Actu juridique

EBIOS Risk Manager remplace EBIOS 2010 !

En raison de l'évolution des menaces numériques, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a déclaré que la méthode EBIOS 2010, utilisée par les professionnels de l'analyse du risque numérique, était désormais obsolète.

Elle ne permet plus, en effet, d'appréhender la complexité des risques portant sur la sécurité des systèmes d'information (SSI), ni de prendre en compte des scénarios d'attaque complexes.

L'ANSSI préconise dorénavant de recourir à la méthode EBIOS Risk Manager qui comporte de nouveaux axes d'étude :

• l'analyse se focalise sur les risques intentionnels et numériques ;
• elle combine l'étude de scénarios de menaces ciblées en complément de la conformité aux cadres règlementaires ;
• l'écosystème est pris en compte dans la construction des scénarios d'attaque ;
• l'analyse est réalisée à la fois selon le point de vue de l'organisation et de l'attaquant.

Source : Actualité de l'Agence nationale de la sécurité des systèmes d'information du 26 juillet 2022 : « Management du risque : obsolescence de la méthode EBIOS 2010 »

Analyse du risque numérique : « EBIOS 2010 est mort, vive EBIOS Risk Manager ! » © Copyright WebLex - 2022

Plan sobriété énergétique : quel contenu ?

Le Gouvernement a rappelé que la sobriété énergétique concerne les entreprises et pas seulement les particuliers, car elles seront les premières touchées en cas de mesures de rationnement.

Pour éviter cela, il invite toutes les entreprises à établir, durant le mois de septembre 2022, un plan « sobriété énergétique », pour permettre une réduction de leur consommation de 10 % sur 2 ans par rapport à 2019.

Pour cela, il est recommandé que dans chaque entreprise, un ambassadeur de la sobriété soit nommé, à l'instar des référents Covid qui ont vu le jour durant la crise sanitaire.

A titre d'exemple, dans le cadre de ce plan, l'entreprise peut :

• revoir la mobilité des salariés : mise en place d'un plan mobilité employeur, engagement en faveur des différents dispositifs de soutien aux salariés (forfait mobilités durables, prime transport, autopartage, label employeur pro-vélo, etc.) ;
• promouvoir des pratiques éco-responsables au bureau, notamment en matière d'éclairage, de températures et de choix informatiques ;
• mettre à jour des plans de continuité de l'activité, actualiser des fiches métier en incluant, notamment, des consignes simples en cas de travail en période de « grand froid » ou de « fortes chaleurs ».

Notez que pour aider les entreprises, le gouvernement va mobiliser des organismes publics afin de produire des documents simples et didactiques et des outils de communication adapté.

Enfin, sachez que début octobre 2022, le Gouvernement tirera un bilan de la mise en place des plans de sobriété pour décider, par la suite, de la mise en place de mesures plus ou moins contraignantes. Affaire à suivre…

Source : Actualité du gouvernement.fr du 29 août 2022

Plan sobriété énergétique : à établir en septembre 2022 ! © Copyright WebLex - 2022

Responsabilité des produits défectueux : 3 ans pour agir !

La maison d'un couple est endommagée par un incendie provoqué par une télévision.

À l'issue de 2 expertises, le couple réclame des indemnités à la société qui a fabriqué cette télévision au titre de la responsabilité des produits défectueux.

Sauf que cela fait plus de 3 ans que le couple sait que l'incendie a pour origine la télévision, constate cette société. Or, la loi impose aux personnes qui réclament une indemnisation au titre de la responsabilité des produits défectueux d‘agir dans un délai de 3 ans…

L'action du couple est donc trop tardive, selon la société.

« Non », conteste celui-ci : ce n'est qu'à l'issue des 2 expertises qu'il a acquis la certitude que l'origine de l'incendie était la télévision, soit quelques mois avant son action en justice. Il a donc agi en temps voulu.

« Et non », le corrige le juge, qui donne raison au fabricant. Parce que l'origine de l'incendie était formellement connue depuis plus de 3 ans, l'action du couple contre le fabricant est tardive… et donc irrecevable !

Source : Arrêt de la Cour de cassation, 1re chambre civile, du 14 septembre 2022, n° 21-15374

Responsabilité des produits défectueux : « Allumez le feu ! »© Copyright WebLex - 2022

Recettes du terroir français : de multiples protections à connaître

À l'occasion d'une question qui lui a été posé, le Gouvernement vient de rappeler que le droit d'auteur ne protège pas les recettes culinaires.

Toutefois, le juge admet que les recettes de cuisine soient protégées dans leur expression littéraire.

Plus précisément, sous réserve de satisfaire à la condition d'originalité, la présentation visuelle d'une recette ou d'un plat dans les ouvrages de recettes culinaires est éligible à la protection du droit d'auteur.

Par ailleurs, il existe d'autres moyens de protéger les recettes du terroir (signes, logos officiels, etc.). C'est notamment le cas du label « spécialité traditionnelle garantie » établi dans l'Union européenne (UE) pour sauvegarder les méthodes de production et recettes traditionnelles.

Pour finir, le Gouvernement estime que le mécanisme du secret des affaires peut être invoqué, le cas échéant, pour protéger une recette de terroir.

Source : Réponse ministérielle Borchio Fontimp du 15 septembre 2022, Sénat, n° 01110 : « Protection culinaire des recettes de cuisine régionale »

Recettes du terroir français : protégées par le droit d'auteur ? © Copyright WebLex - 2022

Suppression du ticket de caisse au 1er janvier 2023 : des précisions attendues

La disparition annoncée du ticket de caisse au 1er janvier 2023 suscite de nombreuses questions quant aux risques d'inexactitudes ou de fraudes du fait de cette suppression.

C'est pourquoi le ministère de l'Économie a rappelé la réglementation à ce sujet et apporté des précisions sur les modalités d'application de cette mesure.

Ainsi, l'impression et la distribution systématique des tickets de caisse, de carte bancaire, des tickets d'automates, de bons d'achat et autres seront interdites au plus tard à compter du 1er janvier 2023, sauf demande contraire du client, dans les surfaces de vente et dans les établissements recevant du public.

Selon le ministère, l'application de ce nouveau principe doit prendre en compte 2 axes principaux :

• assurer la protection du consommateur (afin de permettre la traçabilité adéquate des transactions pour la mise en œuvre des garanties par exemple) ;
• respecter les objectifs de la politique de transition écologique (lutte contre le gaspillage et la production inutile de déchets).

Pour cela, il indique que la réglementation à venir précisera, notamment, que le consommateur sera informé, à l'endroit où s'effectue le paiement, par voie d'affichage et de manière lisible et compréhensible, que, sauf exception légale, l'impression et la remise des tickets de caisse et de carte bancaire ne seront réalisées qu'à sa demande, ou que ces mêmes tickets seront envoyés par courriel.

Il est par ailleurs rappelé que l'envoi d'un ticket de caisse par courriel ne peut pas être utilisé à d'autres fins par le commerçant, comme de la prospection commerciale, sans le consentement explicite du consommateur.

Source : Réponse ministérielle Meizonnet du 20 septembre 2022, Assemblée nationale, no 442 : « Disparition du ticket de caisse : craintes des consommateurs »

Passage en caisse en 2023 : « Vous voulez le ticket ? » © Copyright WebLex - 2022

Traitement des données filmées par les gardes champêtres : un cadre légal

Depuis le 18 septembre 2022, les gardes champêtres peuvent, sur autorisation du préfet, porter une caméra afin de filmer leurs interventions. L'enregistrement ne peut pas être permanent : il n'est possible que si un incident se produit ou est susceptible de se produire du fait de la nature de l'intervention ou du comportement des personnes concernées.

Même si le garde champêtre lui-même n'est pas autorisé à accéder aux enregistrements, il en résulte nécessairement un traitement de données à caractère personnel qui doit être encadré.

Selon le territoire sur lequel intervient le garde champêtre il appartient aux maires des communes concernées de présenter un dossier au préfet du département afin d'obtenir l'autorisation de l'usage des caméras. Les pièces nécessaires à la constitution de ce dossier sont consultables ici.

Il est précisé que ce sont les communes qui sont responsables du traitement des données récoltées. Les enregistrements doivent être remis par le garde champêtre dès son retour au service et transférés sur un support informatique sécurisé. Ils ne pourront être consultés qu'à ce moment et ne peuvent en aucun cas faire l'objet d'un visionnage en temps réel.

Sauf le cas où les enregistrements doivent être utilisés pour une procédure judiciaire, administrative ou disciplinaire, ils sont supprimés 6 mois après leur captation.

Cette expérimentation prendra fin le 24 novembre 2024.

Source : Décret n° 2022-1235 du 16 septembre 2022 portant application de l'article 46 de la loi n° 2021-646 du 25 mai 2021 pour une sécurité globale préservant les libertés et relatif à la mise en œuvre à titre expérimental de traitements de données à caractère personnel provenant des caméras individuelles des gardes champêtres

Promenade en forêt : souriez, vous êtes filmés ! © Copyright WebLex - 2022

Lutte contre la déforestation : un devoir de vigilance pour les entreprises

Pour limiter la responsabilité de l'Union européenne (UE) dans la déforestation mondiale, un devoir de vigilance va être mis à la charge des entreprises, qui devront s'assurer que les produits vendus dans l'UE ne sont pas issus de terres déboisées ou dégradées.

Pour autant, aucun pays ni aucun produit de base ne fera l'objet d'une interdiction d'importation.

Les entreprises mettant des produits sur le marché commun devront simplement faire preuve de diligence raisonnable pour évaluer les risques dans leur chaîne d'approvisionnement.

L'UE classera les pays (ou certaines parties de pays) selon le niveau de risque bas, standard ou élevé : les produits issus de pays à bas risque seront soumis à moins d'obligations que ceux issus de pays à risque élevé.

Notez que ce devoir de vigilance concernera le bétail, le cacao, le café, l'huile de palme, le soja et le bois, y compris les produits qui contiennent, ont été nourris avec ou fabriqués à partir de ces produits de base (cuir, chocolat, meubles, etc.).

Le Parlement européen souhaite que soit également inclus dans la réglementation la viande de porc, les ovins et les caprins, la volaille, le maïs et le caoutchouc, ainsi que le charbon de bois et les produits en papier imprimés.

La version finale du texte instituant ce devoir de vigilance doit encore faire l'objet de négociations entre les différents États membres de l'UE et le Parlement européen. Affaire à suivre…

Source : Communiqué de presse du Parlement européen du 13 septembre 2022 : « Changement climatique : de nouvelles règles pour contribuer à limiter la déforestation mondiale imputable à l'UE »

Vers des produits interdits d'importation pour lutter contre la déforestation ? © Copyright WebLex - 2022

Jeton individuel d'accès : entre usage et risques

L'authentification par jeton numérique (aussi appelé token access) est notamment utilisée pour :

• les procédures de confirmation de création de compte, de génération et de renouvellement de mot de passe  ;
• la connexion automatisée à un serveur pour faciliter l'accès à un service donné (validation d'un formulaire pour le recueil du consentement, page de désinscription à des lettres d'information, etc.) ;
• la consultation directe de documents et de données en ligne (bons de livraison, documents bureautiques en ligne, résultats d'examen médicaux, etc.).

Dans tous les cas, concrètement, l'utilisateur reçoit un lien à suivre incluant un jeton d'authentification : lorsqu'il clique sur ce lien, le serveur vérifie la validité du jeton, accepte l'authentification et active la fonctionnalité demandée par l'utilisateur.

Si l'utilisation d'un token access présente de multiples avantages, cela n'est pas sans risques : c'est, en effet, un moyen d'accès aux données personnelles de l'utilisateur.

C'est pour cela que l'envoi de jetons frauduleux par mail ou SMS est devenu courant.

Pour réduire les risques liés à l'utilisation d'un token access, la CNIL recommande de respecter les principes suivants :

• journaliser la création et l'utilisation des jetons ;
• définir une durée de validité des jetons adaptée à leurs finalités ;
• générer un lien d'authentification ne contenant aucune donnée personnelle ou avec un contenu haché ;
• imposer une nouvelle authentification dans le cas où le jeton permet l'accès à des données personnelles ou si le jeton a une durée de vie insuffisamment limitée ;
• limiter le nombre d'accès, en prévoyant un usage unique ou temporaire en fonction des finalités visées ;
• restreindre l'utilisation du jeton à certains services ou ressources en évitant sa réutilisation pour tous les parcours utilisateurs ;
• supprimer automatiquement, de manière temporaire ou définitive, l'accès à la ressource demandée en cas de demandes intensives suspectes ;
• permettre la révocation d'un jeton depuis un compte utilisateur en cas de comportement suspect automatiquement détecté ;
• permettre à l'utilisateur de choisir le mode de transmission du jeton (par mail, par SMS, par courrier, etc.).

Enfin, sachez que la CNIL a donné 3 exemples pratiques de jetons individuels de connexion, consultables ici, qui concernent :

• la confirmation de la création d'un compte utilisateur ;
• le suivi de livraison ;
• l'échange de fichiers.

Source : Actualité de la CNIL du 8 septembre 2022 : « Les jetons individuels de connexion ou token access »

Jeton individuel d'accès (token access) : le point sur les bonnes pratiques © Copyright WebLex - 2022

Covid-19 et aide pour les pigistes : pour qui ? Combien ?

Pour rappel, sont considérés comme « journalistes pigistes », les journalistes qui, non attachés à une rédaction, sont rémunérés au nombre d'articles livrés par des organes de presse avec qui une présomption de salariat s'applique. Cette présomption est matérialisée par la convention qui les lie.

Pour soutenir les pigistes ayant subi une diminution d'activité du fait de la crise sanitaire, le Gouvernement a mis en place une aide exceptionnelle pour les années 2020 et 2021.

Pour en bénéficier, au titre de l'exercice 2021, les pigistes doivent remplir certaines conditions :

• avoir bénéficié d'un minimum de 5 bulletins mensuels de pige en 2019 ;
• avoir reçu, en 2019, un montant annuel des revenus bruts de pige supérieur ou égal à 3 000 € ;
• avoir subi une diminution des revenus de pige annuels entre 2019 et 2021 ;
• avoir au titre de l'année 2021, un revenu fiscal de référence ne dépassant pas 80 000 €.

Sont exclus du bénéfice de cette aide les pigistes :

• qui ont exercé une activité lucrative, salariée ou indépendante à temps complet pendant l'année au titre de laquelle l'aide est versée, qui :

• ○ correspond à une quotité de travail minimale au moins égale à 1 607 heures ou à la durée fixée par la convention collective appliquée dans l'entreprise si celle-ci est inférieure à la durée légale, pour une activité salariée ;
• ○ ou qui a procuré un revenu soumis à cotisations sociales dont le montant brut annuel est au moins égal au montant du salaire minimum de croissance en vigueur au 1er janvier de l'année considérée calculé sur la base de 1 607 heures, pour une activité indépendante ;

• ou qui ont fait valoir leurs droits à la retraite en 2019 ou au cours de l'année au titre de laquelle l'aide est versée, avec prise d'effet au cours de l'une de ces années ; notez que le journaliste pigiste dont la retraite a pris effet en 2021 demeure éligible à l'aide versée au titre de l'année 2020, sous réserve du respect des autres conditions.

Sauf exception, le montant de l'aide est calculé en appliquant un taux (modulé en fonction du revenu fiscal de référence et du nombre de parts composant le foyer fiscal), sur une base égale à la différence entre les revenus de pige annuels nets perçus en 2019 et les revenus de pige annuels net perçus en 2021.

Il est précisé que le calcul effectué ne peut avoir pour effet d'aboutir à une indemnité supérieure à 100% des pertes constatées.

Source :

• Décret n° 2021-1175 du 10 septembre 2021 instituant une aide exceptionnelle au bénéfice des journalistes pigistes ayant subi une diminution d'activité à raison de la crise de la covid-19
• Arrêté du 7 septembre 2022 pris en application des articles 2 et 4 du décret n° 2021-1175 du 10 septembre 2021 instituant une aide exceptionnelle au bénéfice des journalistes pigistes ayant subi une diminution d'activité à raison de la crise de la covid-19

Covid-19 : une aide financière aux pigistes pour 2021 © Copyright WebLex - 2022

Un droit de préemption pour préserver l'eau destinée à la consommation humaine

Le Gouvernement vient de créer un nouveau droit de préemption pour la préservation des ressources en eau destinée à la consommation humaine.

En clair, lorsque des surfaces agricoles situées dans les aires d'alimentation de captages utilisées pour l'alimentation en eau destinée à la consommation humaine sont mises en vente, les personnes publiques disposant de la compétence « eau potable » peuvent les acheter prioritairement (en évinçant les acquéreurs, le cas échéant).

En conséquence, pour permettre la mise en œuvre de ce droit :

• il faut adresser une déclaration d'intention d'aliéner (DIA) en 4 exemplaires au titulaire du droit de préemption par lettre recommandée avec avis de réception (LRAR), déposée contre décharge, ou adressée par voie électronique en un seul exemplaire ;
• il faut respecter un délai de 2 mois durant lequel le titulaire du droit de préemption peut décider de l'utiliser ou non ; ce délai peut être suspendu lorsque certains documents complémentaires sont réclamés (servitudes, hypothèques, baux, etc.).

Le bénéficiaire du droit de préemption qui le met en œuvre peut ensuite céder, louer ou mettre à disposition temporairement les biens acquis.

En pratique, notez que ce droit va être institué, par le préfet, au bénéfice de la commune, du groupement de communes ou du syndicat mixte compétent pour la gestion de l'eau.

Source : Décret n° 2022-1223 du 10 septembre 2022 relatif au droit de préemption pour la préservation des ressources en eau destinées à la consommation humaine

Droit de préemption : « À l'eau le monde ! » © Copyright WebLex - 2022

Deux manquements au RGPD = une sanction de 250 000 €

Saisie d'une plainte, la Commission nationale de l'informatique et des libertés (CNIL) a contrôlé le site web d'une entreprise. Elle y a constaté des infractions au Règlement général sur la protection des données (RGPD). Celles-ci sont de deux types :

• un manquement relatif à l'obligation de conserver les données pour une durée proportionnée à la finalité du traitement ;
• un manquement relatif à l'obligation d'assurer la sécurité des données personnelles.

L'entreprise prévoyait, d'une part, une durée de conservation des données personnelles des membres et abonnés de 36 mois à compter de la dernière commande passée sur le site. La CNIL a constaté que les données de 25 % des utilisateurs étaient conservées au-delà de cette durée.

D'autre part, la CNIL a également constaté que l'entreprise n'imposait pas l'utilisation d'un mot de passe robuste dès la création d'un compte, et que cela n'était pas plus possible par la suite.

Sur la base de ces constatations, elle a considéré que l'entreprise n'avait pas pris de mesures suffisantes pour garantir la sécurité des données des membres et des utilisateurs du site. Elle a en conséquence infligé une amende de 250 000 euros à l'entreprise.

Source : Publication de la Commission nationale de l'informatique et des libertés du 13 septembre 2022

Nouvelle sanction de la CNIL pour infraction au RGPD © Copyright WebLex - 2022

Des coups de pouce pour le secteur du cloud !

Tirant un bilan très satisfaisant de sa stratégie nationale pour le cloud, le ministère de l'Économie insiste notamment sur l'initiative du « SecNumCloud » : il s'agit d'un visa délivré aux prestataires justifiant d'un niveau d'excellence dans la sécurité offerte par leur solution.

Afin de poursuivre dans cette dynamique positive, le ministre annonce 5 pistes pour favoriser le développement de ce secteur en France :

• Un accompagnement pour l'obtention du visa

Le processus d'obtention de la qualification SecNumCloud pouvant s'avérer complexe pour les plus petites structures, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) sera chargée d'accompagner les start-up et les PME évoluant dans le secteur et souhaitant se faire certifier.

• Une meilleure transformation numérique des administrations

Pour que les données de l'administration bénéficient d'un niveau de protection adapté, le Gouvernement va revoir la définition et sa classification des données particulièrement sensibles, afin de faciliter le choix de solution cloud de chaque administration.

De plus, une mission devrait être confiée à la Direction interministérielle du numérique pour accélérer la transition vers le numérique des administrations.

• Une harmonisation européenne

Le Gouvernement souhaite que l'Union européenne se saisisse de la question en envisageant un cadre réglementaire permettant d'assurer un niveau d'exigence commun au sein de l'Union et, peut-être, de permettre l'émergence d'un acteur européen dans un marché pour l'instant dominé par des acteurs non-européens.

• La validation du PIIEC cloud

Un PIIEC, ou Projet important d'intérêt européen commun, est un mécanisme qui permet aux États membres de l'UE de financer des initiatives privées au-delà des limites habituellement fixées. Constatant le nombre de projets mis en place entre les acteurs européens de la filière, le Gouvernement encourage la Commission européenne à valider le PIIEC cloud.

• Une nouvelle interface entre l'État et le marché

Un nouveau Comité stratégique de filière (CSF) devrait être créé. À l'image de ce qui existe dans 19 autres filières, comme l'aéronautique, le nucléaire ou l'alimentaire, un CSF est un organe qui permet un dialogue entre l'État, les entreprises et les salariés d'un secteur d'activité. Il participe au développement de la filière en suivant 4 axes principaux :

• ○ transition écologique ;
• ○ innovation et digitalisation ;
• ○ souveraineté et compétitivité ;
• ○ développement des compétences et de l'attractivité de l'industrie.

À ce stade il ne s'agit que d'annonces qui devront être matérialisées par des textes réglementaires. À suivre…

Source : Actualité du ministère de l'Économie, des Finances et de la Souveraineté industrielle et numérique du 12 septembre 2022 : « Cloud : cinq nouveaux dispositifs pour soutenir le développement du secteur »

« Cloud computing » : la tête dans les nuages © Copyright WebLex - 2022