Droit du Numérique - Licence 3 PDF

[Droit du numérique -- Licence 3] Thème 1 : La conformité de Chat GPT à la protection des données personnelles. (RGPD) ------------------------------------------------------------------------------------ Hawking, a rédigé un ouvrage « des réponses courtes à de grandes questions » dans lequel il énonce sa crainte que l'intelligence artificielle remplace les humains à terme. En effet, il avance que le rythme de l'évolution biologique limite la croissance des humains. « Réussir à créer une intelligence artificielle serait le plus grand évènement de l'histoire de l'humanité mais cela pourrait etre le dernier à moins que nous apprenons à limiter le risque ». [Quid : une IA pourrait t elle nous remplacer un jour ? ] [Définition de l'IA :] Domaine de recherche scientifique qui vise à copier le fonctionnement du système cognitif humain. Il permet ainsi de créer des processus décisionnel comparable au cerveau humain. Grace à la convergence d'une grande puissance de calcul, des algorythmes, l'IA ces dernières années a connu une croissance exponentielle. Cette dynamique favorise le déploiement de l'IA dans de nombreux secteurs : ils sont capables de créer des films, des photos, des romans, des diagnostics médicaux. Les progrès de la technologie, de l'IA, on permit d'introduire des nouvelles méthode d'analyse dans le domaine du traitement de langage naturel. Illustration récente : chat gpt qui est un robot professionnel créer et dvp par l'entreprise d'Elon Musk. Aujourd'hui on utilise le Chat GPT n°3. Bientôt ce sera le GPT n°4. Le numéro 3 a été annoncé pour la première fois en mai 2020 et par la suite ouvert aux utilisateurs par une application en juillet 2020. Aujourd'hui c'est un véritable produit commercial. Cet été on a pu compter 1,8 milliards de visiteurs de GPT avec 200 millions d'utilisateurs mensuels. En effet, GPT 3 est le plus gros modèle de langage avec 175 milliards de paramètre, Pour comparer GPT 2 sorti en 2019 avait lui que 1,5 de paramètres. GPT 4 aura entre 400 et 500 milliards de paramètres. Mais il n'ya pas seulement GPT qui traite cela, beaucoup d'autres plateforme tel que Google propose son IA. Cette nouvelle IA, est novatrice dans le domaine du traitement de langage naturelle, presque tout le monde l'utilise. En Californie plusieurs avocats ont déjà été condamnés après avoir utilisés Chat GPT pour rédiger leurs conclusions pour leurs plaidoiries. Chat GPT est entrainé pour répondre même si cela est faux. Cette nouvelle IA séduit mais en même temps elle effraie. Au point qu'en moins de qq semaines après sa sortie certaines universités l'ont interdite. Pour les autres, elles ont sensibilisés contre l'IA. Chat GPT est capable de comprendre l'essence des textes, des mots ce qui permet d'agir avec autonomie. Chat GPT utilise un réseaux de neurone permettant de créer des textes semblables à celui écrit par les humains. Il peut aussi résoudre des exercices ou alors comprendre des sujets philosophiques. Contrairement à de nombreux outils de traitement de textes naturels, GPT est lui capable de le faire de manière autonome en utilisant uniquement l'apprentissage automatique. Et c'est cette capacite autonome qui le rends novateur. Cet nouvel outil a conquis beaucoup d'utilisateur : un millions d'utilisateurs en 5 jours. Le GPT est ainsi un outil puissant pour résoudre de nombreuses taches dans des domaines divers : droit, médecine. Toutefois, GPT est incapable de produire des pensées indépendantes ou de prendre des décisions. Il peut uniquement analyser les données avant 2021 et pas avec des données récentes. GPT est un outil novateur puissant, pourtant pour le moment, aucune règlementation n'est là pour l'encadrer ce qui pose de nombreux pb : sociaux, éducatif, juridique... des nombreuses dispositions sont ainsi en cours un peu partout dans le monde en ce qui concerne son encadrement. Pour le moment aucune mesures concrètes n'ont été prises mais beaucoup réclame un tel encadrement légale et en particulier ceux qui l'ont inventé. Les droits de PI sont assez inadéquats pour faire face à ces nouvelles intelligences : elles sont mal équipées pour répondre à ces évolutions technologiques. La création des IA sont-elles dignes d'une protection juridique ? Est-ce une œuvre dont les droits d'auteurs peuvent couvrir ? [Quid : Chat GPT est-il ou non conforme au RGPD ? \> application et effets ] Le RGPD est une règlementation européenne directement applicable (nul besoin de transposition) qui vise à proteger la vie privé de tous les citoyens, toutes les personnes de l'UE. Cette règlementation européenne était l'une des premières en la matière et sert de modèle dans d'autres pays tel que la Chine. En effet, la principale préoccupation du RGPD est la protection des données personnelles des utilisateurs. Pour etre conforme, Chat GPT doit garantir la protection des données personnelles des utilisateurs, elle le doit même si à la base cet outil est proposé par une entreprise américaine. Car les règlements ont un champ d'application très large. Le RGPD impose que l'entreprise Open AI obtiennent le consentement des utilisateurs pour collecter les données personnelles de chacun. Le droit à l'oubli peut etre exercé par les utilisateurs également sur simple demande ; GPT est devenue plus transparent sur la matière. En septembre 2023 plusieurs autorités de régulation on voulut censurés cet outil, la CNIL Italienne pendant 2 mois, a coupé court à GPT : on ne pouvait plus l'utilisé car ne répondait pas au RGPD selon elle. Chat GPT s'est donc engagé à améliorer au moins sa transparence. Il faut savoir qu'il y'a encore beaucoup de défi pour GPT face aux RGPD. Actuellement on peut dire que GPT n'est pas entièrement conforme au RGPD. Plusieurs défis sont encore majeurs tel que l'identification des données personnels dans les interactions avec GPT. En effet, les données peuvent etre noyés dans des conversations complexes ce qui peut etre très difficile face à une demande d'un droit à l'oubli = en cours de règlement 2 e défi : Le RGPD impose des restrictions sur le transfert de donnée en dehors de l'UE. Or, les serveurs de GPT peuvent être situé en dehors de l'UE donc la conformité du règlement peut être remise en question. Pour le moment beaucoup de questions se posent... On considère que GPT ne respecte pas l'article 5, 12,15,17, 16 et 25 du règlement selon les experts et donc pas conforme au RGPD. Cette non-conformité peut etre résolu en partie mais pas totalement car techniquement cela n'est pas possible, il y'a des données dispersées un peu partout donc la main mise sur GPT est très compliquée. Chat GPT utilise les informations qu'ils trouvent un peu partout elles peuvent être bonnes comme fausses, fake. Elle manipule plusieurs sources, il faut l'utiliser avec précaution. §1 : Introduire les notions fondamentales. Les fondements textuelles de la matière : la constitution est un maniement de fichier qui contient des informations sur les personnes physiques. Celle-ci a été encadrée très tôt par la loi de 1978 dite informatique et liberté en FR. En effet, au début des années 70, l'informatique personnel n'existait pas mais existait avec des outils de traitement de l'information qui s'est largement étendue aux professionnels notamment l'administration publique. (adm pb). Plus précisément l'adm pb en France disposait depuis longtemps de considérable gisement de données sur les citoyens, elles étaient très importantes. On parlait meme de « **réservoir d'information** » détenu par la puissance publique. A l'époque, ils étaient isolés les uns des autres. Or, les voici tout à coup doté de capacité à croiser, comparé et rapprocher leurs contenu. Une puissance nouvelle apparait et celle-ci était dans les mains des pouvoirs de l'Etat. Elle porte à la fois des progrès mais aussi des dangers. Ainsi, les premières législations en FR ou ailleurs dans le monde [visait à encadrer les traitements d'informations détenu par l'autorité publique.] Ces premières législations apparaissent très tôt et plus précisément la toute première loi est apparue en 1970 dans la Hess (Frankfort) par la suite, c'est la suède en 1973 qui adopte une loi similaire et puis en 1974, c'est aux USA qu'une loi venant encadrer les traitements d'informations qui est adopté. Et en France c'était la loi de 1978 « informatique et liberté ». En FR c'est l'affaire Safari qui a poussé les puissance publique à agir. \> Illustration : Livre de Guy Braibant : « données personnelles et société de l'information. » à la base c'était un rapport fait en 98 pour le premier ministre, qui décrit les origines de la loi française encadrant le traitement des données. En 1970, l'INSEE de son propre chef décide d'informatiser son répertoire et le numéro d'identification de tous les Français. Ce répertoire avait été créée par le service de la démographie au printemps 1941 à partir du relevé des registres des actes de naissance = but de parvenir à l'identification unique pour les fichiers de toutes les adm pb et les caisses de la sécurité sociale. Dans le meme temps le ministère de l'intérieur voulait centraliser la base de donnée de la police notamment judiciaire. Or le paradoxe de cet article est que le premier ministre avait écarté toutes proposition de débat public sur le projet d'informatisation du gouvernement et ce contre les recommandation du Conseil d'Etat. Par la suite, de nombreux texte aurait dû etre adopté par l'Europe. Une directive a été adopté en 1975 et dont la première a été adopté en 1915 ; elle portait en général sur la protection des données à caractère personnel. = première en matière européenne et a rendu necessaire la modification de la loi française ce qui a été fait 9 ans plus tard. En 2000, a été adopté la charte des 3 fondamentaux de l'UE. Elle a consacré dans son article 8 un droit à la protection des données à caractère personnel. Ensuite, ont été adoptés une série de directive sectorielle mais concernant des secteurs particuliers. Notamment dans le secteur des communications électroniques ou aux infractions pénales : le 27 avril 2016. Enfin, fut adopté un peu plus tard, le RGPD et plus précisément le règlement 2016/679 du parlement européen du 27 avril 2016 relative a la protection des individus par la protection personnelle et a la liberté de circulation de ces données. Ce règlement vise donc la protection des données. Ce règlement est rentré en vigueur en mai 2018 et remplace plusieurs règles européennes comme celles de 95 et en France, la loi informatique et liberté. Ce règlement est d'application direct. Néanmoins, en FR a été adopté le 20 juin 2018 la loi relative à la protection des données personnelles étant destinée à utiliser les marges d'appréciation laissé par les Etats par le règlement européen qui est d'application direct. Il harmonise mais laisse une marge. Enfin, un autre règlement européen sur la protection de la vie privé en ligne (vie privée et communication électronique) est en voie d'adoption et ce règlement vise à remplacer les directives précédentes notamment celle de 2002 dites « directive cookie » relative au secteur des communication et de replacer e-privacy de 2002 et actualiser en 2009 par une autre directive celle des cookies. = les états membres ne sont pas d'accord depuis qq années c'est pour cela qu'il est encore en discussion, le projet a été proposé par la commission en 2017. Le rgpd et le règlement e-privacy sont tous les deux conçu pour protéger la vie privée des individus dans l'union eu mais la principale différence est que le rgdp s'applique à toutes les activités de traitement des données personnels alors que la directive se concentre uniquement et explicitement sur les communications électroniques. Le e privacy impose des exigences très stricte sur l'utilisation des cookies et les autres technologies de suivi. [Quid de la différence entre ce règlement avec les RGPD ? ] Les 2 sont conçues pour proteger la vie privée des citoyens européens. Mais la principale différences entre les 2 est que les RGPD s'applique à toutes les activités de traitements des données tandis que le règlement de 2017 e-privacité se concentre seulement sur les communications électroniques. Plus précisément, ce dernier couvre diverses communications électroniques les e-mail mais aussi la messagerie instantanées... Il arrive que des mesures soient prises pour garantir la confidentialisé de ces communications. Les entreprises derrières doivent donc sauvegarder cette confidentialité. En outre, il impose des exigences strictes sur l'utilisation des cookies et autres technologies dites de suivies. Dans l'intervalle, en droit FR, des lois ponctuelles sectorielles comporte des dispositions similaires sectorielles comme la loi de modernisation du système de santé de 2016 ou encore celle pour une république numérique. A. Quelques définitions : Données personnelles : en 1978 la loi visait les informations nominatives et elle définissait ce que cela était : 'sont réputées nominatives, les informations qui permettent sous quelques formes directement ou non que ce soit l'identification des personnes physiques...' CF article 4 sur CEL. La directive de 1995 a repoussé cette expression 'information nominative' au profit d'une autre notion : les données à caractère personnelles. La directive de 95 utilise cette expression dans son intitulé même en la définissant « Est une donnée à caractère personnelles, toutes informations concernant une personnes physique identifié ou identifiable directement ou indirectement » art 1. : qu'on retrouve à l'article 4 du règlement de 2016 qui reprends la même définition. La forme de l'information n'est pas importante (un texte, un son, une image, une donnée biométrique) mais dois se rapporter à une personne physique vivante en revanche les personnes morales et les morts ne sont pas concernées par le règlement européen. Ensuite, puisqu'il suffit que l'information en question permette l'identification indirect des personnes cela signifie que le champ des données concernée est très large. Exemple : l'adresse IP en constitue un bon exemple, elle ne désigne pas un individu mais un simple point d'accès aux réseaux et au mieux une machine connecté au réseau. Pour cette raison la ch. crim de la CC avait jugé que l'adresse IP n'était pas une donnée personnelle le 13 janvier 2009. Or plus récemment dans une DC rendu le 3 nov. 2016 par la CC en 1^er^ ch. civ a jugé que au contraire, 'les adresses IP qui permettent d'identifier indirectement une personne physique est une donnée à caractère personnelle'. La cour de justice de l'UE va dans le même sens le 19 octobre 2016: Il est vrai que connaitre l'adresse IP permet de connaitre le nom de la personne. Lorsque plusieurs personnes utilisent l'adresse IP la combiner avec d'autres informations permet de retracer la famille et les personnes qui utilise l'appareil ou le point de connexion derrière. = DC convaincante. Une seule information n'est pas suffisante mais en la croisant avec d'autres on pourrait donc identifier facilement la personne derrière. Que si les données véritablement anonymes existent. Et un chercheur américain, Mr Golle ce chercheur a montré qu'en croisant, combinant 3 information banales et inoffensive : le sexe, le code postal et la date de naissance on peut identifier de manière unique 63% de la population américaine. Ce qui est énorme. = n'existe pas. C'est pour cela que le règlement européen s'applique aussi sur les données qui n'ont pas été totalement anonymisé mais que pseudonymisées. Elles ont été transformées en code aprioris incompréhensible mais des lors qu'il existe une possibilité de remonter à une personne par des déductions et des moyens indirects alors le régime européen applicables est celui de la protection des données RGPD Les opérations concernées : en effet, le règlement européen est applicable à certaines données ainsi capturisé : traitement de données à caractère personnelles selon l'article 12. Celui-ci nous donne une définition de ces opérations de ces usages caractérisé ainsi. Définition : Art 12. = elle est très large mais aussi celle des opérations des traitements l'est aussi = champ d'application de l'article 12. B. Les grands principes qui s'appliquent à la matière : La collecte sobre et finalisé. En effet parmi les grands principes : celui-ci se retrouve à l'article 5 du RGPD (les données à caractère personnelles doivent être collecter pour des finalités déterminées explicite et légitime Il faut au contraire, selon le règlement, qu'elle détermine à priori les raisons pour lesquelles elle souhaite proceder à la collecte, il faut ensuite qu'elle se plie a une exigence de sobriété. En effet, les données doivent être adéquate, pertinente et limité à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traités. De cette exigence à la vérité pratique il y'a une différence. Il y'a un risque cependant : selon des tests réalisés par la CNIL : En 3 mois 150 milles accès par un réseau social à la géolocalisation d'un seul utilisateur : on ne voit pas quelle finalité, justification, elle légitimement avoir. Quid des moyens dont dispose les autorités chargées des contenus en ligne dont la CNIL en FR, sur les plans techniques, budgétaires et censorial. Sur ces questions, il y'a innovation du règlement européen. Principe d'une collecte sobre et finalisé : premier grand principe. On ne peut pas collecter les données pour les exploiter Une conservation temporaire des données : En effet, les données à caractère personnel constitue une matière à part ce qui nécessite des précautions d'emploi particulière ainsi ces données ne sauraient etre conservées éternellement ; Une première limite est posé par l'article 4 tient à la durée pendant laquelle elle reste exacte : en effet lorsque les professionnels ont la connaissance que des données qu'ils contiennent ne sont plus conformes à la réalité, ils doivent les supprimer ou les modifier sans tarder de sa propre initiative. Il faut limiter la vie des données dans le temps (ce que chat GPT ne fait pas) Limite autre : article 13, oblige les pro a fixer une durée de conservation des données. La personne concernée doit etre informé de cette durée. Après celle-ci les données doivent nécessairement disparaitre. Donc on va limiter la vie des données dans le temps. Contre-exemple : Société C discount condamné par la CNIL pour utilisation des données pendant + de 30 ans. C. Fondement de licéité du traitement : Une operation est licite si au moins une condition de l'article 6 est remplis On va parler du consentement de la personne concerné, dont le traitement de donnée doit être licite. Quid : comment rendre licite le traitement des données personnelles ? plusieurs possibilités : le consentement de la personne concernée. En effet cf. l'article 6 du RGPD. = au moins 1 condition remplie parmi celles cités par la liste. \- la première possibilité est le consentement de la personne concernée pour une ou plusieurs finalités spécifiques : elle peut être rapproché de la suivante : \- la deuxième possibilité : Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie. \>\>La difficulté ici, est de donnée de la substance de l'épaisseur à ce consentement : personne ne lit les contrats en ligne \> la facilité des contrats passée en ligne peuvent être accepté en 2 clics de souris. On peut conclure le contrat très rapidement ce qui n'aide pas à améliorer la situation. Il ne faut pas hésiter à rendre les conditions d'utilisation plus claire et lisible. Par exemple, la CNIL a reproché à Google d'avoir noyée dans la masse des informations sur les traitements des données parmi d'autres informations. = illisible. Idem pour la Politique de Confidentialité. = pas lu Le consentement selon l'article 7 doit être fait clairement : il faut un consentement spécial relatif au traitement des données. Sur la pratique ce consentement spécial se limite à une case supplémentaire à cocher. Il faut donc considérer avec interet l'idée d'utiliser un ensemble de pictogramme : proposé par Mozilla. Ces icônes porterait sur l'utilisation par des tiers ou la transmission des données à des contenues publicitaire, la fourniture de donnée aux autorités La loi pour le moment ne l'exige pas. Précisons encore qu'en vertu de l'article 8 RGPD le consentement doit être donnée par les parents lorsqu'il concerne les données des enfants d'un certain âge. Cet âge est fixé par les règlements à 16 ans maximum. Mais cette barre de majorité informationnelle peut être placé plus bas jusqu'un planché de 13 ans. Le principal fondement de licéité de traitement de donnée est donc le consentement. Il existe d'autre fondement et alternative de licéité (alternative) : article 6 du règlement. \> La sauvegarde des intérêts vitaux ; le traitement nécessaire à l'exécution de la loi, d'une mission publique ou relevant de l'autorité public du responsable du traitement et le traitement est nécessaire aux fins des intérêts légitimes poursuivie par les responsables du traitement ou par un tiers... Ce dernier fondement est considéré comme très souple, mais il est aussi le plus difficile à saisir. Or interprété trop généreusement il peut se transformer en une machine à faire sauter le consentement. C'est pro la cnil se montre très vigilant a cet égard. Ex : conserver les données bancaires au delà de leur transaction D ) Le traitement des données sensibles. Le règlement prévoit des catégories très particulières de donnée : les convictions religieuses, l'appartenance syndicales, les données génétiques, santé, biométriques, l'orientation sexuelle.... Le traitement de ces données est interdit mais l'article 9 prévoit de nombreuses exceptions. Enfin l'article 10 pose un régime spécifique aux données relatifs aux condamnations pénales et aux infractions. = données sensibles. §2 : Les devoirs des responsables de traitement et du sous-traitant. (DPO). A. La responsabilisation : Caractéristique fondamentales de la collecte des données personnelles : que doit faire le responsable de celle-ci ? ses obligations ? La France : En FR, avec l'affaire Safari, l'administration française avait œuvré a interconnecté des bases de données, de traitement sans aucune transparence. En 1978 une loi a mis en place des formalités préalables à remplir avant toutes collectes, traitements automatisés des données. Les puissances publiques avaient été particulièrement visés. Le traitement par ces entités publiques devait etre autorisé par les actes règlementaires préalable, autorisé après avis motivée par la CNIL. Or le système prévu par l'UE est différente : plus de formalité préalable. En effet, Malgrès les fortes réticences à la France, le système de formalités préalable jugées trop lourd trop coûteux par les professionnels a été abandonné au profit d'une approche fondée sur les risques qui a une origine anglosaxonne. Le principe retenu est celui de la responsabilisation. Cela signifie que les professionnels doivent procéder à un diagnostic de leur propre situation et doivent en tirer eux même les conséquences adéquates selon l'article 24 du RGPD. Néanmoins, les formalités préalables utilisé jusque très longtemps en France, sont susceptibles de ressurgir dans certains cas. Ces cas sont prévus par l'article 35 du RGPD (lorsqu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et lib des personnes physiques le responsable effectue avant le traitement l'impacte 'analyse d'impacte' ou dans certains cas est obligatoire lorsque le traitement est à grande échelle art 9) Si cette analyse d'impact indique que le traitement présente un risque élevé, alors dans ces cas-là il y'a lieu d'appliquer l'article 36 qui prévoit la consultation de l'autorité de contrôle et ce préalablement au traitement. Celle-ci va elle-même proceder à une analyse de l'impact et si elle considère que le risque est élevé elle peut interdire le traitement des données. B. Le respect de la vie privé dès la conception : privacy by design Ceci est une véritable innovation qui consiste à rendre obligatoire que les produits et les services doivent être conçu et structurés dès leurs origines de manière à être sobre en données = article 25. Il existe désormais des mécanismes de certification par les autorités de contrôle pour faire respecter les exigences du privacy by design. = ne sont pas obligatoire. C. Organisation de la chaine de traitement de donnée Ceci concerne le traitement fait conjointement par 2 ou plusieurs responsables dont certains hors de l'UE (co responsables) lorsqu'il est fait de cette manière c'est l'article 26 du règlement qui est applicable et qui impose un accord passé entre eux pour déterminer leurs rôles et obligations respectifs. Il s'agit d'organiser en interne la chaine de traitement des données. Quid de la question de la sous traitance. En effet, rien n\'est plus facile que de dupliquer des données numériques et de les envoyer à tout le monde. Aussi le règlement encadre le recours à la sous traitance dans son article 28 : d'abord le responsable de ce traitement à l'obligation de faire appel à des sous-traitants qui possèdent des garanties suffisantes en la matière. = le responsable du traitement doit donc prendre soin de ne pas choisir son sous-traitant avec trop de légèreté et ici, il ne faut pas sélectionner si le sous-traitant est incapable = sanction personnelle. Par ailleurs, le contrat qui est passé entre le responsable du traitement et le sous-traitant doit prévoir un nombre de stipulations impératives car on veut eviter que ces données continuent de circuler librement par une chaine de sous traitance sans les contrôles du responsable du traitement donc la sous traitance est strictement encadrée. Actualité : Dernière décision de la CNIL en termes de données personnelles : Le 18 septembre 2023, la CNIL a infligé une sanction à une société pour récolte excessives de données personnelles. (SAF logistique est une société établie à Puteaux) La CNIL a fait une enquête approfondie sur la protection des données personnelles récoltés par cette société. Elle a été informée par les salariés sur cette question. La CNIL arrive à la conclusion que 4 manquements ont été fait au principe de base enoncé par le RGPD. 1. Manquement à la minimisation des données article 5-1c 2. Manquement à l'interdiction de traitement des données sensibles 3. Manquement à l'interdiction de collecter le traité des données relatives aux infractions, condamnations mesures de suretés 4. Manquement à l'obligation de coopérer par les services de la CNIL En somme elle est sanctionnée pour ne pas avoir obtenue le consentement explicite des individus pour le traitement des données, de ne pas avoir sécurisé suffisamment ses données ni d'avoir fourni aux personnes concernées les informations nécessaires sur la manière dont leurs données ont été utilisés. La DC de la CNIL indique que la société collectait via des formulaires, des données très personnelles notamment sur ses propres employers mais aussi sur les membres de leurs familles... La société était donc en possession de données très sensibles tels que l'appartenance éthique/ethnique, l'appartenance politique, des extraits de casiers judiciaires. La sanction prise par la CNIL a donc été d'ordre financière qui s'élève à 200 milles euros. D. Le registre des activités de traitement En vertu de l'article 30 du RGPD, chaque responsable de traitement et sous traitants doivent tenir un registre un grand journal des activités de traitements qui sont effectués sous sa propre responsabilité. Ce journal contient un certain nombre de dispositions obligatoires prévues par le texte et à la demande des autorités, ce registre doit pouvoir etre présenté à l'autorité de contrôle. Il existe cependant des exceptions à ce principe : En effet, l'article 30 n°5 du texte dispense les micro-entreprise de -250 employés d'avoir un registre des activités de traitement. Toutefois, il y'a des dérogations à cette exception posé dans le règlement qui rendent ces exceptions assez dangereuses, le texte évoque cependant que si les traitements qu'ils effectuent sont susceptible de comporter un risque pour les droits et libertés des personnes. = doivent tenir un registre. E. Sécurité du traitement : Il y'a un impératif de sécurité et de leur traitement imposé par le règlement général, en effet, il ne faut pas que les données se perdent, soient corrompus ou dérobés donc il faut les protégés à la fois contre les incidences techniques et les agressions délibérés orchestrés par les tiers. Illustration : un agresseur qui modifie volontairement des données. On pense ici au solde d'un compte courant ouvert auprès d'une banque = risque inacceptable. Modification du groupe sanguin dans les hôpitaux. Modification dune prestation sociale aupres d'une administration Plusieurs risques : il peut s'agir d'un risque de perte. Ce risque de perte de données peut résulter d'un accident technique, les serveurs qui contiennent des données personnelles non dupliquées qui est détruit par un incident. Ce risque de perte peut aussi résulter d'un chantage mafieux. Cette dernière hypothèse correspond à une rançongiciel. En effet, il existe beaucoup de logiciel, programmes malveillants, qui chiffre les données avec une clé, pour les déverrouiller et récupérer la clé, il faudra donner une rançongiciel. Hypothèse la plus fréquente est celle des pirates qui exploitent les données directement et décide de les revendre à un tier... comme celles relatives à des données de paiements. Ou alors il peut s'agir de les rendre public ou de menacer de les rendre public Comme les sites de rencontres Ashley Madison par exemple : ils comportent des données très sensibles comme l'orientation sexuelles ou des infidélités conjugales. Le site a refusé de payer et les données sensibles de 36 millions de personnes ont fuités. QUID : Qu'est-ce que le responsable du traitement doit-il faire pour justement eviter de telles crises et sécuriser les données ? C'est l'article 32 qui est la référence et impose de prendre des mesures préventives très importantes. En effet, selon ces dispositions le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriée afin de garantir un niveau adapté de sécurité aux risques. Ces differentes mesures peuvent ne pas être suffisantes, alors l'article 33 dispose qu'il est de leur devoir d'avertir les autorités publiques compétente (CNIL en FR) = viole grave des données perso L'article 34 dispose que l'autorité de traitement doit avertir la personne concernée. En revanche il est p imposer que l'accident ne soit pas rendu public Quant au traitement des pirates : condamnable par les articles du CP aux articles ??? \> Ces dispositions sont en réalité mal adaptées au vol des données et au piratage. F. Le délégué à la protection des données Le RGPD à l'article 37 prévoit, un délégué à la protection des données. Ce délégué est un personnage clé de la réglementation européenne. Le DPD ou DPO en anglais, sa désignation est obligatoire en vertu du règlement général, parfois aussi obligatoire en droit interne et parfois sa désignation peut être facultative. Le DPD défini à l'article 37, est désigné sur la base de ses qualités pro et en particuliers il peut être désigné par plusieurs autorités ou organismes de ce type, compte tenu de leur structure organisationnelle et de leur taille. Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l\'[article 39](https://www.privacy-regulation.eu/fr/39.htm). .... Ce juriste doit être indépendant et soumis au secret professionnel. Enfin il a pour mission en vertu de l'article 39, informer et conseiller sur le respect du règlement, il contrôle la bonne application du RGPD, il dispose des conseils relatifs à l'analyse d'un pacte et fait la liaison avec l'autorité de contrôle. A. Le droit d'information : En effet, l'article 12 RGPD impose au responsable de traitement une série d'application qui encadre ces relations avec le public. En effet, il doit communiqués des informations visées aux articles 13 et 14, il doit communqiué les informations visés à ces articles de manière concises, transparentes, compréhensible et de manière accessibles en des termes claires et simples. Lorsqu'une personne exerce ces droits, le règlement article 12.3 exige une communication rapide et clair des suivies de la demande; le point 5 rappelle le caractère gratuit de l'exercice des droits exercés par l'individu. Toutefois, en cas d'abus, il est possible pour le responsable de traitement de refuser ou de demander le paiement du traitement. Mais alors quels sont les droits et informations dont on peut disposer ? \- Les informations qui doivent être fourni à la personne lors de la collecte auprès d'elle (13 RGPD) =\> Identité du responsable de traitement, le DPO, le destinataires des données, la destination... \- Les informations lors d'une collecte non réalisé par la personne. ( 14 RGPD) =\> Prévoit les éléments qui constituent l'information. =\> La source L'information est l'outil qui permet d'obtenir une transparence = traduit un objectif de transparence général. B. Le droit d'accès aux informations Le RGPD indique qu'on a un droit d'accès garantie par le règlement dans son article 15. Ce droit d'accès ne pose pas de difficulté particulière. 3 remarques : \- Ce droit d'accès n'est pas nouveau pour les FR : en effet, dès la loi de 1978, un certain nombre de droit dont celui d'accès ont été octroyés aux FR. =\> En effet, le droit d'accès conditionne tous les autres droits. Jean Royer disait qu'il s'agit de faire un fichier informatisé des « maisons de verres ». = transparence. C. Autres droits accordés aux individus : rectification et suppression Il y'a les droits octroyé par le règlement : ceux de rectification et suppression. Il étaient déjà prévue par la loi de 1978 en FR. = avant gardiste. Ces droits, sont très importants puisqu'on ne parle plus de fichier informatisé mais d'identité (ID) numérique qui est un des visages que l'individu montre au monde. Alors l'obsolescence, la fausseté et l'incomplétude peuvent déformer cette ID numérique. Il faut donc être sûr que ces info soient exactes. Ainsi, le responsable de traitement qui s'aperçoit d'une erreur doit agir sans attendre quand on demande de le faire, effacer ou suppression et cela sans qu'une demande soit émise. Souvent, ils ne s'en aperçoivent pas. Donc c'est la personne concernée qui est la plus apte à le faire, a décelé les informations fausses ou autres mais aussi à choisir comment y proceder. =\> L'acteur principal en terme de rectification et suppression est la personne concernée elle-même. Le droit de rectification et effacement se trouvent dans le RGPD et plus précisément aux articles 16 et 17. Le droit de rectification est aujourd'hui régi par l'article 16 du RGPD qui dispose que la personne concerné a le droit d'obtenir par le responsable du traitement la rectification des données incomplète. L'article 17 lui vise le droit d'effacement et des cas spécifiques comme l'application légale d'effacement, le retrait du consentement... Toutefois à ce droit d'effacement, une exception est prévue au point 3 de l'article 17 qui présente une série de justification qui permette de s'opposer à la demande d'effacement. Ces justifications sont attribuées au responsable de traitement. La liste comprend la liberté d'expression, l'intérêt général, les archives, l'obligation légale, motif d'intérêt publique dans le domaine de la santé PB. D. Le droit à l'oubli : Consacré par la jurisprudence FR, ce droit à l'oubli correspond comme un prolongement des droits dits de « première génération ». Or, la CJUE, à emprunter le même chemin que la JP FR et dans une DC célèbre, est aller encore plus loin, pour elle, et ce même avant le RGPD, celle-ci a fait preuve d'audace en matière de protection des données personnelles. En effet, dans cet arrêt du 13 mai 2014, dans une décision Google Spain, il s'agissait d'un citoyen espagnol monsieur Gonzales, mentionné par la presse espagnol comme ayant fait l'objet de saisi immobilière pour non-paiement des dettes sociales. Ces informations était déjà publié dans le journal papier et ensuite, elles ont été diffusées sous la forme numérique de ce journal. La publication numérique en plus d'avoir été indexé par le moteur de recherche google. Autrement dit, tous les internautes qui ont effectué une recherche portant sur le nom et prénom de l'intéresser pouvaient trouver cette information-là. Le retrait a donc été demandé par Mr Gonsalez des publications à la fois sur le site du quotidien mais aussi du moteur de recherche google ; La CNIL espagnole, a rejeté d'abord la réclamation à l'encontre de la demanderesse aux motifs que la publication papier était licite. En revanche cette agence espagnole avait exigé de google le retrait des résultats correspondant de son moteur de recherche. Ce qui posait qq problème. La CNIL espagnol a posé une question préjudicielle a la CJUE = Le recensement d'une publication papier licite dans un moteur de recherche peut constituer un acte illicite ?. La Cour a la surprise générale de tout le monde à répondu oui. L'information sur les individus est trop facile à trouve selon la Cour. = moteur de recherche est extrêmement puissant. Cette solution identifié par la cour présente des dangers, en effet, certaines informations gênantes peuvent présenter des risques de plonger dans l'obscurité la plus complète or pour la démocratie c'est important d'avoir accès à ces information. En particulier l'information doit être lisible, or avec la DC google Spain elle est fortement diminuée en particulier concernant les pages ne possédant pas de beaucoup de visiteurs. Cette DC est courageuse : protège efficacement les données personnelles des individus en terme de requête de recherche nominative mais présentent des risques notamment en terme d'expression de la démocratie. Encore une fois cette DC google Spain concerne uniquement les requêtes nominatives, si elles présentent pas de noms elles seront toujours présentées dans les résultats. La portabilité des données : Le RGPD dans son article 20 consacre le principe de la récupération des données. Cela n'est pas qq chose de nouveau, en effet, la loi dite république numérique de 2016 avait déjà inséré une partie sur la portabilité notamment avec l'article L224-42-1 à l'époque cette disposition visait le domaine du droit de la consommation De quoi s'agit-il ici : l'individu dispose déjà en FR un droit d'accès à ces données, définissant les consommateurs comme de véritables acteurs de la gestion de leurs données personnelles. Il permet à la personne concerné de vérifier qu'un responsable de traitement possède bien les données autorisés mais aussi d'en connaitre la teneur et d'obtenir la copie des données qui la concerne. La portabilité des données est le droit pour les particuliers de réclamer leurs données personnelles aux entreprises qui les possèdent. Ce droit s'accompagne d'une possibilité pour le propriétaire de ces données de : - Les stocker à l'emplacement de son choix - Ou de les transmettre à un autre organisme, s'il le souhaite. On se pose la question de si cela serait pas la récupération des données ? NON, ce sont deux droits bien différents. Ces deux droits, sont des droits avec des finalités très differentes. En effet le droit d'accès vise à surveiller le responsable de traitement. Autrement dit ; la personne qui procède au droit d'accès fait un contrôle des données que le responsable de traitement possède. La personne peut apercevoir quelle information est collecté la concernant par le traiteur de données. Or, l'idée quand on parle de récupéré est aller plus loin. C'est l'un des apports dit d'autodétermination informationnelle. C'est le droit pour les individus d'agir plutôt que de subir. Autrement dit, on veut reconnaitre aux individus un moyen, un outils de construire et non seulement d'apprécier. Ce droit vise à ramener les données personnelles dans les gyrophares de la personne de laquelle elles émanent. = \> Qu'elle les ramène dans son cercle de contrôle. = approche active. On permet à la personne de récupérer ses données pour lui permettre d'en faire ce qu'elle souhaite en faire. Ce droit désormais est consacré par l'article 20 RGPD qui consacre « le droit à la portabilité des données ». L'idée est de fluidifié le marché des données : la personne demande de recevoir les données par le responsable du traitement sous un format structuré = soit elle les garde soit elle les transmet à un autre responsable de traitement. On s'aspire donc de la portabilité des téléphones fixes et mobiles ici. Cette portabilité de donnée en pratique ne fonctionne que dans les relations de tête à tête il faut avoir une situation duale entre la personne qui veut collecter ces données et les personnes qui les exploitent. Cette portabilité n'est pas efficace cependant ; face aux très nombreuses plateformes qui offres des fonctions de réseau social. Il ne sert à rien de posséder de l'ensemble de ses publications sur Facebook pour les importer dans google. Dans ce cas-là ces données sont perdues pendant la migration. \> L'utilisation personnelle des données à d'autres fins : diffusion des données personnelles d'un responsable de traitement à un autre avec la même finalité d'utilisation or la portabilité ne dit rien des usages possibles des données utilisés. Une fois qu'on a obtenu les données, la personne en question peut conserver sa confiance au prestataire qui lui a livrer mais souhaite tirer un nouveau partie de ces données, elle va vouloir donner ses info à un prestataire qui fait autre chose : les données à une entreprise qui a une autre activité que le prestataire initiale Par exemple : il peut s'agir d'information rapatrié depuis les logiciels d'aides à la navigation et un autre prestataire comme MAPS pour savoir ses anciens déplacement. Utiliser les données à d'autres fins : le règlement n'a pas prévue cette possibilité, elle n'a pas envisagé cela. Toutefois, ce n'est pas un obstacle insurmontable, en effet, il suffit que le règlement consacre un droit à recevoir ces données dans un format lisible par machine. Cette possibilité d'utiliser des données à d'autres fins n'est pas prévue mais peut etre couverte par le RGPD. Mais il ya le risque que les acteurs de terrain abuse de cette possibilité. E. Opposition : Ce droit permet à une personne de s'opposer pour des motifs légitimes à ce que des données personnelles la concernant face l'objet d'un traitement. Pour cela, il faut un motif légitime. Ce droit d'opposition est prévu à l'article 21 RGPD. Ce droit peut s'exercer en amont du traitement mais aussi à tout moment par la suite. G. La décision individuelle informatisé La décision individuelle informatisé présente des danger à tel point que la loi de 1978 avait déjà évoqué cette question des décisions (DC) prises par les algorithmes. Différent textes disposaient que pour les jugements, aucune DC de justice ne peut avoir pour fondement un traitement automatisé d'information selon la loi de 78. Quant aux DC administrative ou privé ne peuvent etre prise sur le seul fondement d'un même traitement. La loi va encore plus loin, elle proclame le droit pour toutes personnes, de connaitre et contester les informations et raisonnements automatisés dans le traitement automatisé dont les résultats lui sont proposés. Ces DC ont donc été soit interdites soit en retrait et ce très tôt. Aujourd'hui nous avons l'article 11 RGPD qui est similaires. Toutes DC fondées exclusivement sur un traitement automatisée qui produises des effets juridiques défavorables pour la personne concernée est interdite. Exception : on peut fournir des garanties appropriée pour les droits et libertés fondamentales de la personne concernée et au minimum le droit d'obtenir une intervention humaine de la part du responsable de traitement. L'article 11 encadre les décisions individuelles automatisées. 2 remarques : \- En FR, la loi république numérique, les destinataires des DC qui ont un caractère informatisé doivent être informés du caractère automatisé par une mention explicite. \- La pratique du Scoring se développe de plus en plus dans les secteurs privés. On a les DC qui ont des effets juridiques qui sont prises de plus en plus de façon automatisés. Il s'agit d'attribuer une note à un dossier client. Chaque éléments du dossier va être transformer en note positive ou négative. En FR, une délibération de la Cnil du 2 février 2006, vise à encadrer spécifiquement la pratique du Scoring. Cette délibération énumère limitativement le nombre de donnée qui peuvent être utilisées pour le scoring dans une liste. L'idée est de proteger les clients, les individus. La DC exclusivement mécanique, est interdite : on ne peut se baser exclusivement sur le Scoring ; ensuite, il faut systématiquement informer l'utilisateur du Scoring. En cas de rejet de sa demande ; la personne peut demander qu'un être humain étudie son dossier. Une autre pratique s'applique pour le Scoring : celle qui n'a pas lieu à la phase de la conclusion du contrat mais tout au long du contrat. Exemple : les assurances dites « comportementales » = elles ne se contentes pas de la phase de conclusion mais tout au long du contrat. Illustration : Les assurances comportementales comme avec l'assurance Vitality en Allemagne qui couvre les risques d'invalidité et de décès. Cet assureur se nourrit de données de santé qui sont régulièrement envoyé par l'assuré lui-même au manière d'objet connecté. (Tensiomètre, balance...). Très tôt on avait un dispositif qui prévoyait la finalité des données après la mort : article 84 et suivants qui posent les règles en la matière. Cet article s'ouvre avec un principe précaire en la matière, que le droit octroyé à la personne s'éteignent au décès. Ce qui est surprenant est la suite du texte ; En effet, l'article 84 poursuit en disant que ces droits peuvent être provisoirement maintenu dans les conditions fixés à l'article 85 : la loi FR fait naitre des droits nouveaux qui sont propres aux héritiers modelé à ceux qu'on reconnait sur la personne vivante. On accorde donc qq droits aux héritiers sur les données de la personne morte et sa protection. On va conférer à des héritiers des pouvoirs, des droits sur les données personnelles du défunt. La loi commande de respecter les directives que le défunt aurait pu formuler à ce propos. En absence de directives, la loi dispose que la famille et les proches peuvent exercer après son décès les droits du défunt dans la mesure nécessaire à l'organisation et au règlement de la succession du défunt, souvenir de la famille... Par ailleurs, les héritiers peuvent proceder à la clôture des comptes des défunts, à la poursuite des données à caractère personnelles du défunt... = ils ont des droits précis et encadrés. [Partie 4. Le transfert des données personnelles vers des pays tiers. ] Il y a 2 choses particulière à savoir : Le règlement a un vaste champ d'application territorial, il est prévu & fixé à l'art 3 : dès lors que les produits ou services peuvent être considérés comme s'adressant à des citoyens de l'union, le règlement s'applique. Les transferts de données en dehors de l'UE sont eux, strictement limités, on encadre les flux sortants de données perso. En effet, les données qui quittent le territoire de l'UE tombe sur la maitrise juridique d'autre nations, le règlement de 2016 se préoccupe de cela mais aussi des traitements ultérieurs. Ici on veut protéger les citoyens européens, on veut protéger les fragments informationnels des citoyens européens transportés à travers le monde. Un transfert en dehors de l'UE peut se faire et il faut se référer à l'art 45 RGPD =\> transfert de donnée peut se faire sur une décision d'adéquation. = décision prise par la commission européenne qui constate que le pays tiers en question assure un niveau de protection adéquate. Au premier abord cette solution semble simple, et les décisions de la commission peuvent être contestées devant la CJUE =\> arrêt 6 oct. 2015 Schrems c. Data =\> utilisateur de Facebook (FB) qui a appris que les données étaient envoyées par la filiale irlandaise de FB vers les USA, et considérait que les USA ne proposait pas un niveau de protection adéquate, il contestait la décision d'adéquation de le commission euro. Il demande à la CJUE d'annuler la décision d'adéquation, ce que la CJUE a fait en ce qui concerne la décision d'adéquation qui concerne les USA. La commission européenne doit dorénavant prendre en compte l'état du droit et le respect des libertés fondamentales pour la décision d'adéquation. [Scandale FTX ] Un gars a misé sur l'achat de bitcoin afin de les revendre au japon, puis en 2019, fort de son explosion dans les cryptos, il a décidé de lancer sa propre plateforme d'échange des cryptos : FTX. A cette occasion il a lancé ses propres tokens. Avant l'éclatement du scandale, FTX était considérée comme la 2^e^ plus grande plateforme de crypto avec une valorisation de 32 milliards. En 2022 il est en faillite, en faisant chuter tout le marché de la crypto. C'est une incroyable fraude dont le montant est estimé pour l'instant à 9 milliards de dollars. Avec ses compétences en trading SPF a fondé en 2017 une société de trading, cette entreprise a misé sur l'achat de bitcoins aux USA pour les revendre plus cher au Japon. Ce qui lui a permis de gagner très rapidement 20 M \$. Puis en 2019, fort de sa première expérience et de son expertise en crypto, SPF a décidé de lancer FTX, une plateforme d'échange et de vente de cryptomonnaies. A cette occasion il a lancé ses propres tokens, les FTT, émis par FTX sur cette même plateforme. Les cryptomonnaies sont des monnaies virtuelles qui sont fondées sur la technologie blockchain avec un système décentralisé et sécurisé. Plus précisément les cryptomonnaies sont des monnaies numériques émises de pairs à pairs sans nécessité d'une banque centrale. Cette monnaie numérique est utilisable au moyen d'un réseau informatique décentralisé. Cette cryptomonnaie utilise des technologies de cryptographie, pour le moment il y a environ 23 700 cryptomonnaies dans le monde, pour une valeur de plus de 1100 milliard d'€. Quant à la blockchain c'est une technologie de transmission d'informations très transparente et sure, et ça aussi sans organes centralisés et de contrôle dans les intermédiaires. Cette blockchain contient l'historique de toutes les transactions, c'est également une technologie de stockage d'informations. Quant aux tokens, c'est un actif numérique (cryptoactif) qui peut être lié à une cryptomonnaie (il ne l'est pas nécessairement). Mais surtout, ce token dispose pas de sa propre blockchain contrairement à une cryptomonnaie. FTX, la plateforme de cryptoactifs a émis ses propres tokens, les FTT, qui ne sont pas des cryptomonnaies. Avant l'éclatement du scandale FTX était considéré comme la 2^e^ plus grande plateforme d'échange de cryptomonnaies et était valorisée à 32 milliards de \$. Tout le monde s'arrachait des FTT, tout le monde rêvait d'être associé à FTX, que ce soit à l'image ou au capital. Le 11 nov. 2022 tout s'écroule, la plateforme est placée sous le régime de faillite aux USA et plus grave encore, cette faillite faisait plonger tout le marché des cryptomonnaies dans le rouge. L'élément déclencheur de cette faillite était la parution d'un rapport fait par Coin Desk, site spécialisé en cryptomonnaies, il concernait le bilan comptable de la première société de SPF, c'était une des filiales de FTX. Ce rapport mettait en lumière que l'essentiels des fonds de la première boite reposait sur les FTT. Cette information pouvait paraître anodine, mais c'était en fait très inquiétant parce que ça révélait un manque de diversité du portefeuille de cette boite, qui était l'un des leaders sur les marchés financiers hautement volatil, et on réalise que son principal actif était des tokens, FTT lancés par la société mère. Cet élément pourrait entrainer des conséquences désastreuses en cas de chute de l'indice du FTT, la boite serait alors insolvable. C'est ce qui est arrivé. Cette annonce faite par Coin Desk est démentie qq jours plus tard par la PDG de la boite, néanmoins cette annonce a commencé à inquiéter certains actionnaires, notamment le patron de Binance, qui est le leader des plateformes d'échange des cryptomonnaies. Ainsi, le 6 nov. 2022, le patron de Binance annonce de la liquidation de + de 500M\$ de FTT possédés par Binance, sans en donner la date. En réalité qq heures après cette annonce 20M de FTT pour une valeur de 530M\$ sont transférés sur les marchés financiers. Donc Binance vend 20M de FTT. C'est ce transfert qui a précipité la chute de FTX, en effet à la suite de ce transfert les investisseurs étaient pris d'un vent de panique et logiquement ils cherchaient à vendre rapidement leurs FTT. Les conséquences ne se sont pas fait attendre et le FTT a perdu en qq heures 80% de sa valeur. SPF a essayé de rassurer le marché et les investisseurs, en disant que ces transferts n'avaient aucun impact, mais la chute de l'entreprise continuait. Binance a annoncé vouloir racheter FTX, car en chutant elle entrainait la chute des cryptomonnaies (bitcoin or eutherum), le rachat aurait pu permettre de garder vivante FTX. Or 1 jour après cette annonce l'entreprise chinoise Binance décide de ne plus vouloir acheter son concurrent FTX, en effet il avait mené en toute vitesse un audit de FTX et cet audit aurait révélé en qq heures des montages financiers douteux entre FTX et l'autre boite notamment. Cet audit aurait également révélé des problèmes graves en terme de gestion, de comptabilité et de diligence. Donc Binance ne souhaite plus acheter FTX, il cherchait en urgence des investisseurs à hauteur de 9 milliards de \$. FTX n'a pas trouvé d'investisseur et s'est donc placé en faillite. L'entreprise FTX était confrontée à un défaut de liquidité qui se transformait en un problème de solvabilité, FTX est devenu insolvable ce qui a conduit à sa faillite, entrainant avec elle la faillite de toutes les autres sociétés appartenant à FTX. Ainsi, FTX a dû bloquer le portefeuille numérique de tous ses clients (1M) qui n'avaient donc plus d'accès à leurs dépôts, leurs comptes étaient bloqués et pour la plupart ils le sont encore aujourd\'hui. Qq jours après la faillite, 2 enquêtes criminelles ont été lancées sur lui et d'autres dirigeants y compris la PDG de l'autre boite. Ces différentes enquêtes remontent des problèmes, notamment en termes de faute de gestion. Dans le même temps, en nov. 2022 SPF a démissionné et a été remplacé par John Way qui a fait des déclarations plus qu'étonnantes, dans le doc judiciaire auprès du tribunal du Delaware,... Ce même doc faisait état de liens étroits entre les 2 sociétés (FTX & Alaby). Aux USA elles sont censées être distinctes, or on apprend qu'elles ne le sont pas du tt. Par ex on a appris que la société a prêté 30 milliards de \$ à la société FTX et inversement. Pire encore, FTX était soupçonnée d'avoir utilisé les fonds de ses clients pour venir en aide à l'autre boite. Ces mêmes fonds auraient même été utilisées pour payer des maisons aux Bahamas. En outre, on a aussi appris dans ce doc que FTX ne disposait pas d'un service de comptabilité, il n'y avait même pas de directeur financier tout était externalisé, il n'y avait même pas de gestion centralisée de sa propre trésorerie. Tout ça a fait qu'à la demande des USA SPF a été arrêté le 12/12/2022 aux Bahamas et le 21/12/2022 il a accepté son extradition vers les USA. 3 personnes : Caroline Elissen, Gary Wang & Samuel PF ont été inculpés de 8 chefs d'accusation notamment fraude comptable, fraude financière. Ils ont été inculpés par le procureur fédéral de Manhattan. Néanmoins, SPF a été remis en liberté contre une caution de 250M \$ qui a été payée par ses parents. Par ailleurs, SPF a été assigné à résidence dans la maison de ses parents jusqu'à son procès. Il n'est pas resté en liberté car son interdiction de communication n'a pas été respectée et donc il a été remis en détention qq mois après le paiement de la caution. Devant le tribunal de NY il a déclaré de ne pas vouloir plaider coupable, autrement dit il déclare plaider non-coupable dans le procès de la faillite de FTX à la différence de ses amis, les 2 autres ont plaidés coupable. Ils ont aussi accepté de témoigner contre SPF. En revanche SPF lui, a plaidé non-coupable, il a refusé de négocier un deal avec les procureurs et son procès à commencer le 02/10/2023 et SPF a été reconnu coupable et encourt une peine maximale de 115 ans de prison. La décision finale sera rendue en fév. 2024 max. Les conséquences de ce scandale sur le marché des cryptomonnaies ; Pdt longtemps, FTX était considérée comme une des plateformes les plus en vogue et plus importante du marché, juste derrière Binance. Et jusqu'à aujourd\'hui aucun texte aux USA était applicable aux cryptos ou aux plateformes d'échanges = aucune réglementation qui s'applique à cette activité et à ces instruments. Il y a notamment aucune transparence, donc chacun pouvait et peut encore faire ce qu'il veut. = aucun encadrement des cryptos et des plateformes d'échanges. Dans ce contexte, Binance a indiqué qu'elle allait publier ses réserves de crypto de manière plus transparente et a voulu inciter les autres plateformes à faire de même. Par ailleurs Binance a également annoncé la création d'un fonds d'urgence pour les cryptomonnaies, ce fonds pourrait notamment aider les sociétés faisant l'objet d'une crise de liquidité importante = sorte d'auto-régulation. Fondateur de Binance : « on a vraiment besoin de régulation, ça doit être fait correctement et de manière stable » lors du sommet du G20 à Bali. = les acteurs demandent de la réglementation dure en la matière. Par ailleurs, un tir en rafale se fait sur le crypto par la banque américaine, elle a porté plainte contre « Coin Base » qui est accusé d'opérer une place boursière non déclarée, et le 7 juin 2023, la banque avait déjà frappé, elle avait engagé des poursuites contre Binance. Les 2 plaintes ont le même bas de fonds : les cryptos actifs pourraient être soumis à la réglementation des actifs boursiers. Donc la banque américaine va passer l'action. 2 actes de la FED s'opère en valeurs mobilière, or tout le monde se met d'accord pour que les cryptos ne sont pas des valeurs mobilières, pourtant la FED le fait et dit que ce que font les plateformes est illégal. Actuellement aux USA il y a 3-4 projets de lois en cours visant à réguler les cryptos, mais il faut savoir qu'aux USA il y a une concurrence très forte entre les autorités et personne ne se met d'accord. Il y a 4 projets de loi qui prévoient des mesures différentes avec des autorités de régulation différentes. A la différence de ce qui se passe en Europe, a été publié au journal officiel européen le 9 juin 2023 le règlement européen sur le marché des cryptoactifs. Dans l'UE on a un règlement européen, le MICA (market in crypto actifs). En France on avait déjà des textes en la matière depuis la loi PACTE de 2019, à tel point que la France après l'adoption de cette loi est devenue l'eldorado pour tous les cryptos, en termes de sécurité de régulation. Le scandale FTX ne semble pas avoir tant affecté le marché des cryptos. Depuis la première mise en circulation sur le marché en 2009, les cryptoactif ont connu un véritable succès notamment grâce à leur accessibilité. Les cryptoactifs sont des actifs numériques anonymes et facile d'achat, et surtout qui pouvaient permettre de générer des profits (mais aussi des pertes). L'étymologie même de ce terme donne un premier indice sur leur vocation d'utilisation à savoir l'anonymat de ses utilisateurs, on ne sait pas qui les achète et les vend. Crypto = grec ancien et signifie : caché, ce qui est bien là par exemple tout le principe de l'usage de la cryptographie sur lequel sont basés les cryptomonnaies. Selon le Ministre de l'Éco, le cryptoactifs désigne des actifs virtuels stockés sur un support électronique permettant à une communauté d'utilisateur les acceptant en paiement de réaliser des transactions sans avoir à recourir à la monnaie légale. L'AMF donne une déf. plus juridique =\> ce sont des actifs numériques virtuels reposant sur la technologie de la blockchain à travers un registre décentralisé et un protocole informatique crypté. Ces 2 déf. Permettent néanmoins d'acter au moins 1 point = un cryptoactif n'est pas par essence une monnaie. En effet, et même si cet aspect important est souvent incompris. Pour les cryptoactifs c'est l'offre et la demande qui détermine leur valeur. = grande différence avec la monnaie. 2 mots clés doivent être retenus : la blockchain et légal. Ces 2 concepts façonnent les cryptoactifs dans leur utilisation mais aussi en ce qui concerne leur fonctionnement technologique. Blockchain : technologie qui permet l'anonymat et favorise l'opacité des échanges. Selon le Ministre de l'économie c'est une technologie de stockage et de transmission d'info, technologie indispensable au fonctionnement des cryptoactifs = sans blockchain pas de cryptoactif et chaque cryptoactif a sa propre blockchain. Ce qui est particulier avec la BC est qu'il n'y a pas d'intermédiaire dans les échanges, ça permet de supprimer le rôle d'intermédiaire dans les échanges, les cryptoactifs ne fonctionnent pas dans leur fonctionnement sur un acteur tiers comme une institution. Ainsi, les cryptoactifs grâce à la BC poursuivent un objectif très simple = rendre possible des échanges encodés, transparents pour les utilisateurs, anonymes, sécurisés pour leurs utilisateurs, et opaques pour les autorités. Pdt longtemps, dans beaucoup de pays il y avait une absence totale de régulation par une autorité centrale ce qui a permis aux utilisateurs d'échapper complètement à la supervision des gouvernements, des autorités, donc on pouvait opérer des transactions sans la moindre régulation. En ce qui concerne la réglementation des cryptoactifs il y a une réglementation très lacunaire voire absente. En France il y a avec la loi PACTE au moins un début de règlementation et il faut s'en féliciter parce que depuis la France a servi d'exemple. En effet cette loi PACTE a d'abord instauré en France le statut dit de « prestataire en service sur actifs numérique », on appelle ça aussi les PSAN. Si une personne souhaite travailler dans ce domaine, son enregistrement est obligatoire. En revanche l'agrément par l'AMF était obsolète, le simple enregistrement était requis. Ensuite, l'art 26 PACTE prévoit que les émetteurs de jetons (tokens) auront la faculté mais non l'obligation de solliciter un visa (autorisation donnée par l'AMF) en vue de réaliser une offre au public de jetons. = source de sécurité pour les acquéreurs de jetons. Ensuite l'UE a suivi avec la réglementation MICA adopté en 2023 et qui devrait entrer en vigueur en 2026, cette réglementation s'inspire grandement de textes français en la matière et la grande différence est cet enregistrement de PSAN, avec l'agrément en plus qui est obligatoire. Le parlement EU et le conseil de l'UE ont fait une proposition de règlement européen permettant de lutter contre le blanchissement d'argent par les cryptoactifs. Cette proposition s'appelle le règlement TFR (transfert of founce regulation). Ce texte enjoindra les entreprises de cryptoactifs d'identifier les parties prenantes et ce dès le premier € échangé. Le régime juridique reste encore très lacunaire, donc on commence à règlementer qq points, mais d'après la professeur il faudrait faire un texte global. Quoi qu'il en soit une chose au moins est acquise = les cryptoactifs ne sont pas des monnaies & les cryptomonnaies ne sont pas des instruments financiers & ils ne sont pas des monnaies légales. Dans certains pays en dehors de l'UE, les cryptos sont complètement interdits et dans d'autres on peut faire ce que l'on veut. En effet, en Chine il y a interdiction complète des cryptos, le minage des Bitcoins mais aussi les échanges de cryptoactifs sont strictement interdits en Chine. Dans d'autres états en revanche il y a une légalisation totale et même une incitation étatique à passer par les cryptos. Parfois même il y a des régimes particuliers : Ukraine, Salvador, République centre africaine. Ukraine : président Zelensky a officiellement légalisé les cryptoactif le 16/03/22 certes ils étaient déjà très populaires là, une loi spécifique a encadré son utilisation, qui permet d'encadrer l'utilisation des cryptos même si ce n'est pas le 1^er^ objectif. Poursuivi par le parlement. Cette loi a avant tout permit au pays et son armée de recevoir des soutiens financiers depuis l'autre bout du monde, par des pays du Crowd Founding, l'Ukraine a reçu des millions voire milliards en cryptoactifs, ce qui a permis de financer l'armée nationale contre la Russie. Indirectement à travers cette législation l'Ukraine a prévu un régime spécifique pour les cryptos. Salvador : les cryptos peuvent être utilisés de la même manière que la monnaie nationale, pour tout ce qu'on veut donc & la réglementation en la matière est très lacunaire, au point que le FMI a dans un communiqué rappelé que l'utilisation du bitcoin posait des risques importants pour la stabilité financière, FMI est même aller jusqu'à demander au Salvador de supprimer la possibilité le bitcoin comme monnaie légale. La république centra africaine : cet état a reconnu carrément le bitcoin comme monnaie officielle au côté du Franc CFA et a légalisé totalement l'usage de cryptomonnaies. Or cette décision a été prise durant une guerre civile, et le pays était l'un des moins développé du monde = façon de pouvoir refinancer le pays. THÈME 3 : les contrats (CT) électroniques et leur preuve -------------------------------------------------------- Invite à découvrir dispositions art 1125 & s. Code civil Dans cette section, on a des dispositions propres aux CT conclu par voie électronique. Le développement des CT électroniques a vu l'intervention de règles claires quant à la formation de ces CT. Ceci est important pour garantir la sécurité du commerce électronique. Parallèlement aux règles prévues en ce qui concerne la preuve des CT formés électroniquement. Partie 1 : La conclusion (ccl) des CT électroniques --------------------------------------------------- Ces règles ont été posées assez tôt par la loi du 21 juin 2004 pour la confiance dans l'économie numérique, en réalité cette loi transposait la directive du 8 juin 2000. Cette directive a fait intégrer par la loi des dispositions par rapport à cette matière aux articles 1369-4 à 1369-6 (avant réforme). Ces textes-là du Code civil (C.civ) mais aussi des textes européens ne réglaient pas la question du lieu de la ccl du CT électronique. Aujourd\'hui les dispositions concernant les CT conclu par voie électronique se trouve aux articles 1125 & s. introduites en 2016 par l'ordonnance de réforme. Et ensuite elles ont été modifiées de nouveau par la loi d'oct. 2016. L'offre électronique = art 1127-1 C. civ : l'auteur d'une offre électronique reste engagé par elle tant qu'elle est accessible par voie électronique de son fait. L'auteur d'une offre électronique n'est plus tenu par celle-ci s'il peut démontrer que cette offre est restée accessible du fait d'un tiers. C'est très important parce que l'offre lie celui qui la fait. L'offre doit comporter des conditions : 1127-1 La doctrine a critiqué que cette disposition ne suffit pas à protéger efficacement les consommateurs. Cette disposition est très gênante dans la relation entre professionnels. En particulier les alinéas 2 & 3. Il faut aussi une acceptation, et s'agissant de l'acceptation électronique, elle doit s'opérer en 3 étapes =\> 1127-2 al 1. =\> concept du double clic. L'article 1127-2 al 2 dispose que l'auteur de l'offre une fois qu'il a reçu l'acceptation doit en outre accuser réception sans délai injustifié sans délai de la commande qui lui a été adressée. Al 3 =\> Les exceptions ; il en existe plusieurs, en effet il est fait exception à des obligations pour les CT de fourniture de biens ou de prestation de service qui sont conclu exclusivement par échange de courriers électroniques selon l'art 1127-3 al 1. Par ailleurs, il peut aussi être dérogé à cette disposition dans les conventions conclues entre professionnels, dans les CT d'affaires selon l'article 1127-3 al 2. Le processus de ccl du CT électronique ne présente en vérité pas tellement d'originalité puisqu'il évoque la théorie de l'émission. La loi de juin 2004 a intégré dans le Code de la consommation des dispositions concernant les relations professionnels-consommateurs =\> L. 221-15 C. conso = responsabilité de plein droit existe pour le pros à l'égard du consommateur pour la bonne exécution des obligations résultant du CT conclu à distance. Que ces obligations soient à exécuter par le pro ou par d'autres prestataires de service, autrement dit le pro doit répondre de ses propres agissements mais aussi de ceux des prestataires de service auxquels il fait appel pour l'exécution de la prestation. Cependant ce pro peut s'exonérer de toute ou partie de sa responsabilité en apportant la preuve que l'inexécution ou la mauvaise exécution du CT est imputable en réalité soit au conso soit aux faits imprévisibles et insurmontables d'un tiers au CT, soit encore que cette inexécution soit imputable à un cas de Force majeure. Cette responsabilité de plein droit du pro est destinée à renforcer la confiance des consos dans le commerce électronique pour in fine les inciter à contracter davantage de cette manière. C'est intéressant parce que cette loi date de 2004. Partie 2 : La preuve des contrats (CT) électroniques ---------------------------------------------------- Un CT peut être conclu à distance électroniquement, des règles spécifiques s'y applique, elles visent à protéger le destinataire de l'offre. Si on ne peut pas prouver le CT il ne sert à rien, donc il faut toujours apporter la preuve de ce CT sinon il est inutile. La charge de la preuve, l'existence du CT repose sur la partie demanderesse à l'exécution des obligations contractuelles. La preuve peut être apportée par tous moyens sauf quand la loi en dispose autrement selon l'article 1358 du code civil. L'article 1359 instaure une dérogation en matière d'acte juridique du principe de liberté du moyen de preuve. En effet, l'article 1359 dispose que l'acte juridique portant sur une somme ou une valeur excédant un montant fixé par décret doit être prouvé par acte sous seing privé ou authentique. L'article 1366 dispose que l'écrit électronique a la même force probante que l'écrit sur papier. Cependant, l'article ajoute immédiatement que cette équivalence entre écrit électronique et le support papier ne vaut que sous réserve que puisse être dument identifié la personne dont elle émane et qu'elle soit établie & conservé dans des conditions de nature à en garantir l'intégrité. Or, seul une signature électronique telle que décrite par l'article 1367 du Code civil est de nature à établir une telle identification. Lorsqu'elle est électronique elle consiste en un procédé fiable d'authentification... = fiabilité de ce procédé est présumée lorsque la signature permet de donner l'identité du signataire et l'intégrité garantie. Autrement dit, un simple courriel ne peut pas servir de preuve parfaite du CT, le courriel parce qu'il ne contient pas de signature électronique ne peut pas servir de preuve au CT, ce qu'a confirmé la Cour de Cassation : Civ., 1^ère^ 7 oct. 2020 : un émail ne correspond pas à une preuve signée, il est insuffisant pour apporter la preuve certaine de l'engagement des parties dans cette échange. L'article 1360 du code pose des exceptions à l'utilisation d'écrit comme preuve. Que fait-on alors ? Ici le Code Civil nous propose un autre échappatoire, l'article 1361 dispose que peut être supplée un écrit, un aveu judiciaire, un serment décisoire ou un commencement de preuve par écrit corroboré par un autre moyen de preuve. = commencement de preuve retient notre attention. Commencement de preuve par écrit = 1362. Ainsi des échanges de courriels valent assurément commencement de preuves par écrit. La question est de savoir si ce commencement de preuve est corroboré par un autre moyen de preuve (indice, témoignage, etc...). La force probante des copies électroniques, la question qui se pose est de savoir quelle est la force probante d'une copie ? réforme de 2016 + décret spécifique relatif à la fiabilité des copies. 1. [Avant 2016 ] L'article 1334 Code civil disposait « que les copies lorsque les titres originaux subsistent ne font foi que de ce qui est contenu dans le titre dont la représentation peut toujours être exigé » Le principe était donc que le document original devait toujours pouvoir être produit avec la copie, toutefois, il y avait une autre disposition : l'article 1348 du code civil qui prévoyait une exception à ce principe, cet article disposait « lorsqu'une partie ou le dépositaire n'a pas conservé le titre original et représente une copie fidèle et durable, toute reproduction indélébile de l'original entraine une modification irréversible du support » = il était assez difficile, il fallait être capable de reproduire l'original et l'exception était restrictive. 2. [La réforme et les décrets ] La réforme de 2016 a introduit l'article 1379 du Code civil, qui est spécifiquement consacré aux copies et rédigé comme : « la copie fiable a la même force probante que l'original », « la fiabilité est laissée à l'appréciation du juge, néanmoins est réputé fiable la copie exécutoire ou authentique d'un écrit authentique », « est présumé fiable jusqu'à preuve du contraire toute copie résultant d'une reproduction identique de la forme et du contenu de l'acte et dont l'intégrité est garanti dans le temps par un procédé conforme fixé par décret » = le décret de ce nouvel article a été publié au Journal Officiel le 6 déc. 2016, décret du 5 déc. 2016 relatif à la fiabilité des copies. Ce décret a été pris en application de l'article 1379 C. civ. Ce décret précise les conditions qui sont mentionnées par l'article 1379, en effet ce décret de 2016 distingue 2 types de copies : les copies électroniques et les autres formes de copies. Et poursuit derrière : le décret reprend l'affirmation de l'ancienne rédaction en exigeant un procédé de reproduction entrainant un changement irréversible du format de la copie. La question de la force probante des photocopies a été posé devant les juges FR, cette question a été vivement débattue, d'abord elle a été reconnue comme simple commencement de preuve par écrit. C'était ensuite un caractère reproduction durable et fidèle. Et finalement la Cour de Cass dans une décision du 25 juin 1996 a dit que la photocopie était une preuve de l'acte lui-même. Tout le monde s'accorde à dire que ce nouveau décret ne va pas modifier la force probante des photocopies, donc aujourd\'hui une photocopie constitue la preuve de l'acte lui-même, en revanche ce qui change concerne les copies électroniques et plus précisément le décret de 2016 précise les modalités de reconnaissance des copies électroniques ou numériques. = copie qui n'existe pas sur papier, elle se consulte uniquement sur un appareil électronique. Les articles 2 à 6 du décret qui détaille les conditions que doivent remplir les copies électroniques pour pouvoir être considérées comme fiables et donc pour avoir la même force probante que l'original. Ce décret énonce en particulier 4 conditions : - Le procédé de copie doit produire des **infos** liées à la copie, destinées à l'identifier, en précisant notamment le contexte de la numérisation, en particulier les dates de création de la copie mais aussi la qualité du procédé, qui doivent être appréciés par des test et des contrôles. - Il faut une **empreinte électronique** qui doit garantir la détection de toute modification ultérieure, cette condition est présumée remplie en cas d'horodatage qualifié, mais aussi en cas de cachet électronique qualifié ou encore en présence d'une signature électronique qualifiée. - Une copie numérique pour être considérée comme fiable doit être conservée dans des conditions permettant d'éviter son altération, - L'accès au dispositif de reproduction des conservations doit faire l'objet de mesures de sécurité appropriées. On voit que les conditions exigées pour considérer une copie électronique comme fiable sont très strictes, mais aujourd\'hui il y a des entreprises de services qui permettent d'avoir accès à des copies électroniques qui remplissent ces conditions-là. THÈME 4 : Propriété intellectuelle Appliquées aux sites internet et plateformes de contenu en ligne. Trop de gens ignorent ces règles de PI. Les sites WEB peuvent se définir comme un ensemble de fichiers hébergés sur un serveur et qui peuvent être consultés via internet. Souvent on utilise ces sites comme outil de communication digitale mais aussi à transmettre des infos. Il y a des multiples types de site internet. La plateforme en ligne/ digitale : service qui occupe plutôt une fonction d'intermédiaire dans l'accès des infos contenues, services ou biens édités ou fournis par des tiers. Elle n'offre pas uniquement une interface technique, elle organise et permet d'interagir avec le contenu du site en vue de leur présentation et leur mise en relation aux utilisateurs finaux. Il y a aussi une définition légale : 2016, Article 49 de la loi pour une République. Numérique. =\> définition des opérateurs de plateformes en ligne. Selon cet article, « est qualifié d'opérateur de plateforme en ligne, toute personne physique ou morale proposant à titre pro de manière rémunérée ou non un service de communication au public en ligne reposant sur le classement ou le référencement au moyen de... » Le législateur consacre ici une déf. très large des plateformes en ligne, cette déf. Est tellement large qu'elle intègre en réalité la majorité des services de mise en relation tout en évitant la dérive de définitions sectorielles. Quelles sont les différence entre les 2 : approche simpliste Les plateformes digitales animent et valorisent les contenus et les services, qu'elles ne créent pas elle-même. La plateforme s'inscrit dans une démarche plutôt participative. A l'inverse le Site WEB met surtout en valeur les services de la personne l'ayant édité, avec le Site WEB, l'activité est centralisée et on ne tient pas en compte la logique de réseau, le contenu ou le service est mis au service du réseau qui est animé par la plateforme. Autrement dit, pour qu'une plateforme soit viable elle doit animer une sorte d'écosystème et se mettre aux services des échanges se faisant entre les participants de ce système. Partie 1 : Le site WEB ---------------------- 1. [La création des sites WEB ] Aujourd\'hui il y a des millions de Site WEB créées et dans tous les domaines, par toutes les personnes. Or beaucoup de gens oublient que les Sites WEB sont soumis à des règles légales (nationales, européennes, internationales). Les sites internet sont soumis à des règles légales régissant la propriété Intellectuelle (PI). Toutes ces règles l'éditeur d'un site internet ne doit pas les ignorer sous peine de sanction. Il y a le code de propriété intellectuelle (CPI) qui appréhende toutes les règles de la PI, dans ce code, un site WEB est une œuvre de l'esprit protégé par le droit d'auteur sous réserve d'originalité. C'est le site WEB en tant que tel mais aussi chacun des éléments composant le site, qui sont protégés par le droit d'auteur, sous condition de respect l'originalité, il faut que cette œuvre soit originale = condition clé de la protection. Plus précisément, si éditeur d'un site web veut illustrer avec des photos qui sont trouvées sur des sites, dans ce cas-là on ne peut pas simplement faire copier-coller, il faut obtenir préalablement l'autorisation de l'auteur de cette photo avant de l'intégrer dans le site web. [2 façons] : soit on peut conclure un contrat (CT) de cession de droits, et donc l'éditeur du site web devient donc le titulaire des droits patrimoniaux sur l'œuvre. Soit l'éditeur conclu un CT de licence qui l'autorise à utiliser l'œuvre en question dans les conditions définies dans le CT. Il est aussi possible d'acheter une image sur une banque d'images mais dans la plupart des cas cet achat est soumis aux règles de la licence. La titularité des droits de l'œuvre créée par un tiers : en effet, l'article 1113-1 CPI, « la qualité d'auteur appartient à celui sous le nom de qui l'œuvre est divulguée », en pratique il s'agit soit de l'auteur de l'œuvre soit en cas de cession c'est la personne à qui les droits ont été cédés. Il faut savoir que cette règle s'applique également lorsque cette œuvre a été créée par un salarié ou par un prestataire extérieur. Ici le tiers reste en principe l'auteur de l'œuvre et donc est titulaire des droits sur cette œuvre. Pour que l'éditeur devienne titulaire des droits d'auteur, et pour qu'il puisse l'utiliser paisiblement il est nécessaire de conclure un CT de cession de droit d'auteur à son profit, sinon les droits sur cette œuvre restent attachés à l'auteur (au salarié ou au prestataire) qui pourrait donc s'opposer à l'exploitation de sa création par l'éditeur du site. Les CGU : quand on fait une création de site internet il faut insérer des CGU pour protéger le site. Elles déterminent le cadre de l'utilisation du site internet, donne des infos sur les droits et obligations des visiteurs et de l'éditeur du site. En effet l'utilisateur qui a accepté les CGU est lié à l'éditeur par ce CT. Il sait donc ce qu'il peut faire en navigant sur le site. Ça permet aussi à l'éditeur de se protéger, l'éditeur peut prévoir de ne pas être tenu responsable si un tiers produit des contenus dupliqués depuis un autre site ou protégé par le droit d'auteur. En somme, les CGU protègent le site et l'éditeur. CGU et CGV sont différentes, les CGV sont obligatoires notamment pour ceux qui gèrent les sites d'e-commerce ou encore les prestataires de service sur internet, d'autant plus que les CGV ont vocation à encadrer les relations commerciales avec les clients. A l'inverse les CGU ne sont pas obligatoire, elles sont simplement vivement recommandées, et surtout elles n'encadrent que les modalités d'utilisation du site. Comment communiquer et faire accepter les CGU, si elles ne sont pas acceptées par le CGU ces dernières n'ont qu'une valeur informative donc il faut que les utilisateurs du site acceptent ces conditions sinon elles ne s'imposent pas aux utilisateurs. Donc pour rendre les CGU opposables aux utilisateurs il faut s'assurer qu'ils ont bien lu mais surtout accepté. Comment faire ? L'éditeur peut prévoir un formulaire et une case à cocher. S'il ne l'a pas coché, l'éditeur prévoit souvent l'impossibilité de rentrer sur le site. 2. [La protection juridique du site web ] Pour éviter une copie ou une reproduction illicite du site et de ses composantes. En vertu de l'article 111-1 alinéa 1 & 2 CPI, le droit d'auteur confère à l'auteur de l'œuvre des droits exclusifs sur celle-ci. Le droit d'auteur est composé de 2 types de droits, les droits patrimoniaux mais également les droits moraux. Droits patrimoniaux : ils ont une durée limitée mais surtout ces droits peuvent faire l'objet de cession, ils peuvent être rémunérés. Droits moraux : ils sont perpétuels et incessibles et donc ils ne peuvent pas faire l'objet d'une rémunération. [Quelle œuvre de l'esprit peut en bénéficier ? ] C'est prévu par l'article L112-2 CPI, dresse la liste des œuvres de l'esprit susceptible de bénéficier de la protection conférée par des droits d'auteur, or le site web n'y figure pas, il n'est pas expressément mentionné par ces articles. Néanmoins, cette liste est non exhaustive en effet, dispose que sont considéré « notamment comme œuvre de l'esprit », donc les sites web peuvent bénéficier de la protection du droit d'auteur, ça peut constituer une œuvre de l'esprit protégée par le droit d'auteur. Toutefois, il faut pour cela qu'il remplisse 2 conditions : le site web doit être original et la jurisprudence relèvent souvent qu'il faut un effort créatif de la part du créateur. Le site web doit aussi être matérialisé, c\'est-à-dire que le site doit être suffisamment élaboré, ce qui exclue notamment de la protection du droit d'auteur simplement des idées, méthodes, concepts qui ne sont pas encore formalisés, matérialisés. En revanche, aucune formalité n'est nécessaire pour qu'une œuvre bénéficie de la protection du droit d'auteur = existe du seul fait de la création de l'œuvre. Il faut aussi regarder les différents éléments composant un site web, il est constitué de nombreux éléments qui sont eux soumis à des régimes juridiques distincts = nom de domaine, création graphique, interface graphique, textes, contenus, dénomination, logo, etc... Il peut aussi exister une pluralité des titulaires des droits sur ces différent éléments et chacun d'eux est protégé juridiquement. Ces différents éléments du site web peuvent notamment bénéficier d'une protection accordée par le droit d'auteur sous les conditions de l'article précité. Il y a aussi des régimes de protection spécifiques qui s'appliquent notamment pour les bases de données ou encore le droit des marques. La protection du nom de domaine : il est protégé ou peut l'être, or une des étapes de création du site internet consiste à réserver un nom de domaine et ce auprès d'un bureau d'enregistrement auprès de l'association française pour le nommage internet en coopération (AFNIC), il est possible et fortement recommandé de réserver un nom de domaine auprès d'un bureau d'enregistrement accrédité par cette asso. Ce bureau applique une règle mondiale du premier arrivé = premier servi. Le nom de domaine est attribué à celui qui l'enregistre en premier. En réalité avant de procéder à une réservation, il faut procéder à quelques vérifications préalables pour éviter notamment toute sorte de conflit avec d'autres personnes, vérifier si le nom de domaine n'a pas déjà été déposé en tant que marque ou n'est pas déjà exploité par un tiers, et en cas de conflit le titulaire de la marque antérieur peut agir notamment sur le fondement de la contrefaçon. Cette vérification n'est pas faite par l'asso ou le bureau, sauf dans le cas de l'existence d'un nom de domaine similaire déjà enregistré = elle ne vérifie pas si une marque, dénomination sociale, etc... a déjà le même nom. = à l'éditeur de le faire L'enregistrement du nom de domaine ne confère aucun droit de propriété intellectuelle au titulaire, c'est pourquoi il est recommandé de déposer le nom de domaine a titre de marque auprès de l'INPI. En effet, sans dépôt à titre de marque seul l'action fondée sur la concurrence déloyale est possible. Il faut donc en plus déposer ça à titre de marque à l'INPI. La protection du contenu : ex de l'interface graphique, contenus éditoriaux, multimédia, etc... Tous ces éléments peuvent être également protégés par les droits d'auteurs sous condition qu'ils soient originaux et matérialisés, la JP est assez stricte. [Le logo et la dénomination ] Ils peuvent être protégés par le droit d'auteur mais il est également conseillé de le déposer à titre de marque auprès de l'INPI. L'objet du droit d'auteur : protège la forme originale d'une création. Droit des marques : protège le signe distinctif qui permet d'identifier différents produits ou services proposés. [La protection du logiciel : ] Il peut également être considéré comme original et à ce titre bénéficier de la protection du droit d'auteur néanmoins, la jurisprudence insiste pour dire qu'il faut que ce logiciel résulte d'un effort personnalisé = apport intellectuel de l'auteur derrière ce logiciel. Par ailleurs, les logiciels doivent également être matérialisés pour avoir la protection des droits d'auteurs. [La protection des bases de données : ] C'est un recueil d'œuvre, de données ou d'autres éléments indépendants disposés de manière systématique et méthodique et accessible de manière libre. Une telle base de données est donc susceptible de faire l'objet d'une protection par le droit d'auteur, plus précisément, l'architecture, le contenant peut être protégé par le droit d'auteur si elle répond aux conditions. Il y a une 2^e^ protection spécifique à la base de données : le contenu de la base peut être protégé par un droit à part, à savoir le droit des producteurs des bases de données. = article L. 341-1 du code de propriété intellectuelle. Besoins : - Réalisation d'un investissement - L'investissement doit être substantiel - Pour la constitution, la vérification ou la présentation du contenu de la base de données Le producteur de la base de données peut interdire l'extraction ou la réutilisation de toute ou partie de la base de données. Qui est titulaire de cette protection sur le site web et sur ses composantes ? Droit d'auteur : L. 113-1 du code de propriété intellectuelle: celui sous le nom de qui l'œuvre est divulguée. (Voir + haut) Cas du logiciel est de la cession =\> normalement un salarié créant une œuvre dans le cas d'un contrat (CT), il reste titulaire des droits sur cette œuvre, l'employeur doit conclure un CT de cession avec le salarié pour pouvoir exploiter les œuvres du salarié. Le logiciel fait toutefois figure d'exception. Lorsqu'un logiciel est créé par un salarié dans l'exercice de sa fonction, les droits patrimoniaux sont immédiatement révolus à son employeur. ***Comment prévenir les atteintes au site web et à ses composantes ? et comment y réagir ?*** Ce qui est conseillé de faire c'est d'effectuer un dépôt probatoire, qui permet de rapporter plus facilement la preuve des droits d'auteurs en cas de contrefaçon de la création, d'un site web notamment. Il doit aussi prouver la date à laquelle il a créé ces différentes œuvres. A cet effet il est vivement recommandé de déposer ces composantes à l'APP (agence pour la protection des programmes). Ces dépôts permettent de revendiquer des droits mais aussi de se préconstituer une preuve de la titularité de ces droits& donc d'anticiper les différents problèmes probatoires. L'APP est la référence en Fr dans la protection des créations numériques, que ce soit logiciels, base de données, ou site internet, ainsi sur une plateforme en ligne, l'APP permet à l'éditeur de logiciels de déposer leur création et de gérer leur portefeuille de dépôt en toute sécurité. Il est tout à fait possible de déposer auprès de l'APP tout ce qui est protégeable par le droit d'auteur mais aussi tous ceux qui ne sont pas protégeables par les droits d'auteurs mais qui ont une valeur éco. ***Comment sanctionner les atteintes ?*** Le titulaire a 2 actions : sur le fondement de la contrefaçon en cas d'atteinte à ces droits de PI et en particulier droit d'auteur. Ou sur le fondement de la concurrence déloyale ou du parasitisme. Partie 2 : les plateformes en ligne ----------------------------------- Souvent des personnes publient des vidéos, photos sur un site web sans avoir obtenu préalablement l'autorisation de son auteur, donc cette personne fait de la contrefaçon. La question est de savoir si cette plateforme en ligne qui héberge le contenu illicite se rend également coupable des mêmes actes. Que se passe-t-il si cette plateforme en ligne contient du contenu illicite publié par un tiers ? **[Qu'est-ce qu'un hébergeur ? ]** Ici le premier texte qui a donné une déf. Est une directive du 8 juin 2000, qui a défini pour la première fois le prestataire de l'hébergement : c'est celui qui met à la disposition un service consistant à stocker des informations fournies par un destinataire du service (art 14). Cette directive a été transposée en France par la loi du 21 juin 2004 pour la confiance dans l'économie numérique. Cette loi a défini l'hébergeur : toute personne physique ou morale qui assure même à titre gratuit la mise à disposition au public le stockage de signaux, d'écrits, d'images, de son ou d'images de toute natures fournis par le destinataire de ce service. = entreprise fournissant l'hébergement sur internet de divers fichiers de ses clients et les rendant accessibles. Cet hébergement se fait au sein d'un parc d'hébergement de services. Et cet hébergement bénéficie de 24h/24 une connexion internet de très haut débit pour offrir un accès rapide au client selon le type de service rendu. Qui est vraiment l'hébergeur ? est-ce que c'est l'éditeur ou simplement l'hébergeur ? Si on publie une vidéo sur internet, les plateformes de contenus en ligne, sont-ils obligés de vérifier ce qu'il se passe sur leur plateforme, par rapport à la réglementation, c'est la jurisprudence qui s'est positionnée et qui a donné une réponse. Il a fallu clarifier leur statut = ont-ils un rôle ? et une responsabilité de contrôle ? CJUE, 2010 a rendu plusieurs arrêts, elle considère que Google est un simple hébergeur pour le service de référencement proposé dans la mesure où Google ne joue pas un rôle actif de nature à lui conférer une connaissance ou un contrôle des données stockées. Ainsi, Google n'a pas à contrôler ce qui se passe sur son site. Cette décision de la CJUE a été confirmé en 2011 par la cour de cassation (CC) en France dans l'affaire Ploombox. Dailymotion, 2011, revendique le statut d'hébergeur, en effet un film a été publié et ce sans l'autorisation des titulaires du droit, dans cette affaire, la CC a considéré que Dailymotion n'agit qu'en qualité d'hébergeur puisqu'il procède simplement à mettre en ligne les vidéos et ce qui n'inclut aucune sélection des contenus mis en ligne. = pas de rôle actif donc ne contrôle pas ce qui se passe sur la plateforme ; décision du 17 fév. 2011. EBay, 3 mai 2012, CC, a considéré que dans la mesure où ce site fourni des infos permettant au vendeur d'optimiser sa vente, mais également les assiste dans la description des objets vendus = EBay joue un rôle actif, de nature à lui conférer la connaissance et le contrôle des infos stockées sur le site. En conséquence, EBay n'est pas un simple hébergeur mais en tant qu'éditeur. [Résumé des 3 : ] On peut exclure la qualification d'hébergeur les sites internet qui : - Sélectionnent, classent, organisent les contenus transmis par les clients - Qui jouent un rôle plus que technique, Le site est un véritable alors éditeur. C'est important de distinguer les 2 parce que les obligations respectives ne sont pas les mêmes. La directive de 2000, et la transposition prévoient une exonération de responsabilité en contrepartie d'une aide pour la lutte contre la contrefaçon. Autrement dit, un hébergeur n'est pas responsable des infos stockées à condition qu'il n'y a pas effectivement connaissance de l'info illicite et que dès le moment où il a été mis en connaissance qu'il agisse promptement pour enlever l'information illicite. On prévoit pour l'hébergeur une exonération, il n'est pas responsable de ce qu'il se passe sur son site et pas responsable en particulier des infos illégales/ illicites. L'hébergeur est uniquement tenu d'être réactif, mais il n'est pas tenu à la différence de l'éditeur d'être proactif, il doit uniquement réagir s'il a connaissance de quelque chose. Donc un hébergeur a moins d'obligations qu'un éditeur = d'où l'enjeux de la qualification. A été adopté récemment un nouveau règlement, d'oct. 2022 et qui s'applique à partir du 17 fév. 2024 et s'applique déjà aux très grandes plateformes numériques (+ 45Milions d'utilisateurs/ mois) = dès aout 2023. Ce Règlement EU modernise la directive de 2000, mais les modifications ne concernent pas l'exonération de la responsabilité de l'hébergeur. = les concepts sur ce point restent les même, l'hébergeur reste irresponsable s'il n'a pas connaissance, s'il a connaissance, il doit agir au plus vite = art 6 du règlement. Que se passe-t-il pour un contenu illicite retiré qui serait plus tard remis en ligne ? Peut-on imposer à un hébergeur l'obligation d'empêcher toute nouvelle mise en ligne ? Peut-on le soumettre à une obligation générale de surveillance des contenus stockés ? La cour de cassation (CC) en France a répondu par non, elle

Droit du Numérique - Licence 3 PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue