le nécessaire pour se garantir la confiance à la fois des patients et des professionnels de santé. En juin 2020, l’entreprise a ainsi annoncé avoir développé une solution permettant le cryptage bout à bout des données de santé des utilisateurs les rendant accessible uniquement aux professionnels de santé concernés et aux personnes à qui elles appartiennent.
Cette garantie a permis à l’entreprise de bénéficier de la période de Covid et des exigences de vaccination pour se propulser en tant que tête d’affiche au niveau européen du secteur des plateformes de rendez-vous en ligne. Elle est ainsi seule détentrice de la plupart du marché et est utilisée par la plupart des professionnels de santé en France (90%) mais aussi en Allemagne et en Italie. De plus, une levée de fonds en mars 2022 de 500 millions d’euros a fait de l’entreprise la première licorne française (startups valorisées à plus de 1 milliard de dollars) avec une valorisation à 5,8 milliards de dollars.
Cependant, Radio France et la Quadrature du net ont mené une enquête qui risque de mettre à mal la place a priori immuable de Doctolib dans le paysage médical français. En effet, les enquêteurs ont montré en observant le code source du site que si les pièces jointes échangées entre un médecin et ses patients sont bien cryptées de bout en bout et donc extrêmement sécurisées, les données relatives aux rendez-vous en eux-mêmes ne bénéficient de ce mécanisme qu’entre l’entreprise et les utilisateurs. Ainsi, les salariés de la première licorne française bénéficient d’un accès à ces données de rendez-vous alors que la communication de l’entreprise garantit bien le caractère chiffré de bout à bout. Ainsi, les failles de sécurité éventuelles auxquelles l’entreprise pourrait être soumise exposent les données relatives aux rendez-vous des utilisateurs. Notamment, la plupart des failles de sécurité étant internes et venant des salariés des structures, l’accès que ces derniers ont à ces données nuit ainsi directement à leur sécurisation.
Le conseil d’Etat a statué dans une décision du 12 mars 2021 que les données relatives aux rendez-vous de vaccination ne sont pas des données de santé. Toutefois, cette décision ne paraît pas généralisable à l’ensemble des données relatives aux rendez-vous médicaux. L’entreprise pourrait donc s’exposer à des poursuites relatives à son manque de transparence sur le traitement réel de ces données particulièrement sensible si celles-ci sont reconnues comme telles.
Jean SOUQUET-BASIEGE
Sources :
https://www.numerama.com/tech/970839-doctolib-et-le-chiffrement-pourquoi-y-a-t-il-polemique.html?fbclid=IwAR3g4IB2IhlmsL-mwqsZdRMj10aLQpaRju1XBlad9vokkIPA8pvcx97OTwE
https://www.francetvinfo.fr/internet/securite-sur-internet/enquete-doctolib-certaines-donnees-medicales-ne-sont-pas-entierement-protegees_5147644.html
https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9
https://business-cool.com/decryptage/classements/classement-licornes-francaises-valorisation/
Twitter met en place une nouvelle politique de lutte contre la désinformation
Il y a quelques jours Twitter a annoncé sa nouvelle politique pour lutter contre la désinformation. Cette mise-à-jour des règles d’utilisation intervient en pleine procédure de rachat de la société par Elon Musk, bien que ces derniers jours cette dernière soit mise à mal, pour des raisons financières et du nombre de faux comptes trop élevé (bot).
Aussi, le 19 mai, Twitter a annoncé que cette nouvelle politique en matière de désinformation porterait principalement à propos des crises (guerre, pandémie, etc). Concrètement, le réseau social affichera des avertissements sur certains tweets jugés trompeurs. Ce procédé devrait se traduire par la mise en place d’un système similaire au signalement d’images à caractère explicite (déjà existant). Dès lors, un message d’avertissement indiquera que ledit tweet a enfreint les règles de Twitter en matière de propagation de fausses informations. Cependant, les utilisateurs pourront toujours lire le tweet, après prise de connaissance de l’avertissement, sans que celui-ci puisse être retweeté, liké et commenté ou mis en avant par l’algorithme.
L’objectif affiché par Twitter est clair : endiguer la diffusion de fausses informations et préserver la confiance envers les institutions qui luttent contre le partage d’allégations trompeuses.
Parce que, selon Yoel Roth, responsable de la sécurité et de l’intégrité du réseau social, « la modération de contenus est bien plus que de juste choisir entre laisser un contenu en ligne ou le retirer. Nous avons élargi notre champ d’action que nous pouvons prendre afin de nous assurer que les mesures soient proportionnelles à la gravité du préjudice potentiel ».
Néanmoins, se pose la question de savoir quels seront les contenus concernés ? Notamment de décider quel tweet a enfreint la nouvelle politique ? Pour ce faire, le réseau social aura recours à des groupes de surveillance des conflits, des organisations humanitaires ou encore des articles journalistes pour s’assurer de la véracité des informations. En outre, ci-dessous, il est possible de trouver des hypothèses de tweet potentiellement trompeur.
* S’il présente une fausse couverture ou un faux compte rendu d’un événement, ou s’il donne des informations qui décrivent mal les conditions sur le terrain au fur et à mesure que le conflit évolue ;
* S’il publie de fausses allégations concernant le recours à la force, les incursions dans la souveraineté territoriale, ou autour de l’utilisation d’armes ;
* S’il publie de fausses allégations de crimes de guerre ou d’atrocités de masse contre des populations spécifiques ;
* S’il publie de fausses informations concernant la réponse de la communauté internationale, les sanctions, les actions défensives ou les opérations humanitaires.
In fine, le réseau social analysera les messages portant sur la guerre en Ukraine puis s’élargira à d’autres sujets. Et surtout, au commencement, comme le souligne Siècle Digital : « Seuls les comptes considérés comme suffisamment importants pour influencer une grande communauté seront ciblés par la nouvelle politique de Twitter ». Autant dire que les fausses informations ont encore de beaux jours devant elles.
Anthony THOREL
Sources :
https://blog.twitter.com/en_us/topics/company/2022/introducing-our-crisis-misinformation-policy