avocat

DEROULEZ AVOCAT rejoint le GFII (Groupement Français de l'Industrie de l'Information)

ACTUALITES DU CABINET: DEROULEZ AVOCAT a rejoint en novembre 2018 le GFII.  

Think-tank des acteurs du marché de l'information et de la connaissance, le GFII est un lieu de rassemblement unique en France des acteurs de l'information professionnelle. A ce titre, il réunit les acteurs des secteurs publics et privés (producteurs d'information, prestataires de solutions), éditeurs, diffuseurs, agences d'abonnements, cabinets de conseils, avocats etc...

 

Le GFIIhttps://www.gfii.fr/fr/ est aussi un lieu unique d'échanges entre professionnels de l'information unique et ses groupes de travail participent pleinement de cette réflexion pluri-disciplinaire.

 

En rejoignant le GFII, DEROULEZ AVOCAT manifeste son engagement à contribuer à cette réflexion, alors que les données sont aujourd'hui au coeur des nouveaux modèles économiques, techniques, sociaux et juridiques.

NUIT DU DROIT 2018 et RGPD: Jérôme DEROULEZ a participé à la conférence organisée par la Cour d'Appel de Bordeaux au sujet de la protection des données - 4 octobre 2018

RGPD: A l'invitation de la Cour d'Appel de Bordeaux, Jérôme Deroulez est intervenu lors de la conférence organisée sur le RGPD et la protection des données personnelles. Cette conférence organisée le 4 octobre avait pour objet de rappeler les enjeux de la négociation du RGPD et le nouveau cadre applicable aux données personnelles.

Collectivités locales, stationnement payant et RGPD : quels enjeux et quels dispositifs ?

données

données

COLLECTIVITES LOCALES : La CNIL a annoncé dans le cadre de son programme de contrôle 2018 que l'une de ses priorités sera de contrôler la conformité des traitements relatifs à la gestion des services de stationnements payants réalisés au moyen d’équipements connectés. Cette annonce intervient dans un contexte d'évolutions importantes concernant ces services.

En effet, la loi « MAPTAM » n° 2014-58 du 27 janvier 2014 de modernisation de l'action publique territoriale et d'affirmation des métropoles avait modifié les règles en la matière à compter de janvier 2018 et il incombe désormais aux collectivités locales de prendre en charge la gestion du stationnement payant sur la voie publique. Cette loi dépénalise notamment certaines infractions liées au stationnement payant avec la disparition de l’amende au profit d’un forfait de post-stationnement (FPS).

Le contrôle du paiement des redevances de stationnement et la notification des forfaits de post-stationnement pouvant être traités par des prestataires, de nombreuses données personnelles des usagers seront donc transférées à ces derniers dans des conditions qui doivent être encadrées.

La CNIL relève dans son programme de contrôle que de nouveaux outils vont être mis en œuvre comme les dispositifs de lecture automatisée de plaques d’immatriculation (LAPI) pour accroître l’efficacité des procédures de contrôle et du paiement du stationnement. Dispositif qui pose de nombreuses questions et au sujet duquel la CNIL avait déjà formulé des recommandations[1] :

  • Quel contrôle des données collectées, de leur qualité et de la proportionnalité de la collecte?

  • Quel choix des outils, par exemple au regard du principe du privacy-by-design?

  • Comment faciliter l'exercice des droits des personnes concernées?

QUELS ENJEUX RGPD?

Ces enjeux sont potentiellement très nombreux pour les collectivités locales et concernent les éléments suivants:

  • la cartographie des données collectées et leur classement par catégories de données par les collectivités et les prestataires qui devront les identifier;

  • le traitement des risques pour la vie privée à propos de la collecte de données sensibles;

  • la marge de latitude laissée par les collectivités locales à ces prestataires dans le cadre de ces traitements de données;

Par ailleurs, le traitement de ces données peut aussi interpeller au regard du niveau de sécurité qui sera défini et mis en place, alors que la collecte et le traitement de ces données pourra s'apparenter à une forme de profilage.

Enfin, si ce traitement de données était encadré par un mécanisme de formalités préalables et avait fait l’objet d’une délibération de la CNIL n°2018-137 du 19 avril 2018 autorisant l’Agence nationale du traitement automatisé des infractions (ANTAI) à mettre en œuvre un traitement de données à caractère personnel dénommé « Service FPS – ANTAI », le cadre légal post-RGPD supprime ces déclarations mais renforce les obligations des collectivités locales et de leurs prestataires.

QUELLES OBLIGATIONS POUR LES COLLECTIVITES LOCALES ET LEURS SOUS-TRAITANTS?

Les obligations pesant sur les collectivités locales et leurs prestataires sont nombreuses. Ces derniers devront notamment:

  • Assurer une information des personnes concernées (quelles sont les données collectées, pour quelles finalités, à qui sont-elles transférées, comment peuvent-elles y avoir accès) : cette information devra ensuite être portée à la connaissance des personnes de manière effective et transparente (l’information ne devra pas être diluée dans les CGU d’une application mobile ou lors de l’inscription à un abonnement);

  • Respecter les bases légales du traitement de données;

  • Respecter les principes de finalités et éviter les détournements de finalités lors d’un traitement de données ou de recoupements d’informations);

  • Respecter les principes de minimisation des données (la collecte devra respecter les principes de nécessité et de pertinence et devra être accompagnée par des formulaires, des lignes directrices ou des chartes encadrant de manière préventive les conditions de collectes des données. Ces démarches concernent également toutes les applications mobiles, logiciels et de manière générale les outils informatiques qui devront être conçus « privacy-by-design» en protégeant la vie privée des personnes dès la conception de ces applications;

  • Prévoir des durées de conservations (par exemple en prévoyant que les bases de données permettent des suppressions automatiques de données une fois les vérifications effectuées);

  • Assurer la sécurité des données et vérifier que les sous-traitants présentent des garanties de sécurité suffisante.

  • Gérer les destinataires des données et créer un système d'habilitations.

Ces obligations pourront être déclinées à travers les mesures concrètes suivantes:

  • La mise en place du DPO, obligatoire pour les collectivités et en charge du respect du RGPD;

  • Le registre des activités de traitement, tenu par le responsable de traitement et chaque sous-traitant;

  • Des analyses d’impact;

  • Des contrats formalisant la relation avec les prestataires et sous-traitants pour formaliser la répartition des rôles et insérer le cas échéant des dispositions relatives à la confidentialité.

Ce dispositif nouveau s’inscrit dans une démarche de plus en plus connectée des collectivités locales, liée aux développement des applications smart-city et à l'essor de l'Open data. La ville intelligente repose ainsi sur des mécanismes permettant de collecter des données en masse pour les réutiliser afin d’améliorer les infrastructures, d'optimiser l’espace ou de mieux gérer les transports publics. De telles mutations continuent cependant à interpeller du fait des risques de profilage ou de surveillance qu'elles génèrent. Autant de questions qui seront à suivre de près au fur et à mesure de la mise en conformité des collectivités locales et de leurs prestataires et sous-traitants.

Références

[1]https://www.cnil.fr/fr/reforme-du-stationnement-payant-les-recommandations-de-la-cnil

[2]https://www.collectivites-locales.gouv.fr/reforme-stationnement-payant-nouvelle-competence-pour-collectivites-0

[3]https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034017907

[4]https://www.cnil.fr/fr/profilage-et-decision-entierement-automatisee

https://www.cnil.fr/sites/default/files/atoms/files/20171025_wp251_enpdf_profilage.pdf

ICO, BLOCKCHAIN et PROJET DE LOI PACTE : QUELLES AVANCEES?

ICO: Le projet de loi relatif à la croissance et à la transformation des entreprises a été présenté en Conseil des ministres ce mercredi 20 juin 2018. Il vient jeter les bases d’une future réglementation des ICO alors que ces levées de fond reposant sur la blockchain étaient jusque là peu encadrées. L'objectif est clairement affiché: offrir un cadre juridique compréhensible et protecteur alors que le financement de l'innovation par les ICO est en plein essor. Ce dernier rejoint une des finalités de la loi PACTE visant à renforcer l'attractivité de la Place de Paris. Le Conseil d'Etat dans son avis a relevé le caractère innovant de cette proposition et l'évolution probable de cet environnement technologique.  

Ce projet de loi PACTE constitue aussi un prolongement des travaux menés par l’Autorité des Marchés Financiers sur ce thème et notamment après la présentation de la synthèse de sa consultation publique portant sur les ICO et marquant un point d'étape du programme UNICORN - consultation publique rendue le 22 février 2018 "UNICORN".

Ce projet de loi contient unchapitre 2relatif aux « émetteurs de jetons ».

Plusieurs points sont à souligner au titre de ce nouveau cadre juridique inédit :

1/ Les dispositions relatives à l’objet de l’ICO

a) La soumission à un visa de l'AMF des offres au public de jetons

Le projet d’article L. 552-1 du code monétaire et financier dispose qu’ « est soumis aux obligations du présent chapitre tout émetteur qui procède à une offre au public de jetons et qui sollicite un visa de l’Autorité des marchés financiers dans les conditions prévues aux articles L.552.4 et suivants ».

Il consacre ainsi le mécanisme du visa dans le cadre d’une démarche volontaire des émetteurs de jetons, à la suite des préconisations faites en ce sens par l'AMF.

b) La définition d’un jeton

Un jeton est qualifié dans le projet de loi comme « tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits, pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien ».

Un jeton est donc représentatif d’un droit qui peut être émis, inscrit, conservé, transféré au moyen d’un DEEP, c'est-à-dire une technologie de registre distribué (blockchain).

Faut-il comprendre de ce projet d'article que le jeton sera uniquement représentatif d’un droit ? Dans la pratique, il existe différentes typologies très différentes de jetons qui ne visent pas seulement à représenter un droit. Cette disposition pourra faire l'objet de débats.

Cette disposition indique aussi au titre de la définition du jeton que ce dernier permet également l’identification directe ou indirecte du propriétaire dudit bien. Cette dénomination proche du droit des données personnelles interpelle, au vu de la portée et des conséquences liées au mécanisme d'identification. L'objectif d'une telle référence dépasse le seul enjeu de la protection des données et semble à rapprocher de la lutte contre la corruption et le blanchiment.

c) Qualification de l'offre au public de jetons

Toutes les offres d’ICO ne sont pas concernées par ces dispositions. En effet, le projet d’article L.552-3 du code monétaire et financier dispose que : « une offre au public de jetons consiste à proposer au public, sous quelque forme que ce soit, de souscrire à ces jetons ». « Ne constitue pas une offre au public de jetons, l’offre de jetons ouverte à la souscription par un nombre limité de personnes, fixé par le règlement général de l’Autorité des marchés financiers, agissant pour compte propre ».

Cet article vient préciser le champ d’application de ces dispositions en ajoutant un seuil minimal à la qualification « d’offre au public » de jetons. Certaines ICO seront par conséquent exclues de ce régime.

2/ Les dispositions relatives au contenu des ICO

Un formalisme documentaire imposé

Les ICO ne sont aujourd'hui pas encadrées sur le plan juridique en dépit d'une documentation de plus en plus étoffée en pratique (White paper, conditions générales etc) et ces dernières peuvent présenter des risques pour les souscripteurs. Ce projet de loi PACTE instaure donc un mécanisme destiné à fournir aux souscripteurs des documents d’information encadrés.

Le projet d’article L.552-4 du code monétaire et financier dispose ainsi « que préalablement à toute offre au public de jetons, les émetteurs peuvent solliciter un visa de l’Autorité des marchés financiers ». Dans ce cadre, les émetteurs établissent

  • « Un document destiné à donner toute information utile au public sur l’offre proposée et sur l’émetteur».

  • « Ce document d’information et les communications à caractère promotionnel relatives à l’offre au public présentent un contenu exact, clair et non trompeur et permettent de comprendre les risques afférents à l’offre».

  • « Les modalités de la demande de visa préalable, les pièces nécessaires à l’instruction du dossier et le contenu du document d’information sont précisés par le règlement général de l’Autorité des marchés financiers».

Ce projet de loi vient donc encadrer la documentation que chaque projet devra mettre à disposition des investisseurs. Le contenu devra être clair et non trompeur et permettre aux investisseurs de l’ICO de comprendre les risques afférents à l’offre, ce qui en pratique pourra être complexe à déterminer.

3/ Le rôle de l’AMF et procédure de visa

a) Introduction du mécanisme du visa non obligatoire

Le projet d’article L.552-4 du code monétaire et financier dispose que « préalablement à toute offre au public de jetons, les émetteurs peuvent solliciter un visa de l’Autorité des marchés financiers ».

Le mécanisme du visa n’est pas obligatoire pour faire une levée de fonds par le biais d'une ICO mais il s’inscrit dans une démarche de certification et d’accompagnement volontaire à l’image de procédures mises en œuvre jusqu'aujourd'hui par l’AMF. Il est possible d'imaginer qu'un tel visa constituera une des étapes clés dans la mise en oeuvre d'une ICO et au vu de sa crédibilité.

b) La procédure de contrôle et de révocation de visa devant l’AMF

Ce mécanisme du visa fait l'objet d'un suivi spécifique de la part de l'AMF. En effet, le projet d’article L.552-6 du code monétaire et financier dispose que « si, après avoir apposé son visa, l’Autorité des marchés financiers constate que l’offre proposée au public n’est plus conforme au contenu du document d’information ou ne présente plus les garanties prévues à l’article précédent, elle peut ordonner qu’il soit mis fin à toute nouvelle souscription ou émission, ainsi qu’à toute communication à caractère promotionnel concernant l’offre, et retirer son visa dans les conditions précisées par son règlement général ».

Le visa est donc révocable en cas d’offres qui seraient devenues non conformes aux exigences précitées, avec la possibilité de faire mettre fin aux communications concernant l'offre comme aux nouvelles souscriptions et émissions.

c) Le rôle de l’AMF : de nouveaux pouvoirs de vérification et d’examen?

Ce projet de loi confère à l’AMF un pouvoir de contrôle lorsque les porteurs de projet ICO décideront de se soumettent à cette procédure de visa.

Le projet d’article L.552-5 du code monétaire et financier précise que « l’Autorité des marchés financiers vérifie si l’offre envisagée présente les garanties exigées d’une offre destinée au public et notamment que l’émetteur de jetons :

  • Est constitué sous la forme d’une personne morale établie ou immatriculée en France

  • Met en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre

L’Autorité des marchés financiers examine le document d’information, les projets de communications à caractère promotionnel destinées au public postérieurement à la délivrance du visa et les pièces justificatives des garanties apportées. Elle apporte son visa sur le document d’information selon les modalités et dans le délai fixés par son règlement général ».

L’AMF a dès lors un pouvoir de contrôle sur l’entier projet et également sur les documents de publicités qui doivent être clairs et transparents.

4/Les critères relatifs aux parties : l’émetteur et le souscripteur

a) Les qualités de l’émetteur de jetons

Le projet de loi réglemente également la qualité d'émetteur de jeton. En effet, le projet d’article L.552-5 du code monétaire et financier dispose que « l’Autorité des marchés financiers vérifie si l’offre envisagée présente les garanties exigées d’une offre destinée au public et notamment que l’émetteur de jetons :

  • « Est constitué sous la forme d’une personne morale établie ou immatriculée en France

  • Met en place tout moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre »

Cet article énonce les conditions relatives à l’émetteur de jetons, ce dernier devant être une personne morale immatriculée en France. Cette condition est considérée comme donnant une certaine transparence et des garanties supplémentaires pour les souscripteurs, elle permet aussi d'encourager des porteurs de projets ICO à s'immatriculer en France dans le cadre de leur développement.

Par ailleurs, l’émetteur de jetons doit fournir un moyen permettant le suivi et la sauvegarde des actifs recueillis dans le cadre de l’offre.

b) Le souscripteur de jetons : des garanties renforcées

Enfin le projet d’article L. 552-7 du code monétaire et financier précise que « les souscripteurs sont informés des résultats de l’offre et, le cas échéant, de l’organisation d’un marché secondaire des jetons selon les modalités précisées par le règlement général de l’Autorité des marchés financiers ». 

La protection apportée à ces derniers est renforcée et leur information élargie, en l'absence de tout cadre en la matière. De la même façon l'information sur l'organisation d'un éventuel marché secondaire entrera dans le cadre des compétences de l'AMF.

Ce projet de loi attendu marque une nouvelle étape dans la construction d'un cadre juridique relatif à la blockchain et en l'espèce aux ICO. Si la future loi PACTE devra nécessairement intégrer des aspects fiscaux et comptables à terme pour assurer une réelle attractivité, elle témoigne de l'intérêt grandissant pour ces nouvelles levées de fonds.

Ces dispositions sont aussi un exemple intéressant de "bac à sable", un tel régime optionnel étant de nature à accroître encore les dispositifs juridiques mis en oeuvre par les porteurs de projets.

BLOCKCHAIN : Audition de Jérôme DEROULEZ dans le cadre de la mission de l'Assemblée nationale

BLOCKCHAIN - Dans le cadre de la mission d’information sur les usages des Blockchains (les chaînes de blocs), présidée par M. Julien AUBERT et ayant comme rapporteurs Mme Laure de la RAUDIERE et M. Jean-Michel MIS, Jérôme DEROULEZ  a été auditionné le mardi 17 avril 2018.

Après une brève présentation de l’activité du cabinet, spécialisé dans les nouvelles technologies et tout particulièrement en droit des données personnelles, le cabinet a exposé les enjeux d'une pratique innovante autour de l’accompagnement et du conseil en Blockchain.

A ce titre, le cabinet réalise pour ses clients des études prospectives sur l'environnement juridique et le contexte de l’émergence de la technologie Blockchain afin d'offrir des prestations de conseils et d'accompagnement adaptés.

Le cabinet rédige également des études prospectives sur la Blockchain Stockage des données sur la blockchain : quels enjeux juridiques?  mais également dans le domaine des nouvelles technologies  - intelligence artificielle (IA émotionnelle), objets connectés etc... 

Lors de cette audition, de nombreux thèmes ont été abordés et notamment les liens entre la protection des données personnelles et la Blockchain, la remise en cause ou non du droit des contrats ou des concepts du droit international privé. 

Le cabinet reste à votre dispositionpour toute demande de conseil et d'accompagnement de vos projets Blockchain.

Stockage de données sur la blockchain: quels enjeux juridiques?

Stockage de données sur la blockchain: quels enjeux juridiques?

Plusieurs articles ont récemment fait état de la découverte sur la blockchain bitcoin de plusieurs fichiers contenants des liens vers des fichiers pédopornographiques.[1]  [2]

Tous ces articles font référence à l’étude menée par la « Communication and Distributed Systems RWTH de l'Université d'Aix la Chapelle et par le «Data Protection Research Institue, Goethe University, de Francfortdisponibleici [3].

Pour la résumer rapidement, cette étude souligne les conséquences du stockage de fichiers « non-financiers » sur la blockchain. En effet, selon les auteurs, il serait possible de stocker des contenus illicites, notamment sur la blockchain "bitcoin" et d'engager ainsi potentiellement la responsabilité des acteurs qui y interviennent.

Les auteurs relèvent ainsi :

«Les blockchains permettent principalement une comptabilité crédible du numérique des événements, par exemple des transferts d'argent dans des crypto-monnaies. Cependant, au-delà de ce but initial, les blockchains enregistrent également irrévocablement des données arbitraires, allant des messages courts aux images.

Cela n’est pas sans risques pour les utilisateurs car chaque participant doit répliquer localement la blockchain complète, en y incluant un contenu potentiellement dangereux. Nous fournissons la première analyse systématique des avantages et des menaces pour la blockchain de ces contenus arbitraires.

Notre analyse montre que certains contenus, par exemple en matière de pornographie illégale, peut rendre la simple possession d'une blockchain illégale.[4]

Basé sur ces aperçus, nous effectuons une analyse quantitative et qualitative approfondie de contenus non intentionnels sur la blockchain "bitcoin".

Bien que la plupart des données proviennent d'extensions bénignes au protocole bitcoin, notre analyse révèle plus de 1600 fichiers sur la blockchain, dont plus de 99% sont des textes ou des images.

Parmi ces fichiers, il y a des contenus clairement répréhensibles comme des liens vers des contenus pédopornographiques, qui sont distribués vers tous les participants à cette blockchain "bitcoin".

Avec notre analyse, nous soulignons ainsi l'importance pour l'avenir de la blockchain de répondre à la possibilité d'insertion de données involontaires et d'en protéger ses utilisateurs en conséquence. »[5]

Cette étude vient ainsi à l’encontre d’une idée reçue selon laquelle la blockchain bitcoin serait totalement sécurisée et ouvre des perspectives de réflexions juridiques dans ce cadre, au vu des usages pouvant être fait de la possibilité de stocker des contenus ou des données arbitraires (arbitrary data) sur une blockchain (autres que les contenus liés à des transactions). 

Après avoir exposé brièvement les différentes techniques qui permettent de stocker des données non financières (partie 1), nous essayerons de formuler les enjeux de l’insertion de ces données comme les contours de leur appréhension juridique à ce stade (partie 2).

Partie 1. Le stockage de données arbitraires: quelles méthodes?

A l’origine, la blockchain "bitcoin" était notamment destinée à fournir un "enregistrement" pour des transactions financières. D’autres blockchains, comme Ethereum, ont été pensées pour y inscrire d'autres types de données et notamment pour conclure des smart-contrats.

Les résultats de l'étude évoquée plus haut soulignent que la part de données non financières reste très limitée. En effet, l'article indique que seulement 1,4% des 251 millions de transactions sur la blockchain "bitcoin" incluent des données arbitraires:

“In total, our detectors found 3 535 855 transactions carrying a total payload of 118.53 MiB, i.e., only 1.4 % of Bitcoin transactions contain non-financial data. »

Les transactions non-financières ne représentent donc qu’une part très marginale des transactions.

A) Cette étude évoque (page 3) les différentes méthodes d’insertion de données non-financières

Blockchain Bitcoin

Blockchain Bitcoin

(1) Les méthodes d'insertion de données de bas niveau  « low-level data Insertion methodes »

  • OP-RETURN : possibilité d’insérer des données financières, limité à 80B par transaction.

  • COINBASE : seuls les mineurs peuvent insérer de petits morceaux de données

  • NON-STANDARD TRANSACTIONS

  • STANDARD FINANCIAL TRANSACTIONS

(2) Les méthodes de services d’insertion de contenu

Ces méthodes permettent d'insérer des données comme des documents ou des images dans la blockchain, en utilisant différents protocoles:

  • CryptoGraffiti (ajout de contenu à travers une simple transaction)

  • Satoshi Uploader (insertion de données avec un champ de longueur et une somme de contrôle spécifique pour en faciliter le décodage)

  • P2SH Injectors (légère modification de l'écriture des Pay-to-Script-Hash)

  • Apertus (fragmentation de contenu à travers un grand nombre de transactions, en utilisant un nombre aléatoire d'écritures de transactions Pay-to-Pub-Key-Hash - P2PKH: ces fragments sont référencés dans des archives stockées dans la blockchain qui sera ensuite utilisée pour les ré-assembler).

Ces méthodes traduisent les différentes possibilités d'insérer des contenus "arbitraires" sur la blockchain "bitcoin", depuis les techniques réservées aux seuls mineurs à celles ouvertes à d'autres utilisateurs.

B) L’étude interroge également les bénéfices et les risques liés à l'insertion de contenu arbitraire sur la "blockchain"

(1) Les bénéfices

La blockchain "bitcoin" offre deux canaux d'insertion de "morceaux" de données non financières (OP_RETURN et COINBASE), chaque canal présentant ses bénéfices et ses inconvénients. 

  • OP_RETURN[6] : ce canal permet à quiconque d’insérer des données arbitraires de petites tailles, ce qui peut se révéler très utile avec la possibilité par exemple d’attester de l’existence de documents[7] ou de proposer des services notariaux. Cette fonction est d’ailleurs critiquée puisque la blockchain "bitcoin" n’a pas vocation à devenir une technologie de stockage des données dans un registre distribué[8].

  • COINBASE : avec cette méthode, seuls les mineurs peuvent ajouter des données non financières aux nouveaux blocs qu'ils minent.

Les bénéfices liés à la possibilité de stocker des données non financières sont nombreux, qu'il s'agisse de l'archivage de données historiques ou de la résistance à la censure. Cependant les conditions du stockage de ces données et leur réplication à tous les utilisateurs de la blockchain peuvent interroger en l'absence de possibilité de le refuser.

(2) Les risques

L’insertion de données non-financières peut présenter des risques pour tous les utilisateurs de la blockchain au vu des différents types de fichiers pouvant être contenus et notamment:

  • Contrefaçon : une manière de contourner la répression concernant le téléchargement illégal.

  • Malware : télécharger un virus sur la Blockchain qui pourrait se répandre.

  • Violation de la vie privée : menaces, chantage, revenge porn...

  • Contenu politique sensibles : révélations de secrets d’Etats

  • Contenus illégaux : pédopornographie

Les auteurs de l'étude ont indiqué avoir mis en évidence:

  • Contrefaçon : 7 fichiers

  • Des clefs cryptographiques dérobées

  • Un logiciel aidant à casser les protections anti-contrefaçon de DVD

  • Violation de la vie privée : photos de mariage, échanges de mails, post, forum de discussion, numéro de téléphone, adresse, compte bancaire...

  • Contenu politique sensible : lanceurs d’alertes, résistants à la censure...

  • Contenu illicite : au moins 8 fichiers concernant du contenu sexuel, parmi ces fichiers, 2 d’entre eux contenaient des sauvegardes de liens qui renvoyaient vers de la pédopornographie, contenant 274 liens vers des sites web[9]

Si la majorité des contenus étaient pour la plupart licites, d’autres au contraire sont potentiellement susceptibles de poursuites et les auteurs de l'étude ont recommandé que les [10] « futures conceptions de blockchain doivent faire face pro activement aux contenus répréhensibles ».

A ce titre, ils recommandent un système de "filtrage" des transactions entrantes évolutif et transparent dont les modalités restent néanmoins à fixer.

Ces débats montrent la place grandissante prise par les  considérations éthiques au sujet des crypto-monnaies à l’instar de Conscoin qui se présente comme étant une crypto-monnaie éthique.« Cryptocurrency with a Conscience: Using Artificial Intelligence to Develop Money that Advances Human Ethical Values »[11]

Partie 2. Quels enjeux juridiques (responsabilité, qualification pénale, droit international privé)?

Une blockchain est un registre distribué, c'est-à-dire que chaque transaction est validée par les nœuds du réseau. Afin de valider ces transactions, tous les nœuds possèdent, de façon répliquée, cette blockchain.

« En conclusion, un large éventail de contenu répréhensible peut causer un préjudice direct si possédé par les utilisateurs. Contrairement aux systèmes tels que les plates-formes de médias sociaux, réseaux de partage de fichiers, ou des systèmes de stockage en ligne, ce contenu peut être stocké sur blockchains anonymement[12] et irrévocablement. Puisque toutes les données Blockchain sont téléchargées et constamment conservés par les utilisateurs, ils sont responsables de tout contenu ajouté à la Blockchain par d'autres. Par conséquent, il serait illégal de participer à un système basé sur Blockchain dès qu'il contient du contenu illégal. »[13]

En conséquence et de manière très schématique, chaque utilisateur qui aura une "copie" de la blockchain détiendrait donc aussi des fichiers potentiellement illégaux. Voire ne pourrait connaître totalement toutes les informations contenues dans une blockchain.

(A) Retracer l’identité de la personne auteur du fichier illégal : anonymat ou pseudonymat sur la Blockchain ?

Il existe une idée et très souvent partagée sur la blockchain bitcoin, qui serait que toutes les transactions sont parfaitement anonymisées. Or, cette affirmation est à relativiser comme l’ont souligné de nombreuses études (et notamment, notamment « An analysis of Anonymity in the Bitcoin System ») [14].

Il s’agirait plutôt d’un pseudonymat qui permettrait de rattacher la transaction à un individu plutôt qu’un réel anonymat. Les différences entre l’anonymisation et la pseudonymisation sont parfois difficiles à saisir en droit de la protection des données personnelles et le Groupe de travail de l’article 29, dans un avis rendu le 10 avril 2014[15] a présenté à ce titre les différentes techniques d’anonymisation (une donnée anonyme est une donnée qui ne peut être attribuée à une personne identifiée). Or, sur la blockchain bitcoin, il est possible par un faisceau d’indices d’identifier indirectement une personne.

Même si les techniques de « mixage de bitcoin[16] » permettent de disperser plus encore les informations liées à une transaction par exemple, l'utilisation de cette technique a fait débat. Ainsi, certains services de mixage de Bitcoin sont revenus sur leurs positions et indiqué que le mixage de bitcoin était contraire à l’idéologie initiale de la blockchain qui était la transparence et non l’anonymat.

C’est dans cette volonté de transparence qu’ont émergé de nombreux explorateurs de Blockchain comme par exemple le sitehttps://blockchain.info/fr .

La question de l'identification ouvre cependant des champs de recherche et de discussions qui portent aussi bien sur les "valeurs" véhiculées par la blockchain bitcoin notamment (ou d'autres blockchains) que sur les métamorphoses de l'identité.

(B) Quelles responsabilités sur la blockchain bitcoin ?

Dans l’étude précédemment citée, la question de l'insertion de liens renvoyant vers des sites pédophiles et notamment vers le darkweb a été soulignée. La première question à régler sera donc de déterminer qui est le poseur de lien ? Or la question de l’auteur de l’acte sera particulièrement délicate à établir. Pour le moment, il n’y a pas d’obligation de démontrer son identité pour enregistrer des transactions sur la Blockchain même si de potentielles régulations à ce sujet ne sont pas exclues.

Dans l’hypothèse où la personne est identifiable, il est possible de faire l’analogie avec le régime juridique des poseurs de liens hypertextes retenu en matière de contrefaçon. La Cour de justice de l’Union européenne, par une série d’arrêts, a crée de façon prétorienne les critères d’engagement de la responsabilité des poseurs d’hyperliens[17]. Dans le récent arrêt GS Media[18], la CJUE a apporté des éléments de précisions et indiqué pour retenir la contrefaçon qu'il était nécessaire que la personne ait connaissance du caractère illégal de la publication de ces œuvres[19].

Quelle responsabilité pénale pour la personne qui inscrit des données dans une blockchain?

Si la question de la répression pénale de la détention de fichiers pédopornographiques est réglée par le Code Pénal[20] indépendamment de son support (clef USB, disque dur...), celle du stockage de fichiers sur la blockchain interpelle: stocker des fichiers sur la blockchain peut-il être assimilé à une détention au sens du Code Pénal?  Se pose aussi la question de la "propriété" de la blockchain dans tous les sens du terme...

La personne peut-elle être sanctionnée sur le terrain de la complicité ?

Un mineur peut-il être poursuivi sur le terrain de la complicité? En effet, selon les techniques utilisées, le mineur pour valider les blocs doit répliquer la blockchain, dans des conditions telles que sa connaissance de l'existence des fichiers illicites sera délicate à établir. Et devra requérir des modalités d'expertise spécifiques. Par ailleurs, plusieurs médias ont également dévoilé que les utilisateurs de certains sites minaient des crypto-monnaie à leur insu ! [21] La question est donc ouverte...

Quels instruments? Ces questions ouvrent la voie à une prospective juridique et débordent très largement les seuls enjeux en matière de données personnelles ou de droit pénal. A ce titre, l'utilisation de la blockchain interpelle les outils existants du droit international privé (quelle loi applicable, quelle juridiction applicable?). En fonction des types de données et de fichiers stockés, de très nombreuses conventions internationales pourraient aussi trouver à s'appliquer comme la Convention internationale de protection de l’enfance[22], les Conventions internationales de protection de la propriété intellectuelle[23], les conventions de protection de la vie privée[24] ou encore le RGPD [25].

Conclusion

Au-delà de cette étude, la question de l’appréhension juridique de la blockchain se fait de plus en plus pressante. A fur et à mesure de sa démocratisation, les questions posées par l'utilisation ou les modes de fonctionnement des blockchains -et notamment de la blockchain bitcoin- interpellent les juristes dans des domaines très différents (droit des données personnelles, droit international privé, droit pénal...) et devront être évoqués ou prises en compte, à défaut d'une régulation globale dont les contours sont difficilement envisageables à ce jour. 

[1]https://news.sophos.com/fr-fr/2018/03/23/blockchain-du-bitcoin-contiendrait-liens-vers-pornographie-juvenile/

http://www.newsweek.com/bitcoins-blockchain-contains-child-abuse-images-dark-web-links-and-wikileaks-857335

[2]https://trustmyscience.com/le-bitcoin-illegal-presque-partout-dans-le-monde-apres-decouverte-dans-blockchain/

[3]https://fc18.ifca.ai/preproceedings/6.pdf

[4] Affirmation à nuancer en raison, comme nous allons le voir, des différentes incertitudes concernant l’appréhension juridique de ce phénomène et les potentiels obstacles juridiques.

[5] Traduit librement depuis l’étude originale en anglais cite précédemment. (Page 1)

[6] Analyse of Bitcoin OP_RETURN metadata

[7] p.5

[8]https://en.bitcoin.it/wiki/OP_RETURN

[9] Page 13

[10] Page 13

[11]https://www.finyear.com/attachment/641777/

Dans cet article, nous contestons une telle présomption que l'argent doit avoir une valeur-neutre. En bâtissant sur les progrès de l'intelligence artificielle, de la cryptographie, et des machines éthiques, nous soutenons qu'il est possible de concevoir des crypto-monnaies artificiellement intelligentes, qui ne sont pas éthiquement neutres, mais qui régulent de manière autonome leur propre usage d'une manière qui reflète les valeurs éthiques de certains êtres humains, ou de sociétés humaines, même entières

[12] Attention toutefois : il s’agit plutôt de pseudonymat que d’anonymat

[13] Page 7

[14] An Analysis of Anonymity in the Bitcoin System Fergal Reid Martin Harriganhttp://fc17.ifca.ai/bitcoin/papers/bitcoin17-final32.pdf

[15]http://www.dataprotection.ro/servlet/ViewDocument?id=1288  et voir aussi la décision du Conseil d’Etat du 8 février 2017

[16]https://cryptoactu.com/cryptomonnaies/plus-gros-service-de-mixage-de-bitcoin-monde-ferme-portes/

[17] CJUE, 13 février 2014, Svensson, C-466/12

CJUE, 21 octobre 2014, C-348/13

[18]http://curia.europa.eu/juris/document/document.jsf?docid=183124

L’article 3, paragraphe 1, de la directive 2001/29/CE du Parlement européen et du Conseil, du 22 mai 2001, sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information, doit être interprété en ce sens que, afin d’établir si le fait de placer, sur un site Internet, des liens hypertexte vers des œuvres protégées, librement disponibles sur un autre site Internet sans l’autorisation du titulaire du droit d’auteur, constitue une « communication au public » au sens de cette disposition, il convient de déterminer si ces liens sont fournis sans but lucratif par une personne qui ne connaissait pas ou ne pouvait raisonnablement pas connaître le caractère illégal de la publication de ces œuvres sur cet autre site Internet ou si, au contraire, lesdits liens sont fournis dans un tel but, hypothèse dans laquelle cette connaissance doit être présumée.

[19] La Cour de justice énonce que le caractère lucratif est un indice qui quant à lui permettra au cas par cas de prouver l’intention et la connaissance des conséquences juridiques de l’acte. Mais ce n’est pas pour autant une condition de qualification.

[20] Article 227-23 du code pénal

[21]https://www.numerama.com/tech/297685-de-plus-en-plus-de-sites-minent-des-crypto-monnaies-a-votre-insu-quand-vous-les-consultez.html

[22]  Protocole facultatif à la Convention relative aux droits de l'enfant, concernant la vente d'enfants, la prostitution des enfants et la pornographie mettant en scène des enfants 

http://www.ohchr.org/FR/ProfessionalInterest/Pages/OPSCCRC.aspx

[23] Convention de Berne de 1886 offrant une protection minimale sur tous les Etats signataires

Les Accords ADPIC de 1994

[24]Directive 2013/40/UE du Parlement et du Conseil Européen du 12 aout 2013, relative aux attaques contre les systèmes d’information remplaçant la décision cadre 2005/222/JAI du Conseil.

[25] Charte des droits fondamentaux de l’Union européenne

[26] Règlement général sur la Protection des données

RGPD : Jérôme DEROULEZ a publié un article sur les responsabilités des maires dans la Gazette des communes d'avril 2018

Interview de Jérome Deroulez dans la Gazette des Communes

«Données personnelles : quelles responsabilités pour les maires ?»

 

Jérôme Deroulez est revenu sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain, date d'entrée en application du RGPD.

 

« Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière.

La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.»

 

Retrouvez l'intégralité de cet article sur le site de la Gazette des communes.

Petites et moyennes entreprises – avez-vous une charte Informatique et Libertés ?

Disposez-vous d’une charte Informatique et Libertés ? Quelles décisions avez-vous prises pour assurer la sécurité des données que vous collectez ou que vous stockez ? La question est d’actualité alors que la vie des entreprises a été marquée en 2017 par plusieurs failles de sécurité et cyber-attaques (Wannacry [1], NotPetya) qui témoignent de la nécessité de former ses équipes et ses salariés à la sécurité des systèmes d’information.

Pourquoi une charte Informatique et Libertés ?

Cette question est cruciale à la veille de l’entrée en application du Règlement général sur la protection des données personnelles qui a fait de la sécurité des systèmes d’information et des données des priorités, le RGPD renforçant par ailleurs les niveaux de sanction applicables.

A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et suggère entre autres de recourir à la pseudonymisation et au chiffrement des données à caractère personnel, aux moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; aux moyens permettant de rétablir la disponibilité des données à caractère personnel ou encore à une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Accountability et sécurité des données

Avec la consécration du principe d’accountability, responsables de traitement et sous-traitants devront aussi être en mesure de démontrer qu’ils ont mis en œuvre les mesures nécessaires destinées à assurer la sécurité des traitements. Au-delà des outils énumérés par le RGPD, les chartes Informatique et Libertés sont également un moyen efficace pour les entreprises de démontrer leur conformité tout en favorisant en interne la diffusion de la culture de la sécurité informatique.

Pourtant, de nombreuses entreprises n’ont pas encore ou peu cette culture de la sécurité de leurs données comme en atteste ce très récent passage diffusé sur le 19h45 de M6 à une heure de grande audience où apparaissaient, visibles en clair à l’écran, différents mots de passe affichés sur le poste du travail d’un salarié d’ENGIE relevé par un compte Twitter.

Charte informatique et libertes

Charte informatique et libertes

Était ainsi pointée l’absence de prise de conscience de la protection des mots de passe par un mécanisme adéquat.

Le présent article sera donc l’occasion de rappeler la nécessité et l’intérêt pour les entreprises de disposer d’une charte Informatique et Libertés.

Cette charte devra être annexée au règlement intérieur de l’entreprise afin de la rendre opposable aux salariés et collaborateurs.

Qui met en place la charte Informatique et Libertés ?

C’est l’employeur dans le cadre de son pouvoir de direction et de contrôle qui peut (et le plus souvent qui doit) encadrer l’activité informatique et l’accès à Internet de ses salariés et collaborateurs, dans le respect du droit à la vie privée du salarié[2].

En effet, une telle charte est souvent indispensable et notamment pour encadrer les utilisations à des fins privées de certains sites et éviter de futurs contentieux. Peuvent être ainsi traitées par la charte les questions de la consultations de sites qui seraient expressément interdits par la charte informatique [3],l’installation de logiciels non autorisés[4]la divulgation non autorisée d’informations confidentielles [5]les mesures de sécurité qui doivent être mise en œuvre (chiffrement, sécurisation des mots de passe) etc… Avec en conséquence la nécessité d’énoncer clairement ces bonnes pratiques de sécurité au sein de la charte.

La mise en place de la charte a de multiples intérêts : elle constitue un outil pédagogique utile pour les salariés et collaborateurs, notamment lors de nouvelles embauches. Elle permet aussi de valoriser et de protéger les process mis en œuvre au sein des entreprises en matière de sécurité des données personnelles.

Comment rédiger sa charte informatique et libertés? Nos conseils

Introduction de la charte (Préambule) :

  • Indiquez en introduction les objectifs de la Charte.

  • Exposez l’objectif et la portée de la Charte.

  • Expliciter les attentes de votre entreprise pour faire de la charte un outil de sensibilisation en interne sur les questions de sécurité.

  • Indiquez des éléments de protection des données personnelles et mentionnez la désignation d’un DPO ou les personnes « contact » utiles

Opposabilité de la charte :

  • Veillez à énumérer de façon exhaustive tous les personnels et collaborateurs concernés par la charte.

  • Explicitez les modalités d’information sur la charte (lieux d’affichage, documentation, modalités de prise de connaissance par les salariés et les collaborateurs et de signature etc…)

Définitions :

  • Les termes utilisés doivent être clairs et précis.

  • Une attention particulière sera portée à la rédaction de la charte pour en assurer la neutralité technologique à terme afin d’englober de futures innovations technologiques (par exemple la Blockchain ou le recours à l’AI).

Quelles règles d’utilisation du système d’information – usages :

  • Recensez d’abord l’ensemble des besoins auxquels le système d’information doit répondre.

  • Répertoriez tous les outils numériques mis à disposition des salariés et collaborateurs.

  • Définissez une politique de confidentialité des accès et des mots de passe et développez des bonnes pratiques.

  • Définissez et explicitez les pratiques autorisées (gestion des habilitations, usages et renouvellement des mots de passe, procédures à respecter.

  • Définissez quelles sont les mesures de sécurité prises afin de sécuriser l’accès aux différents postes dans votre entreprise.

Quelles obligations pour les utilisateurs ?

  • Rappelez aux utilisateurs qu’ils sont responsables des ressources informatiques qu’ils utilisent.

  • Rappelez aussi des règles de bon sens (ne pas insérer des clefs UBS étrangères à l’entreprise, pas de communication excessive des données et notamment à des personnes non autorisées...).

  • Posez des règles claires quant à l’utilisation d’Internet et des outils informatiques de votre entreprise à des fins personnelles.

  • Définissez des conditions d’utilisation des espaces de stockage ou pour l’installation de logiciels.

  • Rappelez les conditions d’utilisation de la messagerie électronique de l’entreprise et soulignez la présomption de professionnalité des messages transmis.

Outils de contrôle du poste informatique / surveillance du salarié :

  • Indiquez quels outils de filtrage sont mis en place.

  • Explicitez les systèmes de contrôle du salarié et les différentes informations pouvant être enregistrées.

  • Notez que ces outils de contrôles et de surveillance des salariés devront être proportionnés à l’objectif poursuivi.

Travail à distance et mobilité des salariés :

  • Prenez en compte la virtualisation ou non des postes de travail avec leurs conséquences (règles d’attribution et d’usages des matériels, tablettes, téléphones et ordinateurs portables).

  • Posez des règles claires dans les cas de mobilité des salariés et exposez les différentes situations envisageables.

Sanctions :

  • La charte doit indiquer quelles sont les sanctions prévues.

  • Elle doit également préciser les conditions d’engagement de la responsabilité civile et pénale des salariés et des collaborateurs ou de procédures disciplinaires.

Entrée en vigueur de la charte :

  • Précisez la date d’entrée en vigueur de la charte et d’entrée en application.

  • Mettre les annexes en lien ou notes de bas de page

Annexe - Dispositions légales applicables:

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

- Loi informatique et libertés

- Code pénal : article 226-16 à 226-24 et R.625-10 à R.625-13

- Loi Godfrain : article 323-1 et 323-3 code pénal

Références:

[1]https://www.lesechos.fr/idees-debats/cercle/cercle-170062-wannacry-la-cyber-securite-le-talon-dachille-de-lentreprise-2087140.php

[2]« Le salarié a droit, même au temps et au lieu du travail, au respect de l'intimité de sa vie privée ». Cour de cassation,Chambre sociale, 2 octobre 2001, n° 99-42.942. Voir arrêts récent sur la labellisation des fichiers indiqués comme privés et le durcissement de la position de la Cour de cassation après le célèbre arrêt Nikon. CEDH, 22 janvier 2018 ; n° 588/13 mettre l’intégralité du Disc dur comme privé « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; »

[3]CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119 : la consultation par un salarié de sites pornographiques, expressément interdit par la Charte informatique, le licenciement pour faute grave du salarié est justifié. Voir aussi Cass. soc., 15 déc. 2010, nº 09-42.691.

[4]CA Paris, pôle 6, ch. 5, 19 janv. 2012, no 10/04071, M. Rudy c/ Sté Zétès, en l’espèce un technicien de maintenance avait installé sur son poste de travail des logiciels qui n’étaient pas autorisés par la Charte informatique.

[5]Cass. soc., 5 juill. 2011, n° 10-14.685 la salariée a été licenciée pour faute grave : la salariée avait permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles.

Sources complémentaires :

https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf

https://www.cnil.fr/sites/default/files/typo/document/20100730-MOD-CHARTE_INFORMATIQUE_CIL-VD.pdf

Bruxelles: Interview de Jérôme DEROULEZ dans le Monde du Droit. 17 novembre 2017

BRUXELLES: Interview de Jérôme Deroulez par Arnaud Dumourier dans le Monde du Droit du 17 novembre 2017. http://www.lemondedudroit.fr/interviews/54590-interview-jerome-deroulez-pourquoi-inscrire-bruxelles.html   

Pourquoi ouvrir un bureau à Bruxelles? Cet interview portait sur les intérêts et avantages pour les avocats français d'ouvrir un bureau à Bruxelles.

 

Cet article évoque aussi les raisons d'une présence à Bruxelles pour intégrer au mieux les travaux législatifs européens en cours et à venir, plus spécifiquement dans les domaines de la protection des données personnelles ou des nouvelles technologies.

Intervention de Jérôme DEROULEZ sur la régulation de la blockchain - Academic Days on Open Government and Digital Issues. Paris. 14 novembre 2017

Jérôme DEROULEZ est intervenu au sujet de la régulation de la blockchain dans le cadre des Academic Days on Open Government and Digital Issues (Paris I) qui avaient lieu à Paris les 14 et 15 novembre 2017. Un atelier spécifique a été organisé au sujet de la blockchain et des algorithmes et de leurs problématiques juridiques.

PROTECTION DES DONNEES PERSONNELLES: Jérôme Deroulez a publié un article sur la protection et la sécurité des données dans la Semaine Juridique du 16 octobre 2017 (JCP G)

PROTECTION ET SECURITE DES DONNEES PERSONNELLES  

Alors que les « fuites » de données personnelles sont devenues un sujet médiatique, le sujet de la sécurité et de la protection des données personnelles constitue aujourd’hui un enjeu juridique sensible, en plus de l’impératif technique.

 

CNIL et renforcement de la protection des données personnelles

 

En effet, l’accroissement des pouvoirs de sanctions de la CNIL et des autorités de contrôle européennes, avec l’entrée en vigueur de la loi n°2016-1321 du 7 octobre 2016 pour une République numérique et du règlement général sur la protection des données personnelles UE 2016/679 (http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679 RGPD), crée une nouvelle donne notable.

 

Deux délibérations à noter en matière de protection des données personnelles

 

En témoignent deux délibérations de la CNIL prononcées les 18 et 20 juillet 2017 contre les sociétés HERTZ et OUICAR et qui délimitent concrètement les obligations à charge des responsables de traitement et de leurs sous-traitants.

 

Ces deux délibérations qui obéissent à un contexte spécifique en dépit de nombreux traits communs constituent un rappel utile à la veille de l’entrée en application du règlement général sur la protection des données (RGPD).

GDPR, données personnelles et risque pénal : article de Jérôme Deroulez dans la Lettre des Juristes d'Affaires du 10 juillet 2017.

Quelles conséquences avec la mise en œuvre du RGPD en matière pénale ? 

Plus de sanctions ? Plus de compliance ? Plus de CNIL ? Plus de juge ? Encore beaucoup d’incertitudes si près de la date butoir…

Aujourd’hui, l’effectivité du droit à la protection des données personnelles est garantie par des sanctions pénales prévues aux articles 226-16 et suivants du Code Pénal qui complètent le dispositif de la loi Informatique et libertés du 6 janvier 1978.

L’application du nouveau règlement européen sur la protection des données personnelles (GDPR) à partir du 25 mai 2018 va rebattre les cartes de ce dispositif complexe. En effet,  en abrogeant la directive 95/46 dont la transposition avait déjà entrainé de nombreuses modifications de la loi de 1978, ce texte remet en cause plusieurs mécanismes existants.

Ainsi, le GDPR consacre le principe clé d’accountability –obligation de prouver la conformité- et supprime les formalités et déclarations préalables en les remplaçant par de nouvelles obligations (mise en œuvre d’études d’impact, notification des failles de sécurité, documentation, data protection officer, etc...).

Le droit pénal existant sur ce sujet va être impacté par le règlement, même si les modifications à venir restent difficiles à évaluer. Du fait d’un nombre important de renvoi au droit national et au vu des innovations apportées, le GDPR nécessite une adaptation législative partiellement anticipée par la loi pour une République numérique du 7 octobre 2016 et qui doit encore être complétée avant la date butoir de mai 2018.

GDPR: Que va faire le  législateur français ?

Il a la mission délicate d’adapter le régime des sanctions applicables comme leur périmètre, au-delà des sanctions administratives pouvant être prononcées par la CNIL, afin de déterminer notamment si un dispositif pénal doit sanctionner certains manquements visés par le règlement. Les dispositions relatives au non accomplissement des formalités préalables devront aussi être modifiées et éventuellement remplacées ; de la même façon les sanctions prévues en cas de non-respect d’une injonction de cesser un traitement ou de retrait d’autorisation prononcé par la CNIL pourraient être amendées avec la refonte du dispositif général.

La liste des délits visés aux articles 226-17-1 pourrait enfin être étoffée pour tenir compte des nouvelles prescriptions du règlement et renforcer l’obligation générale de sécurité des données. Ces futurs débats portent des enjeux importants pour préciser la portée du règlement et apprécier l’architecture globale des sanctions prévues.

Ainsi, il faudra – pour les praticiens - suivre les choix législatifs qui seront faits au vu du recours ou non à de nouvelles sanctions pénales et du rôle laissé au juge pénal vis-à-vis de la CNIL qui bénéficie quant à elle de prérogatives renforcées et de nouvelles modalités de coopération avec ses homologues européennes.

La philosophie de ce règlement (GDPR) promeut une forme de conformité dynamique, de façon proactive et anticipée. Quelle voie choisira le législateur ? Et comment se préparer en entreprise ? A ce titre, la montée en puissance de la problématique « données personnelles » comme sa sensibilité (en matière de transferts internationaux de données ou d’obligations de KYC - Know Your Customer par exemple) militent en faveur de son intégration dans les programmes de compliance. Un tel réflexe sera ainsi de nature à prévenir et anticiper de façon globale le risque pénal, comme le risque de sanctions financières.

Article publié dans la LJA le 10 juillet 2017. https://twitter.com/JuristesAffaire?lang=fr

INNOVATION: Jérôme Deroulez a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017

Jérôme Deroulez, Avocat a représenté l'Incubateur du Barreau de Paris lors du congrès des avocats allemands - DeutscherAnwaltVerein - à Essen le 26 mai 2017. A cette occasion, Jérôme Deroulez, Avocat a participé à l'atelier "How to be an innovative lawyer"

BLOCKCHAIN ET DROIT: Jérôme Deroulez est intervenu lors du 28ème club LexisNexis organisé en partenariat avec le Club des Juristes

BLOCKCHAIN: Jérôme Deroulez est intervenu au sujet des enjeux juridiques posés par le blockchain (cas d'usages, applications et utilisation probable, régulation et encadrement législatif). Il a évoqué les travaux français en vue d'un futur droit de la blockchain, au vu de l'ordonnance sur les mini-bons et de la future ordonnance sur les titres non cotés. Cette présentation a fait l'objet d'une publication dans la Semaine Juridique le 29 mai 2017 ( http://www.tendancedroit.fr/wp-content/uploads/2017/05/La-semaine-juridique-1.pdf )  

  1. Pourquoi les avocats doivent-ils s’intéresser à la blockchain ?

 

La blockchain intéresse les avocats aujourd’hui à plus d’un titre.

D’abord parce que cette technologie et son potentiel suscitent de très nombreuses questions d’ordre juridique (mode de preuve, conception de smart-contracts, identité et blockchain, transferts de titres de propriété etc…). De plus, la multiplication des applications ou des expérimentations fondées sur la blockchain interpellent et posent de très nombreux défis aux avocats lorsqu’ils doivent accompagner leurs clients sur ces projets (notamment dans le domaine des droits de propriété intellectuelle, littéraire ou artistique).

Par ailleurs, la plupart des régulateurs ou des autorités de contrôle se positionnent aujourd’hui sur cette technologie et son impact notamment en matière bancaire et financière avec un nombre de rapports et d’études exponentiel. Et les investissements aujourd’hui consentis au niveau international sur cette technologie sont aussi un marqueur qui doit attirer notre attention : partout la blockchain interpelle et constitue le signe de changements importants.

Enfin, au-delà du phénomène de mode lié à cette technologie volontiers décrite comme « punk », l’intervention de l’avocat permet de réfléchir au cadre juridique général de ces travaux et de poser des jalons pour les sécuriser et les pérenniser.

 

  1. Les pratiques évoluent, quel sera le rôle de l’avocat demain ?

 

Le rôle de l’avocat évoluera forcément, du fait de l’effet conjugué de nombreuses technologies comme la blockchain, l’intelligence artificielle, la justice prédictive ou encore les robots. Nos façons de travailler, nos modèles de développement comme nos outils sont susceptibles d’être impactés. Les relations avec nos clients sont aussi d’ores et déjà profondément modifiées par la révolution numérique et évolueront encore.

S’il est difficile de prédire quel sera le rôle de l’avocat demain, il est en revanche nécessaire pour les barreaux de se pencher de près sur les conséquences croisées des innovations qui font aujourd’hui l’actualité et révolutionnent en profondeur notre économie. C’est aussi l’un des moteurs de l’Incubateur du Barreau de Paris pour rapprocher l’innovation des cabinets tout en mettant en valeur les projets les plus intéressants au niveau juridique et en les accompagnant sur leurs volets éthiques et déontologiques notamment.

 

  1. Quel impact de la blockchain sur la régulation ? Faut-il légiférer sur la blockchain ?

 

La blockchain a d’ores et déjà un impact en termes de régulation et de législation. Les enjeux juridiques de la définition du bitcoin et des monnaies virtuelles comme leur appréhension par les régulateurs internationaux ont suscité des premiers travaux législatifs ou pré-législatifs. L’ordonnance sur les mini-bons et la future ordonnance sur les titres non-côtés issue de la loi Sapin II devraient aussi jeter les bases d’un droit français de la blockchain appelé de leurs vœux par de nombreux parlementaires.

Ces travaux ne se limitent pas à la France, le Royaume-Uni, le Luxembourg, l’Australie, Singapour ou les Etats-Unis ont d’ores et déjà lancé des réflexions législatives en la matière. L’Union européenne a marqué son intérêt. Et des projets de norme ISO de cette technologie ont débuté.

D’ici un ou deux ans, plusieurs exemples de législations centrées sur certains effets liés à l’utilisation de la blockchain devraient avoir été adoptés -à défaut d’une régulation à proprement parler particulièrement complexe à envisager. La promotion du modèle du sandbox ou bac à sable est aussi une option à envisager sérieusement : à l’instar de certaines propositions anglo-saxonnes, ce concept permet d’éviter de légiférer trop tôt dans le cas de technologies très évolutives notamment et de permettre aux législateurs comme aux régulateurs de prendre le pouls des projets en cours. En tout état de cause, le modèle du sandbox est un appel à appréhender autrement les modes de régulation en évoluant vers des solutions de co-création, plus ouvertes et collaboratives.

VIE PRIVEE UE/US : Le Congrès américain a révoqué les règles relatives à la vie privée dans le secteur des télécoms : quelles conséquences ?

Après le Sénat, la chambre des Représentants a supprimé hier les règles protectrices de la vie privée qui avaient été imposées aux fournisseurs d’accès Internet. Ces règles qui n’étaient pas encore applicables imposaient à ces sociétés de recueillir le consentement de leurs clients avant de commercialiser leurs données (par exemple leur historique de navigation). Ce vote constitue un nouveau signal de recul sur le terrain de la vie privée et la Commission européenne s’est inquiétée ce matin de ces nouvelles remises en causes des droits des citoyens européens sur le territoire américain, à l’occasion du traitement de leurs données personnelles.

A titre provisoire, plusieurs conséquences sont envisageables :

  • Une remise en cause éventuelle du Privacy Shield UE-US, au vu de l’amoindrissement des garanties apportées par les Etats-Unis alors que ces garanties constituent un pan essentiel de cet accord (du fait des exigences formulées par le droit européen et de la jurisprudence de la CJUE) ;

  • Une déstabilisation des autres accords existants qui incluent des volets « protection des données personnelles » : c’est le cas par exemple de l’accord concernant le transfert des données passagers (PNR) ;

  • Le risque d’une évolution législative diamétralement opposée entre les Etats-Unis et l’Union européenne en termes de protection des données personnelles, rendant le cadre juridique applicable plus complexe pour l’ensemble des acteurs économiques ;

  • Des difficultés accrues pour les opérateurs devant appliquer et respecter tant les législations européenne et américaine en la matière ;

  • La montée d’une forme d’inquiétude quant au traitement et à l’utilisation des données personnelles par ces fournisseurs d’accès internet, inquiétude qui pourrait à terme générer des risques de réputation ou favoriser la montée en puissance de solutions alternatives.

Le déplacement de V. Jourova à Washington la semaine prochaine au sujet du Privacy Shield sera une occasion de tester les préoccupations européennes comme leur accueil par les autorités américaines.

Lock on the laptop keyboard background

Lock on the laptop keyboard background

BIG DATA : Jérôme Deroulez a présidé la table ronde sur la "personnalisation" de la loi au Sénat dans le cadre du colloque Big Data (17 mars 2017)

BIG DATA: Colloque organisé au SENAT au sujet du BIG DATA et de ses enjeux juridiques. Ce colloque était co-organisé par l'Université de Lorraine, l'Université de Chicago, l'IHEJ et le Cercle Montesquieu au sujet des implications juridiques du BIG DATA.

Jérôme DEROULEZ a présidé la table ronde consacrée à la personnalisation de la loi, dans le cadre de ce colloque:

Chair: Jérôme Deroulez, Attorney at Law, Member of the Paris Bar Incubator; Anthony J. Casey, Professor of Law, University of Chicago School of Law, The End of Rules and Standards; David Restrepo Amariles, Professor of law, HEC Paris, Law’s Learning Algorithm: Making Rules Fit through Big Data; Ariel Porat, Professor of Law, Tel Aviv University, and Visiting Professor of Law, University of Chicago, Personalized Negligence Law and Big Data.

Les interventions ont porté notamment sur les conséquences de l'utilisation de l'intelligence artificielle ou des données en masse au vu du recours au BIG DATA. Ces présentations ont été suivies par un échange avec la salle.

Interventions à retrouver sur YouTube:

https://www.youtube.com/watch?v=8p5ZSODJ20Y&feature=youtu.be

 

BLOCKCHAIN: Jérôme Deroulez a publié un article consacré aux implications juridiques de la blockchain en matière de preuve, dans la revue Dalloz Avocats - Février 2017

BLOCKCHAIN ET PREUVE  

Consacrée une nouvelle fois comme une innovation à suivre en 2017 avec l’intelligence artificielle ou la réalité augmentée, la blockchain suscite un intérêt immense à la mesure de sa complexité, avec une multiplication des applications possibles et en dépit de son caractère instable et évolutif.

 

Qu'est-ce que la blockchain?

 

Comprendre et tenter de définir la blockchain constitue un premier enjeu (https://bitcoin.fr/la-blockchain-cest-quoi/). On entend généralement par ce terme une technologie de stockage et de transmission d’information, transparente, sécurisée et fonctionnant sans organe central de contrôle, cette base de données étant réputée distribuée et sécurisée en ce qu’elle peut être partagée par ses différents utilisateurs, sans intermédiaire, chacun pouvant vérifier la validité de la chaîne.

 

Définitions de la blockchain

 

A titre d’exemple, la commission des finances du Sénat a considéré lors de ses travaux sur le projet de loi relatif à la transparence, à la lutte contre la corruption et la modernisation de la vie économique que la blockchain pouvait être définie comme une technologie informatique d'authentification décentralisée des opérations, sans l'intervention d'un tiers de confiance central […] et un grand registre de transactions public et accessible sur Internet, qui utilise un protocole de pair-à-pair (peer to peer) pour valider toute opération réalisée entre deux personnes.

 

Cette technologie est aussi indissociable de son application historique, le bitcoin, cette « monnaie » sans banque ni banque centrale, monnaie virtuelle décentralisée et anonyme dont la finalité est de parvenir à un système monétaire « sans confiance ». Ses origines remontent au document intitulé Bitcoin : A Peer-toPeer Electronic Cash System, publié en 2008 sous le pseudonyme de Satochi Nakamoto et proposant un nouveau système monétaire reposant sur un serveur horodaté, une chaîne de bits et des fonctions de hashage, de cryptographie et de probabilité.

 

Blockchain et bitcoin

 

Ce projet avait aussi pour objectif de répondre aux défis de la crise de 2008, de créer une monnaie sans intermédiaires bancaires et financiers et de remplacer ces derniers par une architecture collaborative et sécurisée (registre de compte unique et transparent, identification par une clef publique, minage, vérification et traitement des paiements par résolution de calculs informatiques, intervention de mineurs…). C’est très largement sur la base du bitcoin que se sont construites la réflexion, les pratiques et les grilles d’interprétation de la blockchain, avec une multiplication des expérimentations principalement dans le domaine bancaire et financier.

 

Applications

 

En témoignent les initiatives comme la start-up R3 qui regroupe une trentaine de grandes banques internationales, Ripple dédiée aux transferts financiers internationaux, Augur ou encore de nombreux autres acteurs qui considèrent avec attention les potentiels immenses de la blockchain. Les projets sur la blockchain reposent également sur d’autres pans de l’innovation technologique (intelligence artificielle, Big Data, etc) comme dans le cadre d’Hyperledger et recouvrent les domaines de l’internet des objets, l’industrie, la robotique, l’agriculture connectée, l’industrie musicale, les fab-labs, la ville intelligente ou encore l’assurance. Le but est aussi de développer d’autres types de blockchains sur la base ou au-delà de l’architecture sous-jacente du bitcoin, dans le cadre de blockchains privées ou publiques.

 

Blockchain et droit de la preuve

 

Distribuée, décentralisée, sécurisée, la technologie blockchain intéresse évidemment le droit de la preuve, ne serait-ce qu’au vu des affinités entre la terminologie liée à cette technologie et celle de l’admissibilité des modes de preuve. La blockchain pourrait ainsi prolonger un processus de dématérialisation des modes de preuve déjà entamé, en dépit des interrogations et des défis restant à relever (...)

PROTECTION DES DONNEES PERSONNELLES: Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données.

PROTECTION DES DONNEES : Jérôme DEROULEZ est intervenu le 9 décembre à Bruxelles (DBF) au sujet du droit de la concurrence et de la détention de données. Droit de la concurrence et protection des données (https://twitter.com/dbfbxl/status/807210302743920640?lang=fr ) :

 

Cette session organisée par la Délégation des Barreaux de France avait pour objet d'évoquer les enjeux croisés du droit de la concurrence, de la détention de données, du Big Data et de la protection des données. ( https://www.dbfbruxelles.eu/wp-content/uploads/2016/12/PROGINSCRIPTIONCONCURRENCE.pdf )

 

De nombreux points ont été évoqués et notamment la possibilité d'une appréciation ou non par les autorités de la concurrence du respect ou non des règles de protection des données personnelles. Ou de l'impact de la législation sur la protection des données sur d'autres politiques et notamment en matière de concurrence. Les récents rapports des autorités française et allemande de la concurrence ont été évoqués à ce sujet ( http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf ).