A propos Charles de Laubier

Rédacteur en chef de Edition Multimédi@, directeur de la publication.

Après Netflix, Disney est désigné comme le nouvel épouvantail du cinéma et de l’audiovisuel français

La veille de l’ouverture du 72e Festival de Cannes, le président de la République
a reçu à l’Elysée les industries culturelles pour lesquelles est créé un fonds
« Bpifrance » de 225 millions d’euros. Emmanuel Macron les a surtout exhortés
à « s’organiser collectivement » face à Netflix mais aussi Disney.

Il n’y a pas que Netflix qui fait trembler « l’exception culturelle » chère au cinéma et à l’audiovisuel français, lesquels ne s’estiment plus protégés par la ligne Maginot réglementaire nationale devenue obsolète face ces acteurs globaux. The Walt Disney Compagny est aussi perçue comme une menace pour le 7e Art et le PAF (1) de l’Hexagone. Netflix et Disney ont été les deux épouvantails américains les plus évoqués lors du déjeuner culturel de l’Elysée le 13 mai dernier.

« Face aux grands champions américains » (Macron)
La presque centenaire major d’Hollywood, dirigée avec succès par Robert Iger (photo), « Bob » pour les intimes, inquiète de plus en plus en France le cinéma et la télévision, jusqu’au plus haut sommet de l’Etat. « Si nous n’arrivons pas à nous organiser, nous Français, la bataille est perdue. Face aux défis du numérique, c’est un engagement collectif dont nous avons besoin. Je suis convaincu que si nous restons divisés, nous ferions une erreur face aux grands champions américains », a lancé Emmanuel Macron à plus d’une centaine de convives venus de toutes les industries culturelles (y compris musique, jeu vidéo, médias, livre, etc.). A la veille de l’ouverture du 72e Festival de Cannes et de son 60e Marché du Film (2), le propos présidentiel visait plus particulière Netflix mais aussi Disney (3).
Le géant hollywoodien du divertissement et des médias est lui aussi montré du doigt, tant il a repris du poil de la bête depuis quinze ans que Bob Iger en a les rênes (4). Aujourd’hui, ne faudrait-il pas accoler le « D » de Disney pour parler désormais de GAFAD comme on le fait avec le «N» de Netflix pour faire GAFAN (ou avec le « M » de Microsoft pour GAFAM) ? Une chose est sûre : la Walt Disney Company se positionne plus que jamais comme le principal rival de Netflix, dont il veut damer le pion avec Disney+, sa plateforme de vidéo à la demande par abonnement (SVOD). Elle est annoncée pour novembre 2019 et sera « moins cher que Netflix », à 6,99 dollars par mois, avec des contenus pour toute la famille. Disney+ sera d’abord disponible à la fin de l’année aux Etats-Unis, avant son lancement en Europe prévu pour 2020. C’est que les dommages collatéraux pourraient toucher en France l’écosystème du cinéma et
de la télévision, déjà impacté par l’arrivée de Netflix en septembre 2014. Pour des programmes plus adultes, Disney vient de prendre le contrôle opérationnel de Hulu – autre plateforme de streaming vidéo – après avoir racheté le 20 mars dernier la participation de Fox – la 21st Century Fox (de Rupert Murdoch), dont la plupart des actifs ont été dans le même temps acquis par Disney pour plus de 71 milliards de dollars. Disney est maintenant l’actionnaire majoritaire de Hulu avec 60 % des actions (contre 30 % auparavant), avec la possibilité de monter à 100 % à partir de 2024. L’opérateur télécoms AT&T avait cédé en avril aux deux actionnaires restants de Hulu (Disney et Comcast) les 9,5 % qu’il détenait dans le capital de cette plateforme de SVOD (5) valorisée 27,5 milliards de dollars. Aux Etats-Unis, Disney a en outre lancé
il y a un an sa plateforme de streaming de programmes sportifs ESPN+.
Intégrant les actifs issus de Fox, la Walt Disney Company est tout de même devenue
le plus grand groupe de médias et de divertissement au monde ! Il faut dire qu’en cinq ans, le groupe dirigé par Bob Iger s’était emparé de studios de cinéma et d’animation indépendants, et non des moindres : Pixar en 2006 (dont « Toy Story»), Marvel en 2009 (dont « Spider-Man »), et Lucasfilm en 2011 (dont « Star Wars »). En rachetant les studios Marvel il y a dix ans, Disney profite de leurs blockbusters. Le dernier-né des films aux superhéros sorti cette année, « Avengers: Endgame » (22e et dernier film de la saga des Avengers), pourrait dépasser le record des recettes mondiales en salles de cinéma détenu par « Avatar » coproduit par Lightstorm Entertainment (2,79 milliards de dollars) – après avoir coiffé au poteau « Star Wars-Le réveil de la fore » de Disney (2,07 milliards) et « Titanic » coproduit lui aussi par Lightstorm Entertainment (2,18 milliards). Le catalogue de films et d’animations de Disney, aux budgets dépassant parfois chacun les 100 millions de dollars (350 millions de dollars pour le dernier « Avengers »), n’a rien à envier au catalogue de séries de Netflix.

Après DisneyLife en Europe, Disney+ et Hulu ?
L’exception culturelle à la française se retrouve ainsi prise en étau entre une presque centenaire du film (Disney, valorisé en Bourse 238,8 milliards de dollars au 24-05-19), multimilliardaire du box-office, et un jeune conquérant de la série d’une vingtaine d’année (Netflix, valorisé 153,9 milliards après avoir dépassé un temps Disney en 2018). En Europe, Disney a lancé en novembre 2015 au Royaume-Unis un service
« jeunesse » de SVOD baptisé DisneyLife (6), qui a vocation à s’étendre à toute l’Europe. @

Charles de Laubier

Presse en ligne : les journalistes veulent 50 % des recettes du futur « droit voisin »

Google News, Facebook, MSN, Yahoo News et autres agrégateurs d’actualités vont devoir payer leur écot à la presse en ligne qu’ils utilisent. Mais, en Europe, les éditeurs seront titulaires de ce droit voisin – pas les journalistes qui recevront « une part appropriée » de ces revenus. La moitié ?

« Le principal syndicat des journalistes, le SNJ (1), d’abord hostile à l’instauration d’un droit voisin, y est aujourd’hui favorable », rappelle la députée (LREM) Fannette Charvier, membre de la commission des affaires culturelles et de l’éducation à l’Assemblée nationale, selon ses propos rapportés dans le rapport du député (Modem) Patrick Mignola (photo) du 30 avril sur la proposition de loi sur la création
d’« un droit voisin au profit des agences de presse et des éditeurs de presse ».

Une « part égale » comme « part appropriée »
C’est sans compter sur le fait que le SNJ et la Fédération européenne des journalistes (FEJ), dont il est membre, ne veulent pas que ce droit voisin soit versé entièrement aux éditeurs de presse, lesquels devront reverser leur quotepart à leurs journalistes dans le cadre d’accords d’entreprises. Les journalistes – ils sont 35.047 dotés d’une carte de presse en France – sont déçus par l’article 3 de la proposition de loi qui prévoit en effet un « droit à une part appropriée et équitable de la rémunération », mais dont « les modalités de sa répartition entre les auteurs concernés sont fixées dans des conditions déterminées par un accord d’entreprise ou, à défaut, par tout autre accord collectif ».
Le compte risque donc de ne pas y être.
Avec le SNJ-CGT et la CFDT-Journalistes, la FEJ – représentant pas moins de 320.000 journalistes en Europe et elle-même membre de la Fédération internationale des journalistes (FIJ) – et le SNJ appellent à « aller plus loin, en prévoyant dans la loi un partage égal entre les éditeurs et les auteurs du revenu administré dans le cadre d’un système de gestion collective ». Les organisations de journalistes demandent que soient « concomitantes (…) la détermination des clés de répartition de la rémunération entre plateformes et éditeurs d’une part, et entre éditeurs et journalistes d’autre part » (2). De son côté, le député (LFI) Michel Larive met en garde le 9 mai : « L’article 3 ne pose aucune condition permettant aux journalistes de percevoir un seuil minimal de
20 %, 30 % ou encore 50 % de rémunération » (3). Sur la même longueur d’onde,
la Société civile des auteurs multimédias (Scam) a regretté le même jour que « le Parlement [soit] sur la mauvaise voie ». Elle « s’inquiète vivement du sort que ce texte s’apprête à réserver aux journalistes, photographes, dessinateur-rices de presse ». Cette société de gestion collective, qui rassemble 40.000 auteurs, dénonce le fait que ce futur droit voisin ne soit envisagé qu’au profit des éditeurs de presse. « La part réservée aux journalistes serait, quant à elle, renvoyée à des accords collectifs (ou accords d’entreprise). Ce choix fragilise la situation des journalistes alors que les organismes de gestion sont les plus à même de gérer la part de rémunération qui leur revient », regrette la Scam présidée par Hervé Rony. Qui garantira aux journalistes un paiement équitable et en toute transparence d’une juste rémunération ? D’autant que la directive européenne sur le droit d’auteur dans le marché unique numérique (4), publiée au JOUE du 17 mai 2019, prévoit que « les auteurs dont les œuvres sont intégrées dans une publication de presse devraient avoir droit à une part appropriée des revenus que les éditeurs de presse perçoivent des prestataires de services de la société de l’information pour l’utilisation de leurs publications de presse » (considérant 59).
Pour éviter que les journalistes ne soient les dindons de la farce, la député (LR) Constance Le Grip avait déposé le 26 avril un amendement pour éviter un « décalage » entre la proposition de loi française et la directive européenne. Elle a proposé que « la part des journalistes soit liée au niveau de la rémunération perçue par les entreprises de presse » et que « cette “part appropriée” [soit déterminée en prenant] en considération le montant des droits d’auteur perçus par les journalistes », et enfin
qu’« en l’absence d’accord, le pouvoir réglementaire pourrait fixer les niveaux de rémunération » (5). Mais lors de l’examen en commission des affaires culturelles et
de l’éducation de l’Assemblée nationale, le 30 avril, Patrick Mignola lui a demandé de retirer son amendement.

Journalistes : quel « mécanisme de secours » ?
Le rapporteur de la proposition de loi « Droit voisin » lui a expliqué que Laurence Franceschini – ex-directrice de la DGMIC du ministère de la Culture, actuelle médiatrice du cinéma et l’auteure du rapport de février 2018 remis au CSPLA (6) sur l’application du droit voisin des éditeurs de publications de presse – avait évoqué « la possibilité
que ce mécanisme de secours dans la négociation [entre les journalistes et leurs employeurs] s’insère dans le cadre de la Commission des droits d’auteur des journalistes (CDAJ) ». Le dialogue avec elle devrait donc se poursuivre. A suivre… @

Charles de Laubier

Le SMS continue sa chute ; le RCS peine à décoller

En fait. Le 21 mai, l’Arcep a publié son Observatoire des marchés des communications électroniques en France sur l’année 2018. Le nombre de SMS émis poursuit sa chute, entamée il y a trois ans. Les WhatsApp, Messenger, Snapchat et autres Skype concurrencent les opérateurs mobiles, lesquels préparent… le RCS.

En clair. Laminé par les messageries instantanées des GAFA, Snap et autres Telegram, le SMS – pour Short Message Service – inventé il y a 30 ans par les opérateurs télécoms (les « telcos ») décline. Rien qu’en France, les mobinautes les délaissent de plus en plus au profit des messageries instantanées du Net, lesquelles échappent justement aux opérateurs mobile. Résultat, d’après l’Arcep : le volume global de ces messages courts émis en 2018 à partir des téléphones mobiles est en baisse pour la troisième année consécutive, à 171,4 milliards de SMS (-7,1 % en un an). Le point culminant historique de 202,5 milliards de SMS envoyés dans l’année fut atteint en 2015.
Consolation pour les telcos : l’envoi de MMS – pour Multimedia Messaging Service – continue d’augmenter, à 5,2milliards sur l’année 2018 (+ 6 %), mais ils sont loin de compenser la chute des SMS et ne représentent que 3 % de l’ensemble des messages émis dans l’année. « Le nombre moyen de SMS envoyés par mois et par abonné diminue : 199 SMS en 2018 (- 8,9 %). Cette inflexion (1) peut être mise en parallèle avec le développement des applications de messageries instantanées qui viennent probablement se substituer en partie aux SMS », avance l’Arcep. Surtout que les SMS et MMS utilisent un protocole propre aux telcos et donc incompatible avec l’IP et le Wifi ! Un comble aujourd’hui. Ces textos, qui plus est payants, génèrent la principale source (40 %) de revenu des services d’interconnexion mobiles pour les telcos, soit 1,4 milliard d’euros de chiffre d’affaires hors taxe en 2018 (- 5,5 %). L’on comprend dès lors que les telcos se hâtent lentement dans le déploiement le RCS – pour Rich Communication Services.
Quèsaco ? Il s’agit de la contre-offensive des opérateurs mobile, réunis dans leur association internationale GSMA (2), pour tenter de ne pas se faire évincer par les acteurs du Net du marché de la communication interpersonnelle. Le RCS, c’est de la messagerie instantanée et du réseau social multimédia tout-en- un (texte, chat, appels vidéo, audio, photo, live, fichiers, etc). Mais comme le RCS bascule les telcos sur le protocole IP, il leur rapportera bien moins que les lucratifs SMS et MMS. Pour l’instant, Orange, SFR, Bouygues Telecom et Free restent encore très discrets. Au contraire, Google Fi, l’opérateur mobile virtuel d’Alphabet, a annoncé en début d’année (3) le déploiement de RCS – y compris en France. Le SMS va mourir, vive le RCS ? @

Eric Woerth le dit : « La taxe GAFA sera provisoire »

En fait. Le 14 mai, Eric Woerth – ancien ministre et actuel président de la commission des finances, de l’économie générale et du contrôle budgétaire à l’Assemblée nationale, ainsi que député (LR) de l’Oise – avait « carte blanche »
au 29e colloque NPA-Le Figaro. Il a expliqué que la future « taxe GAFA » était
« provisoire ».

En clair. « La France a mis en place un dispositif – transitoire – assez brutal, assez rustique, et arrivant un peu tardivement. C’est une taxation sur le chiffre d’affaires. Bon, cela n’est pas formidable. Mais c’était une bonne idée de le faire, mais c’est une idée provisoire. Il faut que l’on aille beaucoup plus loin sur ce sujet », a prévenu Eric Woerth, lors du colloque NPA-Le Figaro. Le président de la commission des finances à l’Assemblée nationale intervenait une semaine avant que le Sénat n’adopte à son tour le 22 mai le projet de loi (1) visant à créer « une taxe sur les services numériques » de 3% sur le chiffre d’affaires réalisé en France.
Eric Woerth a insisté sur le fait que la taxe GAFA n’a pas vocation à perdurer. « C’est bien que la France puisse montrer un chemin, sans doute provisoire mais nécessaire ». Il a raconté avoir reçu à Paris le sous-secrétaire américain au Trésor responsable des négociations internationales, Heath Tarbert, qui a demandé au gouvernement et aux parlementaires de « retirer ce texte ». Fin de non-recevoir : « Il faut bien que les entreprises américaines paient un peu de fiscalité : il n’y a rien de nouveau sous le soleil ! Il ne faut pas que cela soit une fiscalité uniquement négociée. Depuis quand négocie-t-on la fiscalité ? ». L’ancien ministre du Budget de Sarkozy a en outre précisé que cette taxe ne toucherait pas uniquement les GAFA et la numérisation de l’économie, mais aussi le e-commerce de proximité dont les effets les plus visibles pour la population : la désertification des centres-villes (2). « Là-dessus, l’inégalité fiscale est très forte ; elle est souvent fondée sur le foncier. On voit qu’Amazon dispose de grands entrepôts, mais a une fiscalité low cost», pointe-t-il.
Alors que l’Europe est contrainte par sa règle de l’unanimité en matière fiscale, l’issue se trouve du côté de l’OCDE (3). Mais, prévient Eric Woerth, « l’OCDE souhaite l’abandon des règles fiscales traditionnelles au profit de la règle du pays de consommation, car c’est la consommation qui fait la valeur ajoutée ». Or la France, grand pays de production, est un petit pays de consommation à l’échelle du monde. Selon lui, elle ne peut donc pas prendre acte de cela. « C’est un risque tout à fait majeur pour nos finances publiques », met-il en garde. Pour l’heure, la « taxe GAFA » pourrait rapporter 400 millions d’euros en 2019 et 650 millions en 2020. @

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @