Archives de catégorie : Juridique

Cyberattaques et IA fantômes : comment encadrer et gérer les risques qui menacent l’entreprise

Publié le par

L’intelligence artificielle générative est un moteur d’accélération des risques pour les entreprises. La révolution de l’IA peut alors tourner au cauchemar. Mais il n’y a pas de fatalité, pour peu que les dirigeants suivent les règlements, les recommandations et les guides de bonnes pratiques.

Par Antoine Gravereaux, avocat associé*, FTPA Avocats

L’intelligence artificielle générative transforme en profondeur les paradigmes de la cybersécurité. En s’appuyant sur des modèles entraînés à partir de volumes de données considérables, cette technologie offre des applications variées dans la défense contre les menaces ou la gestion des attaques cyber. Mais l’IA générative permet également le développement d’usages malveillants, donnant ainsi naissance à une nouvelle vague de cybermenaces. Dans ce contexte, les entreprises doivent concilier innovation et sécurité, tout en respectant un cadre réglementaire européen en pleine évolution.

Cybermenaces externes et internes
Grâce à ses capacités d’automatisation de traitement de données à grande échelle et d’apprentissage autonome, l’IA générative permet aujourd’hui de concevoir des attaques plus efficaces, ciblées et difficile à détecter. Dans le premier rapport international sur la sécurité de l’intelligence artificielle, intitulé « International AI Safety Report » (1) et publié en janvier 2025, les experts soulignent que les menaces cybernétiques se renforcent du fait que l’IA à usage général est favorisée par une exécution rapide, simultanée et à grande échelle d’opérations, tout en abaissant les coûts et les obstacles techniques. Parmi les pratiques, le phishing (hameçonnage) ne cesse de gagner en crédibilité, l’IA permettant de générer de façon automatique tous types de contenus, tels que des deepfakes (hypertrucages) personnalisés.
Les virus polymorphes sont capables de muter leur signature pour échapper aux détections. Ils ont la capacité de modifier leur empreinte numérique pour (suite)

ne pas être repérés par un antivirus. L’empoisonnement des données vient également altérer les prédictions d’un système d’intelligence artificielle s’appuyant sur le machine learning. Les ransomware (rançongiciels) tiennent également toujours une place importante dans l’univers des menaces, bien qu’en baisse depuis ces quatre dernières années. D’autres types d’attaques peuvent aussi permettre de s’emparer de données confidentielles, de perturber le processus de classification des données, ou d’effectuer une ingénierie inversée du modèle afin de le répliquer. Face à l’essor des cyberattaques amplifiées par l’IA générative, le modèle « Zero Trust » – autrement dit « ne faire aucune confiance, toujours vérifier » – s’impose comme une stratégie incontournable pour les entreprises. Ce cadre de sécurité repose sur une surveillance continue, une authentification renforcée et une segmentation stricte des réseaux. En intégrant des outils pilotés par l’IA, le Zero Trust (2) permet d’automatiser la détection des menaces, de prévenir l’exfiltration de données sensibles et de limiter la propagation des attaques au sein des systèmes. Cette approche proactive devient essentielle pour contrer les risques émergents tels que les malwares (logiciels malveillants) évolutifs ou les deepfakes utilisés dans des campagnes de phishing sophistiquées. En intégrant des outils alimentés par l’intelligence artificielle, les entreprises peuvent automatiser la détection des comportements anormaux et accélérer la réponse aux incidents, renforçant ainsi leur résilience face aux attaques générées par l’IA. Cependant, l’usage de l’IA générative par les développeurs informatiques est susceptible d’accroître le risque de failles de sécurité du logiciel et l’exploitation de vulnérabilités par les cyberattaquants des systèmes d’IA.
Selon le laboratoire d’innovation numérique de la Cnil (Linc), il existe trois grandes familles d’attaques de systèmes d’IA : les attaques par manipulation, qui ont pour objectif de contourner les résultats attendus ou d’induire des actions imprévues pour que le système d’IA effectue des tâches inattendues; les attaques par infection qui visent à compromettre la fiabilité des décisions produites par l’IA en compromettant les données utilisées pour l’entraînement du modèle, notamment par des attaques par empoisonnement via des logiciels malveillants ; les attaques par exfiltration qui ont pour objectif l’appropriation des données des systèmes d’IA, portant ainsi atteinte à la confidentialité des informations de l’entreprise et au respect de la vie privée des personnes concernées (3).

IA générative et système d’information
Ainsi, face à ces risques, les entreprises doivent adopter une approche raisonnée dans la mise en œuvre et le déploiement de systèmes d’IA afin de prévenir les atteintes à la sécurité de leurs systèmes d’informations, lesquels font un usage croissant de l’IA générative. Aussi, les entreprises doivent repenser leurs stratégies de cybersécurité. Dans ce contexte, la vérification continue des identités, le contrôle strict des accès et la segmentation fine des réseaux sont des pratiques de nature à limiter le risque. Il est ainsi stratégique pour toute organisation de sécuriser les actifs numériques selon cette approche « risque » dans un environnement marqué par des menaces toujours plus complexes. Le groupe d’experts de haut niveau sur l’IA – l’« AI HLEG » constitué par la Commission européenne en 2018 (4) – décrit sept principes éthiques destinés à rendre l’IA digne de confiance : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.

Encadrement normatif européen renforcé
Le règlement européen sur l’IA – l’AI Act entré en vigueur depuis le 1er août 2024 (5)  – établit des règles harmonisées pour la mise sur le marché et l’utilisation des systèmes d’IA dans l’Union européenne (UE), en mettant en place notamment une obligation de vigilance à la charge des fournisseurs et des déployeurs de systèmes d’IA, tout particulièrement pour les systèmes d’IA à haut risque. Les entreprises doivent ainsi classifier leurs systèmes d’IA et adapter leurs pratiques selon le niveau de risque. Concrètement, elles doivent procéder à une analyse interne en faisant une cartographie de leurs applications, une évaluation des risques spécifiques liés à l’IA envisagée, et des analyses d’impact. Il est nécessaire de mettre en place des mesures de transparence, particulièrement pour les systèmes d’IA générative utilisés pour générer justement ou manipuler des contenus, et de prévoir des explications sur les décisions fondées sur leur système d’IA à haut risque, du fait de leur impact sur les droits des utilisateurs.
En outre, l’AI Act impose que les systèmes d’IA soient encadrés par un processus de gestion des risques planifié, évolutif et mis à jour régulièrement, de la phase d’entraînement jusqu’à son déploiement. Cela vise à garantir une meilleure anticipation des menaces cyber et réduit les risques notamment via une conception sécurisée par défaut (security by design). Cette logique rejoint les exigences du règlement général sur la protection des données (RGPD), de la directive NIS2 en cours de transposition ou du règlement DORA applicable au secteur financier et de l’assurance (6).
Sur le plan humain, le règlement sur l’IA impose de former et de responsabiliser les personnes impliquées. Les entreprises doivent redoubler de vigilance dans la protection de leurs systèmes afin de lutter efficacement contre la compromission de leurs infrastructures d’hébergement de données ou de leur chaîne d’approvisionnement. Au stade de la prévention du risque, la mise en place d’une procédure destinée à évaluer et suivre la conformité en interne des systèmes d’IA est un enjeux clé pour les entreprises. La mise en place de politiques internes destinées à encadrer l’utilisation de l’IA par les salariés, ou encore le contrôle systématique de toute nouvelle application introduite sur le système d’information de l’entreprise, afin d’éradiquer le « shadow AI » (autrement dit l’IA fantôme), sont des facteurs de diminution des risques. La mise en œuvre concrète des exigences réglementaires implique pour les entreprises de prendre en compte les recommandations produites par les régulateurs, sources d’informations précieuses pour anticiper les risques. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié le 29 avril 2024 un guide de recommandations de sécurité pour les systèmes d’IA générative (7). Ce guide propose une série de mesures pour sécuriser ces systèmes tout au long de leur cycle de vie, depuis l’entraînement jusqu’à la production. On y trouve ainsi des recommandations générales visant à intégrer la sécurité dès la conception et dans toutes les phases du projet de développement d’un système d’IA, mais également en phases d’entraînement, de déploiement et de production. L’Anssi recommande par exemple de prévoir des audits de sécurité – avant déploiement en production ou encore journaliser – de l’ensemble des traitements réalisés au sein du système d’IA. En février 2025, lors du Sommet de l’IA à Paris, l’Anssi a publié le guide intitulé « Développer la confiance dans l’IA à travers une approche par les risques cyber » (8), où elle élabore des bonnes pratiques pour un déploiement sécurisé des systèmes d’IA, donnant ainsi des orientations à destination des développeurs, des fournisseurs et des décideurs. Outre la mise en place d’un processus de veille technologique et réglementaire, elle recommande de procéder à un contrôle strict des chaînes d’approvisionnement en cartographiant les composants logiciels, en vérifiant la fiabilité des fournisseurs, et en protégeant les données d’entraînement contre l’empoisonnement.
En matière de protection des données personnelles, la Cnil exige de décliner les principes du RGPD aux usages de l’IA. Elle a publié le 7 février 2025 plusieurs recommandations pour la mise en place d’un système d’IA (9), en donnant des bonnes pratiques visant notamment à l’information des personnes concernées qui voient leurs données intégrées dans une base de données d’apprentissage. En outre, la Cnil invite les fournisseurs à anonymiser les données d’entraînement ou, à défaut de pouvoir le faire, à s’assurer que le modèle d’IA est anonyme à l’issu de son entraînement.

Adopter une approche security by design
Lors du Forum InCyber, début avril 2025 à Lille, plusieurs bonnes pratiques ont été mises en avant pour encadrer les risques liés à l’intelligence artificielle. Parmi celles-ci, l’importance de la collaboration entre les acteurs publics et privés a été soulignée pour renforcer la résilience numérique. Le forum a également insisté sur la nécessité d’adopter une approche security by design, intégrant des mécanismes de sécurité dès la conception des systèmes d’IA. Enfin, la formation continue des professionnels et la sensibilisation des utilisateurs ont été identifiées comme des leviers essentiels pour prévenir les cybermenaces et garantir une utilisation éthique et sécurisée de l’intelligence artificielle. @

* Antoine Gravereaux est avocat associé chez FTPA Avocats,
au département « Technologies, Data & Cybersécurité ».

« Nintendo c/ DStorage » : la Cour de cassation appelle les hébergeurs à leurs responsabilités

Publié le par

La décision rendue le 26 février 2025 par la Cour de cassation – dans l’affaire opposant Nintendo à DStorage – marque la fin d’une saga judiciaire, qui permet de confirmer les contours du régime de responsabilité des hébergeurs, dans le contexte de l’entrée en vigueur du Digital Services Act (DSA).

Par Olivia Roche et Eva Naudon, avocates associées, Phaos Avocats

Le 26 février dernier, la Cour de cassation a rendu une décision dans le cadre de l’affaire « Nintendo c/ DStorage », mettant en lumière le renforcement des obligations pesant sur les hébergeurs de contenus en ligne. Cet arrêt (1) intervient dans le contexte plus global de l’évolution récente de la législation française et européenne visant à mieux encadrer le rôle des plateformes en ligne dans la lutte contre la diffusion des contenus portant atteinte aux droits d’auteur et aux droits voisins.

Hébergement de copies illicites de jeux vidéo
La société DStorage fournit, depuis 2009, des services d’hébergement et de stockage de données en ligne, notamment à travers le site Internet 1fichier.com, qui est ouvert au public. En 2018, différentes entités du groupe Nintendo ont constaté que des copies illicites de leurs jeux vidéo-phares, tels que « Super Mario Maker » ou « Pokémon Sun », étaient hébergées sur les serveurs de DStorage et mis à disposition du public notamment via ce site web. Les sociétés Nintendo – la maison mère japonaise Nintendo Co Ltd, la société The Pokemon Company, Creatures et Game Freak – ont ainsi entrepris de notifier à la société française DStorage l’existence de ces copies, ainsi que la reproduction servile de différentes de leurs marques. Et cette notification fut faite conformément au formalisme imposé par la loi « Confiance dans l’économie numérique » (LCEN) du 21 juin 2004 (2), dans sa version antérieure à la transposition du Digital Services Act (DSA) de 2022 (3).
En réponse, la société DStorage a invité les sociétés Nintendo à utiliser son outil de retrait dénommé « Takedown tool » ou bien à saisir un juge afin d’obtenir une ordonnance constatant le caractère manifestement illicite des contenus notifiés. Dans un second temps, la société DStorage a également indiqué aux sociétés Nintendo que les contenus violant des droits de propriété intellectuelle n’entreraient pas dans le périmètre des contenus manifestement illicites au sens de la LCEN. Face à l’inaction de la société DStorage, les sociétés Nintendo (suite)
ont engagé une action en responsabilité afin d’obtenir le retrait des contenus. Par un arrêt du 12 avril 2023, la cour d’appel de Paris a fait droit aux demandes des sociétés Nintendo. En n’agissant pas promptement pour retirer ces données, la société DStorage a engagé sa responsabilité en qualité d’hébergeur de contenus. Alors que Nintendo avait valablement suivi la procédure de notification. La cour d’appel a ordonné à la société DStorage de supprimer les contenus litigieux sous astreinte de 1.000 euros par jour, l’astreinte courant sur six mois, et de publier la décision sur son site Internet. Enfin, elle a condamné DStorage à payer à la société Nintendo la somme de 442.750 euros en réparation de son préjudice commercial.
La société DStorage s’est pourvue en cassation en invoquant l’absence de preuve du caractère manifestement illicite des contenus litigieux et que l’injonction de retrait faite par la cour d’appel de Paris reviendrait à imposer une obligation générale de surveillance.
Dans cette affaire, la question tranchée par les juridictions successivement saisies consistait ainsi à déterminer si la société DStorage avait rempli les conditions d’exonération de sa responsabilité, à savoir : la connaissance des contenus illicites résultant de la notification opérée par les sociétés Nintendo, et la diligence dans le retrait des contenus notifiés (4). La LCEN, transposant en droit français la directive européenne « E-commerce » de 2000, prévoit que la responsabilité des hébergeurs de contenus en ligne peut être engagée dès lors qu’ils ont eu connaissance de manière effective de l’existence de contenus manifestement illicites « ou de faits et circonstances faisant apparaître ce caractère », et qu’ils n’ont pas agi promptement pour les retirer ou rendre leur accès impossible (5).

Notification de contenus illicites : formalisme
La LCEN – dans sa version applicable aux faits, soit avant la modification résultant de l’entrée en vigueur du DSA – disposait par ailleurs que « la connaissance des faits litigieux est présumée acquise lorsque la notification est faite conformément à certaines exigences, impliquant notamment une description des faits litigieux et leur localisation précise » (6). Concrètement, le prestataire doit recevoir des éléments permettant à un « opérateur économique diligent » de constater aisément et sans examen juridique approfondi l’existence du caractère manifestement illicite des contenus litigieux. La société DStorage reprochait notamment à la notification effectuée par les sociétés Nintendo de ne pas prouver la titularité des droits d’auteur sur les jeux, ainsi que le caractère contrefaisant des copies diffusées via le site « 1fichier.com », ainsi que de ne pas avoir utilisé leur outil « Takedown tool ». La cour d’appel a confirmé d’une part que les sociétés Nintendo pouvaient se prévaloir des présomptions légales, tant pour la titularité de leurs droits que pour l’originalité des jeux vidéo, en particulier au regard de leur renommée mondiale. Elle rappelle que ces exigences ne sont pas requises par la LCEN, sur la base de laquelle elles engageaient la responsabilité délictuelle de la société DStorage, contrairement à une action en contrefaçon imposant en effet ces démonstrations.

Le DSA n’était pas applicable en 2018
La société DStorage invoquait également le fait que le DSA prévoit que les hébergeurs doivent désormais fournir des outils de notification des contenus illicites, tels que « Takedown tool », permettant d’alléger les obligations mises à la charge des hébergeurs. Néanmoins, comme le rappelle la cour d’appel, ces dispositions n’étaient pas applicables en 2018 et n’étaient donc pas de nature à exonérer la société DStorage de sa responsabilité en raison du non-retrait des contenus litigieux qui lui avaient été notifiés selon les exigences de la LCEN, dans sa version alors applicable. La plus haute juridiction française a rejeté le pourvoi de DStorage et confirmé qu’en l’absence de contestation sur ces points, les demandeurs n’avaient pas à démontrer l’originalité ni la titularité des droits des jeux en cause. Par ailleurs, elle a retenu que les notifications effectuées par les sociétés Nintendo étaient suffisantes au regard des exigences de la LCEN pour permettre d’établir le caractère manifestement illicite des contenus et donc imposer leur prompt retrait par la société DStorage, compte tenu notamment de l’identification précise des contenus et de leur localisation.
La société DStorage considérait que l’injonction de la cour d’appel de retirer les contenus litigieux revenait à lui imposer une obligation générale de surveillance, laquelle est pourtant prohibée par la LCEN (7), et désormais du DSA (8). Néanmoins, la Cour de cassation a également rejeté le pourvoir sur ce fondement. Dans son arrêt, elle rappelle en effet que si les hébergeurs ne sont pas soumis à une obligation générale de surveillance des contenus qu’ils stockent ou transmettent, ni à une obligation générale de rechercher des faits ou circonstances révélant des activités illicites, ils peuvent se voir imposer une activité de surveillance ciblée et temporaire. La mesure ordonnée par la cour d’appel visant des contenus précis et étant limitée à une durée temporaire de six mois, la plus haute juridiction a considéré que le cadre légal de la LCEN et du régime de responsabilité limitée des hébergeurs était respecté. Cette décision s’inscrit dans la continuité de la décision de la chambre commerciale de la Cour de cassation qui, dans une décision de mars 2024, avait rappelé qu’un hébergeur n’est pas susceptible d’être condamné à déployer un dispositif permettant de bloquer l’accès à des contenus illicites de manière illimitée dans le temps et portant sur les éventuels contenus à venir (9).
Bien que le DSA, entrée en vigueur le 17 février 2024, n’ait pas été directement applicable dans cette affaire dont les faits remontent à avant, son influence est perceptible dans les arguments déployés par la société DStorage ou les motifs de la décision de la Cour de cassation. De fait, le DSA vise à renforcer la régulation des grandes plateformes numériques en précisant les obligations de transparence et de diligence imposées en matière de gestion des contenus illicites diffusés grâce à leurs services.
Les hébergeurs sont désormais tenus d’instaurer des systèmes de modération et de notification des contenus illicites. Le DSA prévoit en effet que les fournisseurs de services d’hébergement doivent mettre en place des mécanismes permettant à tout particulier ou toute entité légale de leur signaler la présence de contenus illicites (10), à l’instar de l’outil « Takedown tool » dont se prévalait la société DStorage. Le DSA instaure également des mécanismes pour améliorer le traitement de ces notifications et renforcer leurs obligations à l’égard des injonctions des autorités compétentes, en lien avec des contenus illicites. Le non-respect de ces obligations est susceptible de donner lieu à des amende d’un montant maximum de 6 % du chiffre d’affaires mondial annuel de la grande plateforme numérique concernée.
L’un des enseignements majeurs de l’arrêt du 26 février 2025 réside dans la réaffirmation du principe selon lequel l’hébergeur, pour bénéficier de l’exonération de responsabilité prévue par la LCEN (11), doit agir rapidement et de manière diligente pour retirer les contenus illicites une fois qu’il en a été informé.

Vers des politiques proactives de contrôle
Dans cette décision, la Cour de cassation rappelle que la responsabilité des hébergeurs ne peut être exclue s’ils ne mettent pas en œuvre des moyens raisonnables pour surveiller activement les contenus partagés par leurs utilisateurs. Cette position renforce la nécessité, pour les acteurs du secteur numérique, de mettre en place des mécanismes efficaces de notification et de retrait des contenus illicites. En outre, la plus haute juridiction française incite à la mise en place de politiques proactives de contrôle, d’autant plus dans un contexte où la régulation des plateformes devient de plus en plus stricte. @

Micro-ciblage en Europe : état des lieux, sept ans après le scandale « Cambridge Analytica »

Publié le par

Depuis le scandale « Cambridge Analytica » il y a sept ans, dont Facebook est à l’origine et qui a bouleversé notre perception du numérique, l’Union européenne s’est constituée un arsenal réglementaire unique au monde, encadrant le micro-ciblage et la transparence des publicités politiques.

Par Jade Griffaton, avocate counsel, Milestone Avocats

En 2018, le monde découvrait avec stupeur que Facebook avait permis la collecte illégale de données personnelles de plus de 87 millions d’utilisateurs par la société britannique Cambridge Analytica (1). Ces données, minutieusement exploitées entre 2014 et 2015, avaient servi à influencer les électeurs lors de scrutins majeurs, notamment la présidentielle américaine de 2016 et le référendum sur le Brexit de la même année. Ce scandale retentissant a brutalement mis en lumière les dangers considérables que représente le micro-ciblage politique pour l’intégrité des processus démocratiques.

Techniques de persuasion psychologique
Sept ans après cette affaire aux répercussions mondiales, l’Europe a considérablement renforcé son arsenal juridique concernant l’encadrement des publicités politiques et la protection des citoyens contre ces pratiques particulièrement invasives. Le micro-ciblage constitue une méthode de publicité numérique sophistiquée qui exploite méthodiquement les données personnelles pour identifier avec précision les intérêts, les préoccupations et les vulnérabilités d’individus ou de groupes spécifiques. Cette identification minutieuse poursuit un objectif précis : influencer délibérément leurs comportements et leurs opinions politiques par des messages personnalisés.
Contrairement au profilage publicitaire classique, le microciblage politique présente des caractéristiques particulièrement préoccupantes pour nos démocraties. Il transcende la simple identification des personnes en croisant de multiples sources de données pour en déduire des informations particulièrement sensibles telles que les opinions politiques latentes, les convictions religieuses ou l’orientation sexuelle des individus. Cette technique permet (suite)

également la diffusion simultanée de messages parfaitement contradictoires à différents groupes d’électeurs sans que ceux-ci en aient conscience, créant ainsi des espaces informationnels fragmentés et hermétiques. Les stratégies contemporaines de micro-ciblage s’appuient par ailleurs sur des techniques de persuasion psychologique avancées, adaptées avec une minutie inquiétante à chaque profil d’électeur identifié par les algorithmes. Il a été démontré que, selon son degré de sophistication, le micro-ciblage politique peut engendrer plusieurs effets profondément délétères sur le processus démocratique européen. Il renforce significativement la polarisation politique en enfermant méthodiquement les citoyens dans des bulles informationnelles, lesquelles confortent exclusivement leurs opinions préexistantes et limitent drastiquement leur exposition à des points de vue divergents ou contradictoires. Cette technique influence considérablement le comportement électoral, particulièrement auprès des segments les plus vulnérables comme les indécis ou les primovotants, naturellement plus sensibles à ces formes de persuasion personnalisée. Le micro-ciblage contribue également à dégrader substantiellement la qualité du débat démocratique en fragmentant l’espace public en une multitude de sphères de communication isolées, où les citoyens ne partagent plus un socle commun d’informations nécessaire au dialogue civique. Par ailleurs, il amplifie méthodiquement la diffusion de fausses informations en les adaptant spécifiquement aux biais cognitifs de chaque segment d’électeurs, maximisant ainsi leur impact persuasif sans considération pour la vérité factuelle.
Cette capacité inédite à manipuler l’opinion de manière invisible et personnalisée représente actuellement un risque majeur pour l’intégrité des processus démocratiques européens, d’autant plus inquiétant qu’il opère largement sous le radar des régulations traditionnelles des campagnes électorales. Face à ces défis sans précédent, l’Union européenne (UE) a progressivement développé un cadre réglementaire particulièrement ambitieux combinant plusieurs instruments juridiques complémentaires.
Le RGPD, fondement de la régulation sur la collecte des données (2). Entré en vigueur en 2018, le règlement général sur la protection des données (RGPD) constitue indéniablement la pierre angulaire de la protection contre le micro-ciblage abusif.

Les opinions politiques : données sensibles
Le RGPD impose systématiquement l’obtention d’un consentement libre, spécifique, éclairé et univoque des utilisateurs avant toute collecte et utilisation de leurs données personnelles. Il exige également la limitation stricte de la collecte aux données rigoureusement nécessaires, conformément au principe de minimisation qui vise explicitement à réduire l’empreinte numérique des citoyens européens. Ce règlement accorde aux individus des droits substantiellement renforcés, notamment en matière d’accès complet, de rectification immédiate, d’effacement définitif et d’opposition justifiée au traitement de leurs données. Une protection particulièrement renforcée est accordée aux données catégorisées comme sensibles, parmi lesquelles figurent expressément les opinions politiques des individus. En cas de violation avérée de ces principes fondamentaux, le règlement prévoit des amendes dissuasives pouvant atteindre l’impressionnant montant de quatre pour cent du chiffre d’affaires mondial des organisations contrevenantes.

Des directives et des règlements renforcés
La directive « ePrivacy 1 » (3), et son évolution nécessaire vers « ePrivacy 2 ». Datant de 2002, la directive « ePrivacy 1 » encadre précisément les communications électroniques et les diverses techniques de traçage en ligne. Elle établit une régulation particulièrement stricte de l’utilisation des cookies et autres « mouchards » numériques, exigeant systématiquement un consentement explicite préalable à leur déploiement pour tout suivi publicitaire. La directive renforce considérablement la protection de la confidentialité des communications électroniques, élément essentiel pour prévenir efficacement la collecte non autorisée d’informations susceptibles d’alimenter les algorithmes de micro-ciblage politique. Sa révision actuellement en cours, vers la directive « ePrivacy 2 » (4) vise à renforcer substantiellement ces dispositions face à l’évolution très rapide des technologies de suivi comportemental.
Le Digital Services Act (5) et le Digital Markets Act (6), pour la régulation des plateformes. Adoptés conjointement en 2022, ces règlements complémentaires, DSA et DMA, constituent une avancée particulièrement significative dans la régulation des plateformes numériques dominantes. Ils instaurent des obligations de transparence sans précédent concernant les systèmes algorithmiques de recommandation et les mécanismes publicitaires, permettant aux utilisateurs de comprendre précisément pourquoi et comment certains contenus leur sont spécifiquement présentés. Ces textes novateurs interdisent formellement toute forme de ciblage publicitaire basé sur des données catégorisées comme sensibles, classification dans laquelle s’inscrivent naturellement les opinions politiques des citoyens européens. Des obligations substantiellement renforcées s’appliquent désormais aux très grandes plateformes en ligne, qui doivent impérativement procéder à des audits réguliers et approfondis des risques systémiques liés à leurs services, incluant spécifiquement et explicitement ceux susceptibles d’affecter négativement les processus électoraux et la qualité du débat démocratique européen.
Le règlement « Transparence des publicités politiques » (7), une innovation mondiale. Ce règlement sur « la transparence et le ciblage de la publicité à caractère politique » est une législation pionnière adoptée en 2023 – et applicable à partir du 10 octobre 2025 – vise spécifiquement et exclusivement à encadrer rigoureusement la publicité politique en ligne. Elle instaure une interdiction formelle et sans ambiguïté d’utiliser des techniques de micro-ciblage basées sur des données sensibles dans tout contexte politique ou électoral. Ce règlement impose aux plateformes numériques la création méticuleuse de bibliothèques publiques exhaustives répertoriant l’intégralité des publicités politiques diffusées, assurant ainsi une transparence démocratique sans précédent. Un étiquetage particulièrement clair et visible des publicités politiques devient désormais obligatoire, systématiquement accompagné d’informations détaillées sur l’identité précise du commanditaire et les montants exactement investis dans chaque campagne. Des restrictions significatives et contraignantes sont imposées quant à l’utilisation des données personnelles à des fins de ciblage politique, et une protection spécifiquement renforcée s’applique durant les périodes électorales particulièrement sensibles.
Malgré ces avancées législatives remarquables, plusieurs défis substantiels demeurent, malgré des sanctions exemplaires infligées à plusieurs acteurs majeurs comme Google et Meta. Des pratiques manipulatoires particulièrement sophistiquées, telles que les interfaces délibérément trompeuses comme les « dark patterns » ou les algorithmiques de ciblage complexes, sont régulièrement et systématiquement employés pour obtenir subrepticement un consentement vicié des utilisateurs, qui ne mesurent généralement pas pleinement la portée réelle de leur acceptation apparemment anodine. Autre défi persistant : la circulation internationale des données utilisées pour le microciblage politique. L’invalidation retentissante en 2020 du Privacy Shield (8), cadre qui régulait précédemment les transferts de données entre l’UE et les Etats-Unis, a mis en lumière les risques considérables et sous-estimés associés aux transferts internationaux d’informations personnelles à caractère politique. Le nouveau cadre transatlantique de protection des données, laborieusement adopté en 2023 (9), tente d’apporter une solution juridique viable, mais sa solidité réelle face aux exigences strictes de la jurisprudence européenne reste encore largement à démontrer dans la pratique.

Evolutions technologiques imprévisibles
L’approche réglementaire européenne équilibrée, combinant protection rigoureuse des données personnelles et préservation de l’intégrité démocratique, constitue aujourd’hui une référence mondiale incontestable en la matière. Toutefois, l’évolution technologique rapide et imprévisible – notamment avec les IA génératives – ouvre continuellement de nouvelles possibilités de manipulation politique difficiles à anticiper pour le législateur européen. La sensibilisation des citoyens européens demeure par ailleurs insuffisante, limitant significativement leur capacité à exercer pleinement leurs droits légitimes face aux technologies de persuasion. @

Depuis le rapport du CSPLA sur le métavers face au droit d’auteur, « des travaux » se poursuivent

Publié le par

Si le rapport sur le métavers adopté mi-2024 par le CSPLA n’a pas identifié d’évolutions juridiques « nécessaires et urgentes », il a cependant appelé à des « réflexions ». Selon nos informations, « des travaux » sont en cours à la Direction générale des entreprises (DGE) à Bercy.

Par Véronique Dahan, avocate associée, avocat, Joffe & Associés

Dans la continuité des travaux menés par le Conseil supérieur de la propriété littéraire et artistique (CSPLA) sur d’autres innovations technologiques majeures comme les jetons non fongibles en 2022, la réalité virtuelle ou la réalité augmentée en 2020 ou la « blockchain » en 2018, cette instance consultative chargée de conseiller le ministère de la Culture s’est vue remettre, le 10 juillet 2024, un rapport sur le métavers. L’objectif assigné à leurs auteurs – Jean Martin, avocat et président de la commission sur le métavers (1), et Nicolas Jau, auditeur au Conseil d’Etat et le rapporteur de la mission – était de mener une analyse de l’impact du phénomène du développement du métavers en matière littéraire et artistique.

Le spectre de la création « métaversique »
Le rapport débute par le constat selon lequel le métavers – particulièrement convoité par les géants de la tech au début des années 2020 – est un concept qui se laisse difficilement appréhender. Dans le prolongement de la mission exploratoire gouvernementale de 2022 sur le métavers (2), le rapport le définit, sans prendre trop de risque, comme un service en ligne offrant un espace immersif et persistant où les utilisateurs peuvent interagir en temps réel via des avatars. Il s’agit d’un environnement virtuel permettant de développer une « vie virtuelle », notamment culturelle. Ce concept est souvent perçu comme une extension de l’Internet actuel, intégrant des technologies de réalité virtuelle et augmentée. (suite)

Le rapport de la commission sur le métavers finit alors par constater que cette définition du métavers n’emportait pas par elle-même de conséquences en matière de propriété littéraire et artistique. « Tout est alors affaire d’espèce », ajoute-t-il (3). Le rapport conclut classiquement que les raisonnements appliqués à l’Internet sont applicables au métavers. En tout état de cause, la définition à retenir, selon la commission, est nécessairement neutre. Ceci s’explique par la diversité des options retenues par les opérateurs de métavers, qu’il s’agisse des technologies dites immersives à la réalité étendue (casque VR) ou des technologies liées à la blockchain ou au Web3. Le métavers permet la création d’œuvres diverses, que l’on peut nommer « œuvres métaversiques », destinées à être exploitées dans le métavers. La propriété et la portabilité de ces créations entre différents métavers restent des défis majeurs, le régime de la création étant largement dépendante des choix de l’opérateur du métavers concerné. Le rapport opère une double distinction entre, d’une part, les créations réalisées par les prestataires de services de métavers et celles réalisées par les utilisateurs, et, d’autre part, les œuvres préexistantes et les œuvres créées spécifiquement pour le métavers. Toutefois, cette distinction n’est pas absolue, car les œuvres préexistantes doivent généralement être adaptées pour le métavers.
En outre, le rapport préconise de soumettre le métavers au régime prétorien des œuvres multimédias, œuvres complexes, à l’instar du jeu vidéo. Ses principaux éléments caractéristiques sont ainsi : la réunion d’éléments de genres différents (images fixes ou animées, textes, sons, etc.) ; l’interactivité avec l’utilisateur, c’est-à-dire une navigation non-linéaire à l’intérieur d’un programme dont l’utilisateur opère des choix de parcours ; une identité propre de l’ensemble, qui ne se limite pas à la somme de ses éléments constitutifs. A l’inverse, le rapport du CSPLA écarte logiquement la qualification d’œuvre audiovisuelle définie comme « consistant dans des séquences animées d’images, sonorisées ou non » (4). Pour autant, dans la mesure où il n’est pas exclu d’identifier à l’intérieur du métavers des œuvres non-multimédias, une logique distributive semble prévaloir : chacune de ses composantes est soumise au régime qui lui est applicable en fonction de sa nature juridique. Par exemple, les auteurs de la partie audiovisuelle seront soumis au régime spécial des œuvres audiovisuelles, tandis que les auteurs de la musique se verront appliquer un droit d’auteur spécial dédié.

Contenus générés par les utilisateurs
Le rapport, adoptant une interprétation extensive de la notion d’œuvre, considère que les contenus « métaversiques » – c’est-à-dire les contenus générés par des utilisateurs dans un métavers, qu’ils soient directement créés dans le métavers ou importés – peuvent relever du droit d’auteur et ainsi constituer des œuvres. Conformément à la logique distributive de l’œuvre multimédia, l’utilisateur n’a aucun droit sur le logiciel faisant fonctionner l’environnement du métavers, mais il est titulaire des droits sur l’œuvre graphique et/ou sonore qu’il a produite. Toutefois, le rapport exclut catégoriquement toute cotitularité associant le prestataire de métavers, sauf hypothèse de l’œuvre composite.

Œuvre de collaboration et statut d’avatar
Poussant le raisonnement à l’extrême, le rapport s’interroge sur la possibilité – pour l’instant théorique – de reconnaître aux utilisateurs les plus actifs le statut d’auteur du métavers pris dans son ensemble. Ceci reviendrait à considérer le métavers comme une « œuvre de collaboration » entre le prestataire de métavers et certains utilisateurs. Par exemple, il est possible d’acheter ou de louer des « lands », – parcelles de terrains sur la plateforme The Sandbox (5), sur lesquels les utilisateurs peuvent créer des jeux ou placer des jetons. Les utilisateurs participent ainsi à la modélisation de l’univers de la plateforme.
Quoi qu’il en soit, la difficulté d’assurer la portabilité et l’interopérabilité des créations entre les différents métavers tend à remettre en cause la qualité d’auteur des utilisateurs sur leur « œuvre métaversique » puisque ceux-ci se trouvent fatalement dans une situation de dépendance vis-à-vis des prestataires du métavers.
Enfin, le rapport s’interroge sur la qualification d’atteinte au droit moral, notamment au droit au respect de l’intégrité de l’œuvre : dans les métavers, les utilisateurs peuvent, par exemple, détruire ou altérer des objets virtuels (c’est le cas dans les jeux dits « bac à sable » comme Minecraft). Afin de garantir le respect de ce droit moral, le rapport préconise d’insérer des mentions dans les conditions générales d’utilisation ou, à défaut, de laisser au juge le soin d’apprécier au cas par cas le respect de ce droit.
Concernant cette fois la contrefaçon, le rapport du CSPLA alerte sur le risque d’apparition de « métavers pirates », également appelés « darkverses » (ou « métavers sombres » en français), lesquels sont susceptibles de générer de nouvelles menaces de contrefaçon. Il observe que les droits des « utilisateurs-créateurs » sur les contenus qu’ils génèrent sont souvent négligés par les prestataires de métavers. En particulier, la commission considère que le régime de responsabilité prévu par l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique » du 17 avril 2019, directive dite « Copyright » (6), s’applique aux services en ligne de métavers dès lors qu’il y a un partage de contenus par les utilisateurs. « Les droits voisins ont également vocation à s’appliquer dans le métavers, qu’il s’agisse des prérogatives morales ou patrimoniales », soulignent les auteurs (7). Les opérateurs doivent obtenir ou faire état de leurs « meilleurs efforts » pour obtenir une autorisation des titulaires de droits concernant les actes accomplis par les utilisateurs non-commerciaux. Il leur appartient de respecter les meilleures pratiques en matière d’identification et de blocage des contenus contrefaisants. Ce qui n’est pas forcément chose aisée dans un secteur en rapide et constante évolution. A ce titre, le rapport s’interroge, sans apporter de réponse nette, sur la manière dont la blockchain pourrait être utilisée par les métavers décentralisés – fondée sur une propriété partagée par les utilisateurs – pour respecter l’article 17 dans le cadre de la lutte contre la contrefaçon (8). Le rapport indique que les exceptions au droit d’auteur et aux droits voisins s’appliquent, comme la copie privée (9), « sous réserve que le métavers permette effectivement de séparer l’espace personnel et l’espace public et de réserver l’accès au premier » comme le fait Second Life (10). La commission sur le métavers s’est aussi interrogée sur l’application d’une « licence légale » et d’une « rémunération équitable » (11), mais sans parvenir à un consensus sur cette question (12).
Quant à l’avatar, représentation de l’utilisateur dans l’environnement virtuel, il est un élément central du métavers. Bien que l’avatar puisse être considéré comme une œuvre protégée par le droit d’auteur, son statut juridique est complexe. Les avatars peuvent être des créations originales, mais leur utilisation et leur protection dépendent des conditions générales d’utilisation des plateformes de métavers. La commission du CSPLA explique que « la relation entre l’avatar et l’utilisateur est complexe » car un avatar peut représenter une personne physique ou morale, ou être un « personnage non joueur » (PNJ) sans lien avec un utilisateur réel. Un utilisateur peut disposer de plusieurs avatars, même au sein d’un même métavers. La commission écarte fort logiquement l’idée que l’avatar puisse être reconnu comme auteur des œuvres, car il n’a pas de personnalité propre. Cependant, l’avatar peut constituer un pseudonyme au sens de l’article L. 113-6 du code de la propriété intellectuelle.
Le rapport conclut que, « si les évolutions rapides du secteur doivent être suivies avec attention, la commission [sur le métavers] n’a pas identifié à ce stade d’évolutions nécessaires et urgentes » du cadre juridique existant.

« Réflexions » et « travaux » se poursuivent
Cependant, le CSPLA a demandé à ce que des « réflexions » soient menées : « sur la prise en compte du droit moral dès la conception des services en ligne de métavers » (13), d’une part, et « sur les garanties techniques et juridiques permettant, sans conservation généralisée des données, aux personnes victimes, notamment de contrefaçons, d’en faire constater l’existence et d’en apporter la preuve » (14), d’autre part. Contacté par Edition Multimédi@, Jean-Philippe Mochon, président du CSPLA, nous indique que, d’après le ministère de la Culture, « des travaux étaient en cours à Bercy auprès de la Direction générale des entreprises (DGE) ». @

«DeFi» et «NFT» en Europe : des évolutions réglementaires attendues, sans brider l’innovation

Publié le par

Avec la finance décentralisée (DeFi) et les jetons non fongibles (NFT), l’Union européenne n’a pas fait le tour des crypto-actifs. Le règlement MiCA – applicable depuis peu – devra évoluer pour prendre en compte ces innovations, à la lumière du rapport que prépare la Commission européenne.

Par Marta Lahuerta Escolano, avocate associée, et Diane Richebourg, avocate, Jones Day*

Au lendemain de l’entrée en application du règlement européen sur les marchés de cryptoactifs (MiCA (1)), l’Autorité bancaire européenne (ABE) et l’Autorité européenne des marchés financiers (AEMF) ont publié – en janvier 2025 – un rapport conjoint portant sur les « développements récents en matière de crypto-actifs » (2), contribution qui sera intégrée au rapport plus large que la Commission européenne doit soumettre au Parlement européen et au Conseil de l’Union européenne avant le 31 mars 2025.

Réglementer la DeFi, « phénomène de niche » ?
En effet, le législateur européen a pris soin, dans le MiCA (3), d’identifier pas moins de quatre sujets sur lesquels « la Commission [européenne], après avoir consulté l’ABE et l’AEMF, présente un rapport […] sur les dernières évolutions intervenues en matière de crypto-actifs, en particulier dans des domaines qui ne sont pas abordés dans le présent règlement, accompagné, le cas échéant, d’une proposition législative », à savoir notamment la finance décentralisée (DeFi), les prêts et emprunts de crypto-actifs ou encore les crypto-actifs uniques et non fongibles dits NFT (4). Dans le rapport « ABE-AEMF », seuls les deux premiers sujets sont analysés, laissant les NFT pour des discussions et réflexions ultérieures. Le règlement MiCA, qui marque une première étape importante en matière de (suite)

régulation de crypto-actifs, devrait très vite être complété et accompagné par des évolutions réglementaires au niveau européen, lesquelles sont d’ores et déjà attendues afin de répondre aux différentes évolutions et innovations dans ce secteur. Le premier apport, non négligeable, du rapport ABE-AEMF est que des définitions sont apposées sur différents concepts, définitions qui pourront être celles retenues aux termes d’une future réglementation. La DeFI est ainsi définie comme « un système d’applications financières construit sur des réseaux de type blockchain qui vise à reproduire certaines des fonctions du système financier traditionnel de manière ouverte et sans autorisation, supprimant ainsi les intermédiaires financiers traditionnels et institutions centralisées » (5). Ce rapport souligne ensuite que la DeFi reste un « phénomène de niche » (6), dès lors que seulement 4 % de la valeur totale mondiale du marché des crypto-actifs seraient « bloqués » (sous gestion) dans des protocoles DeFi. Malgré la « marginalité » du secteur de la DeFi, le rapport insiste néanmoins sur les risques principaux que des protocoles DeFi peuvent représenter, identifiant ainsi les enjeux d’une réglementation sur le sujet :
La cybersécurité. Les protocoles restent vulnérables aux cyberattaques notamment en raison de failles potentielles dans le code des smart contracts utilisés, le nombre de cyberattaques de protocoles DeFi et la valeur des cryptoactifs volés ayant évolué en corrélation avec la taille du marché de la DeFi. A cet égard, l’ACPR (7) avait d’ores et déjà considéré qu’il était « souhaitable d’édicter des mesures relatives à la fiabilité des infrastructures blockchain sur lesquelles la DeFi – ou d’autres formes de finance tokenisée – seraient amenées à se développer, d’élaborer des règles – par exemple de certification – adaptées à la nature et au fonctionnement des smart contracts, et de définir des règles de gouvernance et de conduite des opérations permettant d’assurer une protection adéquate des utilisateurs de la DeFi » (8).
La lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT). Le rapport relève que les flux sur les bourses décentralisées représentent 10 % des volumes de transactions cryptographiques dans le monde, créant d’importants risques de LCB-FT autour des protocoles DeFi. En effet, l’absence de procédures et de contrôles adéquats des utilisateurs et des flux ne peut qu’accroître le risque en la matière.
Ces risques, qui ne sont pas nouveaux pour l’écosystème financier, pourraient ne pas appeler une réglementation séparée et spécifique à la DeFi.

Superviser sans brider la décentralisation
Les risques de cybersécurité spécifiques à la DeFi pourraient plutôt être encadrés (si ce n’est pas déjà fait pour certains risques) par intégration à une deuxième version du règlement européen sur « la résilience opérationnelle numérique », dit « Dora » (9), applicable depuis le 17 janvier 2025. Quant aux risques de LCB-FT, si tant est qu’ils soient spécifiques, ils pourraient être facilement intégrés et remédiés par l’arsenal de textes applicables en la matière – notamment les directives anti-blanchiment d’argent. L’un des plus grands enjeux pour réguler la DeFi reste sa structure décentralisée puisque, contrairement aux services financiers traditionnels, il n’existe pas de « point central de contrôle ». Le législateur européen devra donc réfléchir à des mécanismes de supervision qui ne brident pas la décentralisation, tout en garantissant un niveau acceptable de sécurité et de conformité. Prêt, emprunt et staking de crypto-actifs Rappelons tout de même qu’une partie des activités et services réalisés de manière décentralisée est d’ores et déjà couvert par le règlement MiCA qui s’applique « aux personnes physiques et morales et à certaines autres entreprises ainsi qu’aux services et activités sur cryptoactifs qu’elles exercent, qu’elles fournissent ou qu’elles contrôlent, directement ou indirectement, y compris lorsqu’une partie de ces activités ou de ces services est réalisée de manière décentralisée » (10).
La future réglementation ne devra donc concerner « que » les services fournis de manière entièrement décentralisée à savoir sans aucun intermédiaire, ou sans émetteur identifiable dans le cadre d’une émission de crypto-actifs de type crypto-monnaies « natives » (11). Précisons en outre que MiCA s’est limité à exclure « le prêt et l’emprunt de crypto-actifs, y compris de jetons de monnaie électronique » (12), renvoyant au droit national applicable le cas échéant. Une fois de plus, les définitions émises dans le rapport ABE-AEMF méritent d’être soulignées pour ces trois notions : de prêt, d’emprunt et de staking de cryptoactifs. Le rapport analyse ensuite les principaux types et caractéristiques typiques des modèles économiques observés sur le marché, sous des formes centralisées et décentralisées. Sans identifier à ce jour de risque systémique sur ces sujets, le rapport présente et évalue les risques spécifiques associés à chacune de ces trois opérations, tels que la protection des investisseurs (notamment du fait de l’effet de levier excessif et des asymétries d’information, voire de l’insuffisance de précisions sur les frais, les taux d’intérêt payés, les rendements, les garanties, etc.), les risques de marché ou opérationnels ou encore l’exposition aux risques de LCB-FT (blanchiment d’argent et financement du terrorisme). Si cela s’avérait opportun, ces services pourraient facilement être intégrés dans une deuxième version de MiCA.
En tout état de cause, le rapport ABE-AEMF souligne que ces services, au sein de l’Union européenne, sont d’ores et déjà proposés par un certain nombre de prestataires de services sur crypto-actifs, eux-mêmes régulés et soumis à des obligations notamment en matière de LCB-FT.
Qu’en est-il des NFT ?
MiCA a expressément exclu de son champ d’application certains crypto-actifs et notamment les « crypto-actifs qui sont uniques et non fongibles avec d’autres crypto-actifs, y compris l’art numérique et les objets de collection numériques » ou encore les « crypto-actifs représentant des services ou des actifs corporels qui sont uniques et non fongibles, tels que les garanties des produits ou les biens immobiliers » (13). Afin d’exclure les jetons non fongibles, le MiCA procède à une définition assez précise des cryptoactifs qui doivent être qualifiés comme tels, en indiquant par exemple que « la seule attribution d’un identifiant unique à un crypto-actif ne suffit pas en soi pour le classer comme unique et non fongible » et que « pour que le crypto-actif soit considéré comme unique et non fongible, il convient que les actifs ou les droits représentés soient également uniques et non fongibles », privilégiant, comme toujours, le fond par rapport à la forme que prendrait le crypto-actif. Il pourrait être opportun d’étendre ou d’ajuster la réglementation pour que ces NFT soient encadrés, notamment afin d’éviter le « vide juridique » qui peut être source d’insécurité et d’incompréhension.
Par ailleurs, l’enjeu de la protection des utilisateurs-consommateurs et de lutte contre les fraudes (faux projets, escroqueries, etc.) reste primordial en cette matière. Intégrer les NFT à une deuxième version de MiCA pourrait permettre de mettre en place des procédures de vérifications des créateurs de NFT, offrant de meilleures garanties sur l’authenticité de ces derniers. Par ailleurs, une clarification des droits de propriété spécifiques aux NFT serait la bienvenue dès lors que persiste une certaine confusion entre la possession du NFT en tant qu’objet numérique et les droits de propriété intellectuelle susceptibles d’être rattachés à l’œuvre ou au bien sous-jacent, bien que ce sujet ne soit pas directement lié à MiCA (et ne serait a priori pas traité dans ce cadre). A l’instar de la DeFi, l’équilibre entre réglementation et innovation est subtil, d’autant plus que, par nature, les NFT reposent sur une grande flexibilité créative.

Ne pas freiner l’innovation dans les NFT
Une réglementation trop restrictive pourrait freiner l’innovation, en particulier dans des domaines comme l’art numérique et le divertissement. Une autre difficulté tient à la nature très protéiforme des NFT lesquels couvrent un large éventail d’applications. Une réglementation, par essence générale, pourrait ne pas tenir compte de la diversité des projets et des modèles d’affaires, rendant les règles inapplicables ou inefficaces. En ce sens, une réglementation par le biais des smart contracts utilisés, notamment via leur certification tel que suggéré par l’ACPR, pourrait être une solution adéquate. @

* Les observations et opinions exprimées
dans le présent article sont celles des auteurs
et ne reflètent pas nécessairement les opinions
du cabinet d’avocats dans lequel ils exercent.