Allez vite lire ce petit article co-écrit avec Charlie MAGRI dont nous laissons l’exclusivité au Huffington Post !
Gérald SADDE – Avocat et rédacteur pour le HUUUFF !
|
|||||
Allez vite lire ce petit article co-écrit avec Charlie MAGRI dont nous laissons l’exclusivité au Huffington Post ! Gérald SADDE – Avocat et rédacteur pour le HUUUFF !
2013 may be the beginning of a new era for the regulation of cyber-security. The signs are numerous these last months but the strongest is the draft European directive revealed on February 7. You just have to take a look at article 4 which gives you the main principle of this text : « Member States shall ensure a high level of security of the network and information systems in their territories in accordance with this Directive. » You know what, during my thesis presentation 10 years ago I maintained the idea that a state must provide and ensure a minimum level of security on networks and information systems. My thesis director did not exactly agree with me (#badmemories). Just to say to you that I’m happy to see such an affirmation in a European level text. The proposed Directive aims to ensure a high level of network and information security (NIS) in Europe across the board. So the first step consists in improving the security of the Internet and the private networks and information systems underpinning the functioning of European societies and economies. The second step will be achieved by requiring the Member States to increase their preparedness for cyber attacks notably through better cooperation with each other. But, this simultaneously implies of course solliciting operators of critical infrastructures, such as energy, transport, and key providers of information society services (e-commerce platforms, social networks, etc), as well as public administrations to adopt appropriate measures. What is really interesting to note is the awareness of the need of resilience and stability of network and information systems. The chosen strategic approach is a mixed approach, combining voluntary initiatives for Member State NIS capabilities and mechanisms for EU-level cooperation with regulatory requirements for key private players and public administrations.
To reach these objectives, the role of national authorities in charge of questions of Cybersecurity should be strengthened. But in my opinion, the true heart of this text is in its chapter IV : « SECURITY OF THE NETWORKS AND INFORMATION SYSTEMS OF PUBLIC ADMINISTRATIONS AND MARKET OPERATORS« ; and more especially in Article 14″, « Security requirements and incident notification« . Following the provisions of the latter, the member States shall ensure that public administrations and market operators take appropriate technical and organisational measures to manage the risks posed to the security of the networks and information systems which they control and use in their operations. But the text doesn’t define who those « market operators » are. Same question with the notion of » level of security appropriate to the risk presented » which has to be settled regarding the « state of the art ». It will be interesting to follow how the European Network and Information Security Agency (ENISA) is implied in the definition of this notion. We must underline that some of the principles are in common with those of the proposal for a regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data (…) (2012/01/ 25). Notably the draft directive plans a mechanism of notification of incidents having a significant impact on NIS and gives the power to the Commission to define what those incidents are. Indeed administrations and market operators should be required to notify the relevant authorities of incidents having a significant impact on the security of the core services they provide. In France, this authority is most likely the Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). For its part, the French government already seems to be working on an independent bill on cybersecurity. According to « les Echos » and « le Monde » this text would take into account the recommendations of the last official report on defense, and would impose obligations of security on 250 to 1000 vital economic importance operators to drastically protect their information system. So, this issue seems definitly bound for legislative inflation.
Gérald SADDE – Lawyer / firewall
La Cour de cassation confirme dans un arrêt du 4 décembre 2012 l’analyse retenue par la Cour d’appel de Paris contre le site Leguide.com dans sa décision du 28 septembre 2011. En plein débat sur la neutralité des fournisseurs d’accès, nous ne pouvions pas taire cette décision qui condamne justement le manque de neutralité d’un des nombreux sites de comparaison de prix. Tout le débat autour de ces acteurs majeurs du e-commerce tient à ce que les consommateurs leur vouent une certaine confiance : le consommateur s’attend tout simplement à ce que le meilleur résultat pour sa recherche soit le site de e-commerce qui propose le meilleur prix. A priori, il n’y a là rien de compliqué. Mais ce serait alors sans compter sur ce qui se passe en coulisses, car les modèles économiques du web sont de plus en plus complexes, et la source de profit des comparateurs de prix n’est pas forcément là où l’on pourrait l’attendre (commission sur les ventes ou au « clic » par exemple »). Tout le problème vient du fait que, comme le soulevait la Cour d’appel :« (…)moyennant rémunération, la société Leguide.com permet aux e-marchands bénéficiant du référencement prioritaire de voir leurs produits ou offres classés de façon prioritaire avant ceux des autres (…). Les résultats de la recherche dépendent donc aussi du fait que les cyber marchands auront payé ou non pour figurer en bonne place. « Et alors ? » nous direz vous ! Google fait exactement la même chose sur ses liens sponsorisés. Certes mais Google l’annonce clairement. A l’inverse, la Cour d’appel avait relévé qu’il était « nécessaire à l’internaute, pour être informé de la différence de classement entre e.commerçants “payants” ou non, de consulter les mots “en savoir plus sur les résultats” ou “en savoir plus” ou encore “espaces marchands” « . L’internaute doit donc procéder à des recherches dans les mentions explicatives du fonctionnement du site, que personne ne lit, pour comprendre que les dés sont pipés. La Cour de cassation en déduit tout d’abord que cette ingérence dans les résultats du classement a pour effet d’assurer indirectement un service de promotion des produits ou services des « (…) e-marchands bénéficiant du référencement prioritaire (…) ». Leguide.com est donc qualifié de « prestataire de service commercial et publicitaire » ! Diantre l’insulte ! « Comment l’autre il l’a traité », comme disent les jeunes, enfin certains… enfin trop. Elle est loin l’image immaculée du comparateur de prix neutre et impartial. Attention cependant, tous ne fonctionnent pas comme cela me semble-t-il. Dès lors, les magistrats de la haute cour, à la veille des achats de noël, en déduisent que « l’absence d’identification claire du référencement prioritaire est susceptible d’altérer de manière substantielle le comportement économique du consommateur qui est orienté d’abord vers les produits et offres des e-marchands “payants” et ne dispose pas ainsi de critères objectifs de choix ». Il y a là l’expression d’un principe essentiel de loyauté vis-à-vis du consommateur. Cela n’est d’ailleurs pas sans rappeler la pratiques des « faux avis d’acheteurs ». Or, l’article 20 de la loi n° 2004-575 du 21 juin 2004 prévoit que « toute publicité, sous quelle que forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir être clairement identifiée comme telle ». A noter que la notion de publicité doit être lue de façon très large puisque même la publicité indirecte est concernée. Et cette abstention d’information est donc punissable en soit. Mais ses conséquences le sont tout autant et le rejet du pourvoi conduit à reconnaître que cette pratique constitue une pratique trompeuse au sens des dispositions de l’article L. 121-1 du Code de la consommation, de même qu’une pratique déloyale au sens de l’article L. 120-1 du même code. En résumé l’omission d’une telle information est susceptible d’altérer de manière substantielle le comportement économique d’un consommateur raisonnablement attentif et normalement informé.
Gérald SADDE – avocat raisonnablement attentif et normalement informé |
|||||
Copyright © 2024 SADDE.COM - All Rights Reserved |