Droit du numérique : l’imposant bilan de 2023
Le | Gouvernance
L’avocate spécialiste du droit du numérique Christiane Féral-Schuhl, ancienne bâtonnière de Paris et présidente du Conseil National des Barreaux, revient ici sur les importantes évolutions juridiques vécues par le secteur du numérique en 2023.
Les problématiques juridiques liées à la société de l’information sont plus que jamais au cœur de l’actualité juridique comme le démontre les nombreux textes adoptés en matière de cybersécurité, de commerce électronique ou de data au cours de l’année 2023, tant à l’échelle nationale qu’européenne.
Premier sujet : la cybersécurité
La recrudescence des cyberattaques a conduit le législateur français à intervenir au travers de deux lois.
D’une part, la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (art. 66) met à la charge des éditeurs de logiciel, personne physique ou morale, une obligation de notification à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et aux utilisateurs en cas de vulnérabilité ou d’incident informatique affectant significativement un produit. Cette déclaration à l’ANSSI doit être accompagnée d’un examen des vulnérabilités et incidents détectés ainsi que des conséquences pouvant en résulter. En cas de manquement à cette obligation, l’ANSSI peut enjoindre aux éditeurs de procéder à cette information et/ou informer les utilisateurs ou rendre publics la vulnérabilité ou l’incident ainsi que son injonction aux éditeurs si celle-ci n’a pas été suivie d’effet.
D’autre part, la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (LOPMI) contraint les assureurs à indemniser les entreprises victimes de rançongiciels, lorsque celles-ci paient la rançon demandée. Il convient de préciser que la garantie doit être conditionnée par un dépôt de plainte au plus tard dans les 72h suivant la découverte de l’attaque (C. assurances, L. 12-10-1). Les assureurs doivent quant à eux identifier dans leurs contrats l’ensemble des garanties concernées par l’obligation de dépôt de plainte.
E-commerce et protection des consommateurs
La protection des cyberconsommateurs a également été au cœur des préoccupations du législateur français. La France est ainsi le premier pays européen à s’être doté d’un appareil juridique spécifique à la régulation du secteur de l’influence commerciale avec la loi n° 2023-451 du 9 juin 2023 visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux. Elle cible les « personnes physiques ou morales qui, à titre onéreux, mobilisent leur notoriété auprès de leur audience pour communiquer au public, par voie électronique, des contenus visant à faire la promotion, directement ou indirectement, de biens, de services ou d’une cause quelconque » (art. 1). De manière générale, le dispositif renforce le cadre juridique existant afin de responsabiliser et sanctionner les pratiques trompeuses ou frauduleuses sur Internet. Il interdit notamment la promotion de certains produits et services (interventions de chirurgie esthétique, produits pharmaceutiques, paris sportifs, jeux d’argent, …) et encadre spécifiquement les services en lien avec les cryptoactifs. Les influenceurs qui enfreindraient le dispositif s’exposent à des sanctions lourdes (peines de prison et amendes pouvant aller jusqu’à 300 000 euros, outre l’interdiction provisoire ou définitive d’exercer). Il faut noter, toutefois, qu’une modification de la loi pourrait intervenir en raison de sa possible non-conformité au droit européen.
Le décret n° 2023-417 du 31 mai 2023 qui fixe les modalités techniques de la résiliation des contrats de consommation conclus par voie électronique renforce quant à lui les obligations des professionnels du e-commerce à l’égard des consommateurs. En effet, ce décret organise la résiliation des contrats électroniques en quelques « clics » prévue par l’article L. 215-1-1 du Code de la consommation. Il prévoit ainsi des obligations liées à l’accessibilité de la fonctionnalité de résiliation - qui doit être directement et facilement accessible depuis l’interface en ligne permettant la conclusion de contrat avec le professionnel - ainsi qu’à sa présentation - sous la mention « résilier votre contrat » ou une formule analogue. En outre, le texte liste les mentions qui doivent impérativement être renseignées ou validées par le consommateur afin de permettre l’identification du contrat à résilier (nom, prénom…). En cas de manquement aux obligations fixées par le décret, les professionnels encourent une amende maximale de 15 000 euros pour une personne physique et de 75 000 euros pour une personne morale (Code de la Consommation, article L. 241-3-1).
Protection des mineurs : obligations pour les entreprises
Pour la protection des mineurs, il faut désormais compter avec la loi n° 2023-566 loi du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne. Elle fixe à 15 ans l’âge à partir duquel un mineur peut s’inscrire seul sur un réseau social. De nouvelles obligations à la charge des plateformes découlent de cette majorité numérique, telle que l’obligation de refuser l’inscription des mineurs de moins de 15 ans sauf accord parental. Cette loi se veut également être une avancée dans la lutte contre le cyberharcèlement et impose aux exploitants de réseaux sociaux de coopérer avec les autorités pénales en la matière.
L’exposition de plus en plus fréquente des mineurs à des contenus néfastes sur Internet a également entraîné l’adoption de deux décrets en date du 11 juillet 2023 : le décret n° 2023-588 pris pour l’application de l’article 1er de la loi n° 2022-300 du 2 mars 2022 visant à renforcer le contrôle parental sur les moyens d’accès à internet et le décret n° 2023-589 portant application de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. Ces deux textes visent à à faciliter l’utilisation des outils de contrôle parental et à protéger les mineurs contre les contenus pornographiques en ligne en précisant notamment les obligations applicables aux fabricants d’équipements terminaux concernant les fonctionnalités que doivent respecter les dispositifs de contrôle parental.
La data, encore et toujours, en attendant l’IA
La régulation des données au sein de l’Union européenne s’est égaLement intensifiée en 2023 avec un évènement marquant, celui de l’adoption, le 10 juillet 2023, d’une décision d’adéquation sur le EU-US Data Privacy Framework (« DPF »). La Commission européenne a en effet conclu que les États-Unis offraient finalement un niveau de protection des données personnelles équivalent à celui de l’Union européenne.
Par ailleurs, le Règlement 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 (« Data Act ») est venu préciser l’accessibilité et la portabilité des données, à caractère personnel ou non, générées par les objets connectés. Ce Règlement prévoit notamment des mesures renforçant les droits des utilisateurs sur les données qu’ils génèrent.
D’autres évolutions législatives d’importance sont attendues en 2024 avec, en particulier, l’adoption du futur règlement européen sur l’intelligence artificielle (« AI Act »), première réglementation mondiale en matière d’intelligence artificielle. Ce texte européen marquera sans aucun doute un tournant en matière de droit du numérique.