Archives par mot-clé : Informatique

Le milliardaire Warren Buffett, investisseur influent via Berkshire Hathaway, devient technophile sur le tard

Publié le par

Actuelle 5e fortune mondiale, le milliardaire américain Warren Buffett (91 ans) – à la tête de sa holding d’investissement Berkshire Hathaway – devient de moins en moins réservé sur les technologies numériques. Après être monté à 5,5 % au capital d’Apple, il s’offre 11 % de HP. L’ « Oracle d’Omaha » a changé de regard sur les technos.

(Cinq jours après la publication de cet article dans EM@, Warren Buffet a annoncé le 30 avril détenir 9,5 % du capital d’Activision Blizzard)

Il n’est jamais trop tard pour devenir technophile, surtout lorsque l’on dispose d’une trésorerie de 144 milliards de dollars disponible pour investir. A 91 ans (il aura 92 ans en août prochain), le success-investor Warrent Buffett (photo) vient de faire un pas de géant dans la high-tech en faisant l’acquisition le 6 avril dernier de 11 % du capital du fabricant américain d’ordinateurs et d’imprimantes HP. Au total, son fonds d’investissement Berkshire Hathaway a déboursé 4,2 milliards de dollars pour s’emparer de 121 millions d’actions du groupe d’informatique personnelle issu de la scission en 2015 de Hewlett-Packard (l’autre société HPE, dédiée aux entreprises, n’étant pas concernée par cet investissement). L’action d’HP à la Bourse de New-York a aussitôt fait un bond de près de 15 % du jour au lendemain, avant de s’affaisser puis de reprendre du poil de la bête. Sa capitalisation s’est hissée au-dessus des 40 milliards de dollars (au 21-04-22). Reste que si l’ « Oracle d’Omaha » – surnom donné à Warren Buffett, car très écouté par les investisseurs et en référence à la ville d’Omaha, au Nebraska, où il habite et travaille – a jeté son dévolu sur « HP Inc », c’est qu’il voit de belles plus-values en perspective dans le monde du PC. Et ce, malgré les signes contradictoires sur ce marché mondial – dont le fabricant de Palo Alto est le numéro deux, derrière le chinois Lenovo.

« WB », plus Coca-Cola que high-tech
Lors de l’assemblée générale des actionnaires de son conglomérat Berkshire Hathaway (BH), le 30 avril prochain, le PDG Warren Buffett (« WB ») – fonction qu’une ONG et un fonds ont demandé le 19 avril à ce qu’elle soit ramenée à DG (1) – devra rassurer sur son investissement-surprise. Cinq jours après que le milliardaire soit devenu minoritaire dans HP, le cabinet d’études Gartner publiait un état peu réjouissant du marché mondial des ordinateurs personnels au premier trimestre 2022 : recul de 6,8 % par rapport à la même période de l’an dernier. Mais si l’on met à part le ralentissement des ventes de Chromebook de Google, le marché des PC est en hausse de 3,9 % (2). Ce n’est pas si mal au regard de la plus forte croissance jamais enregistrée depuis des décennies un an auparavant, soit 32 % au premier trimestre 2021 (3). L’« Oracle d’Omaha » a-t-il eu du nez ou risque-t-il d’être déçu par ce fleuron de la technologie, secteur dont il se méfie depuis toujours ? Car Warren Buffett n’a jamais été très « Big Tech ». Il y a dix ans exactement, WB avait déclaré sur CNBC qu’il n’a pas vraiment une opinion sur Facebook et Google parce qu’il est difficile de déterminer leur valeur et comment ils se débrouilleront à l’avenir. « Il est donc beaucoup plus facile pour moi de comprendre ce que Coca-Cola vaut que Google ou Facebook », avait-il dit à l’époque (4). Il se méfie aussi du battage médiatique lors de l’introduction d’entreprises du numérique. Le milliardaire n’a jamais caché qu’il n’investirait pas dans la technologie parce qu’il ne la comprenait pas vraiment.

Ses 5,55 % d’Apple valorisés 161 Mds$
D’où la surprise lorsqu’il révèle en novembre 2011 qu’il a investi progressivement quelque 11 milliards de dollars pour monter à 5,5 % du capital d’IBM, devenant alors l’un de ses plus grands actionnaires. Mais dès que « Big Blue » a rencontré des difficultés, il a commencé en mai 2017 à céder ses parts. « IBM est une grande entreprise solide mais elle a également des concurrents gros et solides », avait-il expliqué en révisant son jugement à la baisse. Son aversion envers les technologies est alors à son comble. Quoique… Après avoir soldé sa participation dans IBM début 2018, non sans faire quelques milliards de plus-value au passage malgré la débâcle de Big Blue, le milliardaire d’Omaha a rapidement renforcé ses positions dans… Apple, dont il détenait déjà des actions depuis 2016. Ce fut un changement de pied pour le success-investor, passant d’un fabricant d’ordinateurs orienté entreprises vers un fabricant de terminaux orienté grand public. IBM et Apple étaient rivaux dans les années 1980, avant de diverger par la suite.
Bien qu’il ne possèderait toujours pas d’iPhone personnellement, la marque à la pomme – son « dauphin géant », comme il dit – est aujourd’hui l’investissement technologique qui lui donne encore toute satisfaction. « Notre participation n’est que de 5,55 %, en hausse par rapport à 5,39 % un an plus tôt. Cette augmentation ressemble à de la petite pomme de terre. Mais considérez que chaque 0,1 % des gains d’Apple en 2021 s’élevait à 100 millions de dollars », s’enthousiasme le groupe BH dans son rapport annuel publié fin février. Et de bien faire comprendre : « Seuls les dividendes d’Apple sont comptabilisés dans les résultats [de] Berkshire – et l’an dernier, Apple nous a versé 785 millions de dollars de ces dividendes. Pourtant, notre “part” des bénéfices d’Apple s’élevait à 5,6 milliards de dollars. Une grande partie de ce que [nous avons] conservé a été utilisé pour racheter des actions d’Apple ». Au 31 décembre 2021, les 5,55 % de BH dans Apple étaient valorisés 161,1 milliards de dollars, alors que ces actions lui ont coûtées 31 milliards de dollars – soit une plus-value potentielle de 420 %. Tandis que Warren Buffett n’a de cesse d’encenser Tim Cook, le « brillant » PDG d’Apple. C’est le meilleur investissement que l’« Oracle d’Omaha » a réalisé parmi les entreprises qu’il ne contrôle pas (y étant actionnaire minoritaire). Viennent ensuite, d’après sa lettre aux actionnaires de BH établie fin février : Bank of America (12,8 % capital, valorisés 45,9 milliards de dollars), American Express (19,9 %, valorisés 24,8 milliards) ou encore The Coca-Cola Company (9,2 %, valorisés 23,6 milliards). Aussi rétif aux technos, WB n’en est pas moins aussi actionnaire minoritaire de l’opérateur télécoms américain Verizon (3.8 %, valorisés 8,2 milliards), le câblo-opérateur Charter Communications (2,2 %, valorisés 2,5 milliards). Et il y a aussi une part de technologie dans le chinois BYD (7,7 %, valorisés 7,7 milliards) et le japonais Mitsubishi (5,5 %, valorisés 2,6 milliards). Comme quoi le « tycoon-vétéran » de l’investissement n’est pas aussi technophobe qu’il le laisserait penser. « Je fais beaucoup d’erreurs », reconnaît l’« Oracle d’Omaha », dont l’associé historique est Charles Munger (98 ans), dit Charlie (photo ci-contre), vice-président milliardaire de BH. Le conglomérat holding, dont le siège social est au Nebraska (à Omaha donc) mais avantageusement domicilié fiscalement dans l’Etat du Delaware, contrôle de nombreuses filiales, à commencer dans des activités d’assurance et de réassurance (5), suivies par une entreprise de transport ferroviaire de marchandises (6) et un groupe de production et distribution d’électricité (7), auxquels s’ajoutent plusieurs unités de fabrication (8), de services ou encore de vente au détail (9). Toutes les filiales consolidées de BH employaient un total de 372.000 personnes dans le monde à la fin 2021 (parmi lesquelles 50.500 dans l’assurance), dont 77 % aux Etats-Unis.

Que va-t-il faire de ses 144 Mds$ de cash ?
Warren Buffett n’est en revanche pas un tycoon des médias, loin de là. C’est tout juste s’il possède WPLG, une chaîne de télévision à Miami en Floride (affiliée au network ABC), acquise en 2014 auprès de la Graham Holdings (ex-Washington Post Company, après que celle-ci ait vendu l’année d’avant le Washington Post au fondateur d’Amazon, Jeff Bezos). BH a par ailleurs possédé le quotidien régional The Buffalo News ainsi que l’éditeur de dizaines de newspapers BH Media Group, avant de revendre ces activités presse en 2020.
A l’international, la seule activité média de WB réside dans Business Wire, société de diffusion de communiqués de presse créée en 1961 et acquise par BH en 2006. Ses contenus (textes et multimédias) sont diffusés dans le monde entier, via son réseau NX, aux journalistes et agences de presse comme l’AFP. Ses deux principaux concurrents sont PR Newswire (groupe Cision) et GlobeNewswire (ex-Prime- Newswire). Une chose est sûre, le success-investor aux 144 milliards de dollars de cash a les moyens de renforcer sa nouvelle technophilie et son penchant médiatique. @

Charles de Laubier

Le système d’exploitation Linux fête ses 30 ans : un « cancer » qui fait désormais du bien à Microsoft

Publié le par

« Linux est un cancer qui s’attache, en termes de propriété intellectuelle, à tout ce qu’il touche. C’est ainsi que fonctionne la licence », fustigeait il y a 20 ans Microsoft par la voix de son PDG d’alors, Steve Ballmer. Son successeur, Satya Nadella, a adopté cet OS open source créé il y a 30 ans.

C’est à un journaliste du Chicago Sun-Times, lors d’un déjeuner de presse le 31 mai 2001, que Steve Ballmer avait tiré à boulets rouges sur le système d’exploitation libre de droit lancé dans sa première version le 17 septembre 1991 par son créateur le Finlandais Linus Torvalds (photo). « Linux est un cancer », avait osé affirmer le PDG de Microsoft à l’époque – et successeur du fondateur Bill Gates – dans sa réponse à la question « Considérez-vous Linux et le mouvement opensource comme une menace pour Microsoft ? » (1).

Du « cancer » à la greffe ouverte
L’ancien patron de l’éditeur de Windows avait aussi assuré que Linux n’était pas une menace pour son système d’exploitation pour PC : « Oui. C’est une bonne concurrence. Cela nous forcera à innover. Cela nous forcera à justifier les prix et la valeur que nous offrons. Et ce n’est que sain ». Ce qu’il considérait comme une tumeur maligne a finalement été adopté par son successeur et actuel PDG depuis février 2014, Satya Nadella. Microsoft adhère en novembre 2016 à la fondation Linux (2) qui standardise les développements open source autour du noyau (kernel) de Linus Torvalds. La firme de Redmond en est même devenue membre platinum aux côtés de Facebook, Huawei, IBM/Red Hat, Oracle, Samsung, Tencent, AT&T, Nec, Ericsson ou encore Intel. Les dénigrements envers Linux de la part de Microsoft, alors soupçonné d’abus de position dominante avec Windows (3), ont laissé place à une lune de miel qui perdure : depuis 2015, Linux fonctionne sur Azure, le cloud devenu core business de Microsoft ; depuis 2017, le célèbre logiciel libre peut faire tourner une base de données SQL Server de Microsoft. Satya Nadella entend ainsi rendre le groupe moins dépendant de l’OS (4) historique Windows, lequel est de plus en plus concurrencé par Android de Google et dans une moindre mesure par l’iOS d’Apple.
Le patron indo-américain a ainsi élargi le champs d’action de Microsoft, en adoptant un écosystème (Linux) bien plus vaste que le sien et en augmentant sa communauté de développeurs informatiques (logiciels, applis mobiles, sites web, objets connectés, …). En 2018, Microsoft a en outre racheté la plateforme de développement de logiciels libres GitHub pour 7,5milliards de dollars. Comptant à ce jour plus de 65 millions de développeurs et 3 millions d’organisations, la désormais filiale de Microsoft est considérée comme le plus grand hébergeur au monde de « code source », avec plus de 200 millions de dépôts de projets logiciel. Puis c’est en 2019 que la firme de Redmond met un noyau de Linux dans Windows 10, en lieu et place d’un simple émulateur, afin de satisfaire un peu plus les Linuxiens. La même année, cette « politique d’ouverture » pousse Microsoft à rendre disponible 20.000 lignes de code pour permettre à Linux d’être utilisé sous Windows Server. En 30 ans d’existence, Linux a ainsi su s’imposer partout et souvent à l’insu des utilisateurs eux-mêmes. Conçu à l’origine pour les ordinateurs personnels basés sur le micro-processeur Intel x86, Linux est devenu de fait le système d’exploitation le plus répandu au monde. Basé sur Linux, Android de Google pour smartphones – 72,2 % des OS mobiles dans le monde, selon StatCounter (5) à juillet 2021 – lui assure en effet une emprise indirecte sans précédent et à faire pâlir l’éditeur de Windows qui a subi un cuisant échec avec son Windows Phone (0,02% de parts de marché mobile…).
Pour autant, directement sur les ordinateurs de bureau cette fois, Linux n’est présent que sur près de 2,4 % du parc mondial – là où Windows s’arroge encore 73 % de parts de marché, et loin devant les 15,4 % de l’OS X d’Apple (6). Mais là aussi, Google s’appuie sur Linux pour son Chrome OS qui occupe 1,2 % du parc des ordinateurs de bureau via les Chromebook. C’est sur les serveurs web que Linux est plébiscité par 40 % d’entre eux dans le monde, d’après W3Techs : à fin août, Linux est en effet utilisé par 51.9 % des serveurs web utilisant une catégorie d’Unix, lequel fait fonctionner 77,3 % des serveurs web – contre 22,9 % pour Windows (7). Enfin, sur dans la catégorie des superordinateurs, Top500.org a indiqué en juin dernier que Linux fait tourner pas moins de 52,8 % d’entre eux (8).

Gaming, Smart TV et objets connectés
« J’utilise Linux pour le contrôle intégral de la station de travail sur laquelle j’opère, justifie Sornin, un des nombreux aficionados de l’OS de Linus Torvalds. Le côté open source est très bénéfique en termes de sécurité et de perfectionnement du système d’exploitation. En revanche, le gaming sur Linux est un peu moyen ». Les jeux sur mobile, eux, performent sur Android alias Linux. Avec par ailleurs l’explosion des appareils intelligents – Smart TV par exemple – et objets connectés (IoT), le meilleur rival et partenaire de Microsoft est encore voué à un bel avenir. Linus Torvalds, lui, a lancé le 29 août (9) un appel à tester la version 5.14 du kernel. @

Charles de Laubier

Satya Nadella est DG de Microsoft depuis cinq ans : Azure dépasse Windows pour la première fois

Publié le par

Promu il y a cinq ans directeur général de Microsoft à la place Steve Ballmer (successeur du cofondateur Bill Gates), l’Indo-Américain Satya Nadella a redonné
à la firme de Redmond des couleurs en Bourse. Oublié l’échec de Windows Phone. Le cloud Azure lui permet de tenir tête à Amazon et Google.

En février 2014, il est devenu le troisième directeur général qu’ai connu Microsoft en près de 45 ans d’existence – après Steve Ballmer (2000-2014) et Bill Gates (1975- 2000). En cinq ans, Satya Nadella (photo) a fait « pivoter » la firme de Redmond comme une start-up ! Un exploit pour un géant de l’informatique qui pèse, avec son dernier exercice annuel qui s’est achevé le 30 juin dernier, un chiffre d’affaires de 125,8 milliards de dollars pour un bénéfice net de 39,2 milliards de dollars.

Vers une offre intégrée « Microsoft 365 »
L’Indo-Américain a enterré sans glas du système d’exploitation mobile Windows Phone, dont la dernière version sortie en 2014 n’est plus mise à jour depuis deux ans maintenant. Ce fut un échec cuisant pour son prédécesseur. Déjà confronté au déclin des ordinateurs personnels (PC) où Windows règne encore en maître, Microsoft n’avait vraiment pas besoin d’un tel fiasco industriel. Cela lui a coûté des milliards de dollars, dont 7,2 milliards pour l’acquisition des terminaux du finlandais Nokia. Ce rachat fut décidé par Steve Ballmer en septembre 2013 puis concrétisée en avril 2014, soit deux mois après que Satya Nadella lui ait succédé. Autant dire que Windows Phone était mort-né, ce dernier misant toute sa stratégie sur le cloud avec son offre Azure qu’il a développée précédemment avec succès en tant vice-président de cette activité (1) chez Microsoft – où il est entré en 1992.
Les services informatiques dématérialisés que permet le cloud sont devenus le premier relais de croissance du groupe cofondé par Bill Gates et Paul Allen. D’après le rapport annuel 2018/2019 publié le 1er août dernier, le segment « Intelligent Cloud » est l’activité qui croit désormais le plus, avec un bond de 21 % sur un an pour atteindre sur le dernier exercice 38,9 milliards de dollars. A ce rythme-là, malgré un ralentissement observé depuis six trimestres, le cloud commence à dépasser les activités historiques « More Personal Computing » (système d’exploitation Windows, ordinateurs Surface, jeux vidéo avec Xbox, publicité en ligne sur Bing) et « Productivity and Business Processes » (suite logicielle en ligne Office 365, dont Word, Excel et PowerPoint, réseau social professionnel LinkedIn racheté en 2016, logiciel de gestion d’entreprise Dynamics), qui atteignent respectivement sur l’année 45,6 et 41,1 milliards de dollars avec 8 % et 15 % de hausse.
Bien meilleure, la performance du cloud inclut la plateforme ouverte de développement et d’hébergement GitHub que Microsoft a acquise l’an dernier pour 7,5 milliards de dollars. Ainsi, pour la première fois de l’histoire de la firme de Redmond, Azure a dépassé Windows en termes de revenus au cours du quatrième trimestre (avril-juin 2019). Cerise sur le gâteau : le cloud a donné l’impulsion suffisante pour que la capitalisation boursière de Microsoft franchisse en avril et pour la première fois la barre des 1.000 milliards de dollars (1.035 au 29-08-19), coiffant au poteau Amazon (872 millions de dollars) et Google (812 millions de dollars). Avec Satya Nadella, les abonnements en ligne aux logiciels et services ont pris le pas sur la vente classique de licences et de services uniques sur supports physiques.
Même Windows n’échappe pas à cette dématérialisation aux abonnements rentables. D’autant qu’en janvier 2020, le support technique au vieux Windows 7 va cesser. Ce qui devrait provoquer une migration sur Windows 10, voire un basculement vers le bundle appelé « Microsoft 365 » via Internet. « Les besoins, habitudes et attentes modernes de nos clients nous motivent à intégrer Office 365, la plateforme Windows, les appareils, y compris Surface, et les applications tierces dans une expérience Microsoft 365 plus cohérente», explique le groupe dans son dernier rapport annuel. En cinq ans, la valorisation boursière du groupe a presque quadruplée. Azure est pourtant en concurrence frontale avec Amazon Web Services (AWS) de la firme de Jeff Bezos, ainsi qu’avec Google Cloud. Selon le cabinet d’étude Canalys, Amazon détient 32,8 % de parts de marché du cloud, Microsoft 14,6 % et Google 9,9 %. De son côté, Gartner prévoit que le marché mondial des services de cloud va croître de 17,5 % cette année, à 214,3 milliards de dollars.

Le « M » se démarque de GAFA
Sur sa lancée le « M » de GAFAM entend accroître ses investissements pour construire de nouveaux centres de données (data centers). C’est du mois ce qu’a indiqué le 19 juillet dernier la vice-présidente et directrice financière du groupe, Amy Hood. Et contrairement aux GAFA empêtrés dans des affaires ou des scandales liés à l’utilisation des données personnelles des internautes, au point que la question de leur démantèlement est actuellement débattue aux Etats-Unis (lire page suivante), Microsoft se démarque. Les régulateurs américains et européens s’intéressent aux autres Big Tech. @

Charles de Laubier

Données personnelles, RGPD et fichiers pénaux : l’ensemble de loi de 1978 est à réécrire

Publié le par

Quarante ans après sa version initiale, la loi « Informatique et Libertés » de 1978 va subir un lifting historique pour transposer le « Paquet européen » sur la protection des données qui entre en vigueur le 25 mai 2018. Mais il y a un risque d’insécurité juridique et un manque de lisibilité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le projet de loi sur la protection des données personnelles (1) vise à permettre l’application du « paquet européen de protection des données » composé, d’une part, du règlement européen pour la protection des données (RGPD) et d’autre part, de la directive applicable aux fichiers de la sphère pénale, tous deux applicables à compter de mai 2018. En faisant l’analyse du projet de loi, on relève des différences significatives de terminologie entre les deux textes.

Pouvoirs de la Cnil et marges des Etats
Ces différences se retrouvent dans plusieurs articles de la loi
« Informatique et Libertés » du 6 janvier 1978 pourraient donner lieu à des interprétations et des difficultés de compréhension de certaines notions, qui seront sources d’insécurité juridique. A cela s’ajoutent les critiques de la Commission nationale de l’informatique et des libertés (Cnil) et du Conseil d’Etat qui pointent le « manque de lisibilité » du texte (voir encadré page suivante). Le titre Ier du projet de loi, qui traite des dispositions communes au RGPD et à la directive européenne « Fichiers pénaux », définit les missions, les pouvoirs et les modalités de contrôle de la Cnil. On peut ainsi relever que l’Autorité de contrôle pourra « présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 ».
Cette disposition interroge dans la mesure où seul le juge est le garant de l’interprétation du droit applicable aux données à caractère personnel.
La Cnil ne peut se voir ouvrir ce droit. Par ailleurs, à quel titre la Cnil interviendrait-elle dans le cadre d’une procédure civile ou d’une procédure pénale ? Les débats parlementaires auraient dû apporter des réponses sur ce point. Le projet de loi ouvre également la possibilité pour la Cnil de prononcer des sanctions dans un ordre de gradation plus pédagogique et mieux compréhensible par les responsables de traitement des données. Elle pourra, en outre, labelliser les objets connectés. Enfin, le titre Ier du projet de loi reprend le principe de l’interdiction de traitement de données dites
« sensibles » sauf en cas de traitement nécessaires à la recherche publique après autorisation de la Cnil et élargit le champ de ces données : interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne.
S’agissant du titre II du projet de loi « RGPD », on relève que, en cas de divergences de législations entre Etats membres de l’Union européenne (UE) liées aux marges de manœuvre laissées à ces derniers sur plusieurs points, la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Faisant application de ces marges de manœuvres, le projet de loi limite la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d’infractions pénales, protection de l’indépendance de la justice et des procédures judiciaires, objectifs importants d’intérêt public général de l’UE ou d’un Etat membre,…). Le projet de loi prévoit également, afin de renforcer l’obligation de sécurité, que les responsables de traitement seront tenus par une obligation de chiffrement de bout en bout où seules les personnes autorisées à accéder aux données auront la clef de déchiffrement.

Traitements « pénaux » : conditions strictes
Et ce, alors que par ailleurs le Conseil constitutionnel a rendu le 30 mars 2018 une décision où les Sages jugent conforme à la Constitution française l’article 434-15-2 du code pénal qui punit de trois ans de prison et de 270.000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En sus, le projet de loi renforce la protection des données de santé afin qu’elles ne puissent être utilisées pour fixer les prix des assurances ou à des fins de choix thérapeutiques et médicaux et la sélection des risques.
Quant au titre III du projet de loi « RGPD », il concerne plus spécifiquement les dispositions portant transposition de la directive « Fichiers pénaux ». On retiendra dans ce cadre que l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale – prévues par cette directive européenne – sont regroupées aux articles 70-1 à 70-27 (nouveaux) de la loi « Informatique et Libertés » du 6 janvier 1978. Le projet de loi français prévoit que le traitement des données sensibles à des fins pénales n’est possible que s’il répond à des conditions strictement définies : la nécessité absolue d’un traitement de données, l’existence de garanties appropriées pour les droits et libertés de la personne concernée, l’autorisation du traitement par un acte législatif ou réglementaire, la protection des intérêts vitaux d’une personne physique. De plus, le traitement des données sensibles à des fins pénales doit porter sur des données manifestement rendues publiques par la personne concernée (2).

Exactitude des données et profilage interdit
En outre, le projet de loi « RGPD » prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en oeuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles – principe de l’exactitude des données (3). Les interdictions relatives aux décisions individuelles automatisées (4) sont applicables aux traitements de données personnelles en matière pénale – interdiction du profilage, par exemple (5). Il convient également de relever que le gouvernement a retenu des restrictions aux droits des personnes dans le cadre de ces traitements particuliers. Ces restrictions s’appliquent notamment pour éviter de gêner les enquêtes ou procédures judiciaires ou nuire à la prévention ou à la détection d’infractions pénales et à l’exécution de sanctions pénales ; protéger la sécurité publique ou la sécurité nationale ; ou encore garantir les droits et libertés d’autrui (6). Ces restrictions pourront consister à retarder ou limiter la fourniture des informations supplémentaires susceptibles d’être transmises à la personne concernée ou de ne pas les fournir, à limiter en totalité ou en partie le droit d’accès (le responsable du traitement devra consigner les motifs de fait ou de droit fondant da décision et les mettre à disposition de la Cnil) ou à ne pas informer la personne concernée de son refus de rectifier ou d’effacer les données la concernant ou le limiter le traitement. La personne concernée par ces traitements devrait toujours avoir la possibilité d’exercer ses droits par l’intermédiaire de la Cnil. C’est à cette dernière qu’il reviendra d’informer la personne concernée de son droit d’exercer un recours (7).
On notera que l’article 20 du projet de loi est une demande d’habilitation du gouvernement à légiférer par voie d’ordonnance, afin de procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978, en vue notamment de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Cette ordonnance devra être adoptée dans un délai de six mois suivant la promulgation de la loi relative à la protection des données personnelles. Ce texte arrive péniblement et non sans mal en fin de processus législatif, le Sénat et l’Assemblée nationale n’étant pas parvenus à un accord – la commission mixte paritaire a échoué à trouver un consensus (8). Les sénateurs ont maintenu leur projet de loi qu’ils ont voté le 19 avril dernier à l’unanimité. Mais les députés auront le dernier mot le 14 mai prochain. @

Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

ZOOM

Ce qu’en disent la Cnil et le Conseil d’Etat : « Manque de lisibilité »
Si le texte constitue « un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », il soulève plusieurs critiques de la part de la Commission national de l’informatique et des libertés (Cnil), qui, dans son avis du 30 novembre 2017 (9), regrette que certaines « propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».
Plus généralement, l’Autorité de contrôle déplore « le risque important de manque de lisibilité » des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en oeuvre du règlement et de la directive européens, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Cnil appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. Quant au Conseil d’Etat, dans son avis du 7 décembre 2017 (10), i l n’apporte pas de nouveaux éléments par rapport à l’avis de la Cnil. La Haute juridiction souligne cependant que les choix légistiques aboutissent à « un résultat très insatisfaisant en termes de lisibilité du droit positif ». @

La législation française permet-elle de protéger entreprises et médias contre les cyberattaques ?

Publié le par

Le 7 novembre 2017, la Cour de cassation confirmait la condamnation d’un individu pour avoir participé au groupement Anonymous en vue d’une attaque par déni de service. Décision isolée ? Ou les entreprises et les médias ont-elles les moyens juridiques pour lutter contre les cyberattaques ?

Par Corentin Pallot, Hervé Castelnau et Marie-Hélène Tonnellier – Latournerie Wolfrom Avocats

Ces dernières années, les médias ont été les victimes directes ou indirectes de plusieurs cyberattaques. On se souvient notamment, en avril 2015, de l’arrêt de la diffusion de TV5 Monde qui avait, à l’époque, fait grand bruit. Ayant fait face à une
« agression fulgurante, qui a probablement été très bien préparée », le directeur informatique de TV5 Monde s’était en effet trouvé forcé de « tout couper », occasionnant un coût de « dix millions d’euros à la chaîne et le rehaussement du niveau de sécurité confié à la filiale cyber d’Airbus, [engendrant ainsi] une dépense
de 3,5 millions d’euros chaque année ».

DoS/DDoS et droit pénal
Trois mois plus tôt, en janvier 2015, Le Monde annonçait que l’Armée électronique syrienne (SEA) avait tenté de prendre le contrôle du compte Twitter de Lemonde.fr
et avait réussi à s’infiltrer dans son outil de publication, puis essayé de diffuser des articles, en vain. Mais quelques jours plus tard, la SEA réussissait finalement à pirater le compte Twitter du Monde et publiait quelques messages (1). Peu de temps après, Lemonde.fr faisait l’objet d’une attaque par « déni de service » – aussi connue sous l’acronyme DoS pour « Denial of Service ». En 2016, une cyberattaque contre une société chargée de rediriger les flux Internet vers les hébergeurs empêchait l’accès à de prestigieux médias américains comme CNN, le New York Times, le Boston Globe,
le Financial Times ou encore The Guardian.
En mai 2017, le prestataire français Cedexis racheté en février par l’américain Citrix
et chargé d’aiguiller une partie du trafic Internet, était la cible d’une attaque DDoS (Distributed Denial of Service). S’en suivait la perturbation de l’accès à de nombreux sites web, parmi lesquels ceux du Monde, de L’Obs, du Figaro, de France Info, de 20 Minutes ou encore de L’Equipe.
Pourtant, sur le papier, l’arsenal répressif français permettant de lutter contre les infractions informatiques se présente particulièrement étoffé. Certaines atteintes commises sur (ou via) des moyens numériques peuvent bien entendu être réprimées par le droit pénal général (vol pour sanctionner le détournement de données, escroquerie pour condamner le phishing, recel de contrefaçon de logiciels, etc.).
Mais le code pénal prévoit également un nombre conséquent de textes spécifiquement destinés à encadrer l’usage des outils informatiques. Pionnière en la matière, la loi
« Godfrain » du 5 janvier 1988 (2) permet ainsi de lutter contre les « atteintes aux systèmes de traitement automatisé de données » (accès frauduleux à un serveur, modification des informations contenues dans un ordinateur, etc.). Mais il y a beaucoup d’autres exemples de textes répressifs dédiés au numérique, comme les sanctions spécifiques en matière de pédopornographie lorsqu’il y a utilisation d’un réseau de communications électroniques (3), l’infraction constituée par le défaut de mentions légales sur un site Internet (4), l’atteinte au secret des correspondances émises par voie électronique (5), etc. La décision rendue le 7 novembre 2017 par la chambre criminelle de la Cour de cassation pourrait laisser penser que la justice se saisit avec fermeté de ces sujets, en n’hésitant pas à sanctionner des individus qui auraient participé, même indirectement, à des cyberattaques. En l’espèce, un individu avait
mis à disposition des internautes un «WebIRC » (IRC pour Internet Relay Chat, un protocole de communication textuelle sur Internet) sur un serveur dont il était locataire et gestionnaire, afin de leur faciliter l’accès à des sites web de discussion. Cet IRC avait facilité la conduite d’une attaque par déni de service dirigée contre EDF, sur fond de protestations contre le nucléaire. En effet, parmi les sites Internet qu’il référençait, figuraient ceux utilisés par des membres Anonymous, et notamment un site web dédié aux discussions sur les modalités concrètes d’opérations du mouvement « hacktiviste » contre EDF, parmi lesquelles une attaque par déni de service.

Atteinte à un système informatique
L’individu en question ne contestait pas les faits ; il avait même affirmé à l’audience avoir ressenti de la fierté lorsqu’il avait appris que des Anonymous avaient cité son WebIRC comme moyen d’accès au forum de discussion du groupement pour une autre opération contre EDF. Il n’ignorait d’ailleurs pas l’opération qui était mise au point sur
le site web de discussion qu’il hébergeait. Toutefois, l’homme n’avait pas pris part à la cyberattaque ; il affirmait en outre désapprouver les attaques DoS. Il assurait aussi ne pas avoir participé activement à la définition des modalités des actions d’entrave contre EDF et ne pas nécessairement les approuver, n’étant personnellement pas opposé au nucléaire. Pour reprendre les termes de la Cour de cassation, cette personne se présentait avant tout comme « un acteur de mise en relation [n’ayant] agi que dans
le but de favoriser un usage flexible et libre d’Internet [et ne maîtrisant pas] l’utilisation [des sites web accessibles via son serveur] par les internautes qui ne faisaient que passer par son serveur pour échanger entre eux ». Confirmant la position de la cour d’appel de Paris, la Cour de cassation a considéré que ces éléments étaient suffisants pour sanctionner l’individu sur le fondement de la « participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d’une ou de plusieurs des infractions » d’atteinte à un système de traitement automatisé de données (6), validant ainsi sa condamnation à une peine de deux mois d’emprisonnement assortis d’un sursis avec mise à l’épreuve.

Finalement, de rares condamnations
Le champ d’application de cette infraction, qui se trouve être une transposition dans la sphère numérique de l’ancienne « association de malfaiteurs », a été ici sensiblement étendu par les magistrats. En effet, la jurisprudence et la doctrine considéraient jusqu’alors qu’il était nécessaire que le groupement ou l’entente ait été constitué en vue de la préparation d’une atteinte à un système de traitement automatisé de données ou, à tout le moins, qu’il ait « à un moment donné eu pour but de préparer la commission » (7). Ce qui n’était pas tout à fait le cas ici. Faut-il y voir une forme de sévérité de l’appareil judiciaire à l’égard des hackers ? Peut-être, certes, sur le plan de l’interprétation de la loi. Pour autant, les poursuites et les condamnations reposant sur ces outils répressifs se révèlent en en réalité particulièrement rares.
Dans un rapport interministériel (8), datant certes de 2014 (mais l’on peut sérieusement douter d’une véritable amélioration), on apprenait ainsi qu’entre 2008 et 2012, seules environ 2.000 infractions par an étaient prononcées sur des fondements de droit pénal spécial du numérique (entendu au sens large, incluant par exemple des infractions au droit de la presse, des atteintes aux données personnelles, de la captation frauduleuse de programmes télédiffusés, des atteintes à la propriété intellectuelle, …). Et en regardant en détail ces statistiques, on s’aperçoit que certaines pratiques réprimées par le code pénal sont particulièrement peu sanctionnées. Ainsi, sur l’année 2012, seules 182 condamnations pour des atteintes à des systèmes de traitement automatisé de données – les attaques les plus fréquentes et les plus perturbantes pour les médias – étaient prononcées. Lorsque l’on sait qu’une étude de PwC estime à 4.165 le nombre de cyberattaques « détectées » en France en 2016, pour un montant moyen de pertes financières estimé dans chaque cas à 1,5 million d’euros (9), on ne peut que s’étonner et regretter que l’Etat ne se soit pas encore doté de véritables moyens techniques, financiers et surtout humains pour lutter opérationnellement contre ces pratiques qui entravent l’économie. A quoi sert en effet de disposer d’un arsenal répressif aussi puissant s’il n’y pas assez de soldats formés pour en faire usage ? Il paraît difficilement acceptable que les entreprises soient, à ce jour, livrées à elles-mêmes et à des solutions techniques coûteuses : selon un rapport d’Accenture de 2017, les coûts induits par la cybercriminalité auraient augmenté de 62 % en cinq ans (10) pour les entreprises, sans qu’elles puissent compter sur un véritable soutien de l’Etat. D’autant que – en plus des conséquences financières qui pèsent nécessairement sur l’économie – d’autres intérêts fondamentaux sont en jeu comme le respect de la liberté d’expression, clairement mis à mal quand les médias sont la cible de cyberattaques. Finalement, plutôt qu’un arsenal répressif objectivement difficile, voire irréaliste, à mettre en oeuvre a posteriori (difficultés techniques de l’expertise, problématiques d’extranéités inhérentes à Internet, etc.), ne devrait-on pas envisager des solutions plus réalistes et efficaces qui conjugueraient intelligemment droit et technique ?
En ce sens, voilà quelques semaines, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), faisait le constat suivant : « dans le cas d’une attaque massive de déni de service distribué […] les opérateurs sont les seuls
à pouvoir agir » (11). Quelques jours plus tard était présenté le projet de loi de programmation militaire (LPM) pour les années 2019 à 2025, avec des mesures qui visent à détecter les attaques massives au niveau des réseaux – et donc avant qu’elles ne puissent atteindre leurs cibles. Notamment, la mesure phare consiste à autoriser
les opérateurs télécoms à mettre en place des marqueurs techniques de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. LMP 2019-2025 : le rôle des « telcos » Si ce texte « LMP 2019-2025 » passe le filtre du Parlement (12), où il commencera à être débattu à l’Assemblée nationale à partir du 20 mars 2018, l’ANSSI pourra également imposer aux opérateurs télécoms d’avoir recours à ses propres marqueurs lorsqu’elle aura eu connaissance d’une menace. De plus, ces « telcos » seront tenus d’informer l’ANSSI des vulnérabilités
des attaques qu’ils auront détectées, et elle pourra même aller jusqu’à imposer aux opérateurs de réseaux et/ou aux fournisseurs d’accès à Internet (FAI) d’alerter leurs abonnés de la vulnérabilité ou de l’atteinte de leurs systèmes d’information. @