Archives par mot-clé : Cybercriminalité

La 9ᵉ édition de « Cyberdroit. Le droit à l’épreuve du numérique » (chez Lefebvre Dalloz) s’impose

Publié le par

Sous la direction de Christiane Féral-Schuhl, avocate fondatrice du cabinet Féral, un collectif d’auteurs avocats – dont Anne-Marie Pecoraro, cabinet Fidal – et de magistrats publie chez Lefebvre Dalloz la 9e édition de l’ouvrage de référence « Cyberdroit. Le droit à l’épreuve du numérique ».

Par Christiane Féral-Schuhl, avocate fondatrice du cabinet Féral

« Cyberdroit », c’est une histoire qui commence en 1998, au moment où les premières affaires liées à l’Internet se heurtaient à un « vide » juridique. Dans un premier temps, mon objectif pour cet ouvrage se limitait à rassembler la matière pour tenter de répondre aux multiples questions émergentes. Plébiscité par les journalistes dès sa parution, « Cyberdroit » a reçu le prix Fnac/Arthur Andersen du Livre d’Entreprise pour l’année 2001 dans la catégorie « Gestion/Droit/Finance », et s’est retrouvé en tête de gondole. Ce fut un grand moment de fierté.

Christiane Féral-Schuhl a été présidente du Conseil national des barreaux (CNB) de 2018 à 2020, et auparavant bâtonnier du Barreau de Paris en 2012 et 2013.

L’audiovisuel et l’IA font leur entrée
Jusqu’en 2025, j’étais l’unique auteure de « Cyberdroit » – dont le titre complet était encore « Cyberdroit. Le droit à l’épreuve de l’Internet ». Je l’ai mis à jour au fil des évolutions normatives et jurisprudentielles. Mais à partir de cette 9e édition 2026-2027, cet ouvrage de référence devient collectif, co-écrit sous ma direction par des avocats et des magistrats : Philippe Bazin, Muriel Goldberg Darmon, Guillaume Guérin, Xavier Leonetti, Bathscheba Macé, Jean-François Mary, Nicolas Pottier, Myriam Quéméner, Sophie Soubelet-Caroit, Richard Willemant et Anne-Marie Pecoraro. Son titre devient « Cyberdroit. Le droit à l’épreuve du numérique ». C’est avec émotion que je tourne aujourd’hui cette nouvelle page de « Cyberdroit », en passant la main à une équipe solide et motivée de contributeurs. Il leur appartient désormais de poursuivre cette œuvre pour que cet ouvrage reste et demeure une belle référence chez Lefebvre Dalloz.
C’est en 2006 que « Cyberdroit » a été une première fois entièrement restructuré et refondu, sous l’impulsion et avec l’aide de Hani Féghali, alors directeur éditorial chargé des ouvrages professionnels chez Lefebvre Dalloz. Dans une approche transversale, cette 4e édition avait appréhendé le sujet de l’Internet par thèmes classés en sept livres : les données à caractère personnel, le commerce électronique, les droits d’auteur et la propriété intellectuelle, les noms de domaine, la responsabilité des intermédiaires/fournisseurs d’accès et d’hébergement, la publicité et le droit de la concurrence, la sécurité et la cybercriminalité. L’ouvrage a continué à s’enrichir, au fil des mises à jour successives, gagnant significativement en volume, mais sans modification du plan, celui-ci ayant plutôt bien résisté aux évolutions pléthoriques de la réglementation et de la jurisprudence.
En 2025, « Cyberdroit » opère de nouveau une profonde mutation, cette fois sous la direction de Didier Gauthier, qui occupe à son tour les fonctions de directeur éditorial. Comme il m’a bien fallu admettre que l’ampleur des mises à jour ne pouvait plus reposer sur ma seule personne, j’ai pris la décision de convertir « Cyberdroit » en une œuvre collective. C’est donc avec le concours de plusieurs professionnels issus du monde juridique et judiciaire que cette 9e édition a vu le jour. Il aura fallu pour cela une année complète depuis le coup d’envoi de ce projet, rythmée par une réunion mensuelle – la visio a pu rendre cela possible ! – et cadencée par les restitutions des contributions écrites souvent à plusieurs mains. L’ouvrage s’enrichit à cette occasion de deux nouveaux livres : l’audiovisuel en ligne et l’intelligence artificielle (IA).
J’adresse mes remerciements les plus chaleureux aux contributeurs qui ont permis que l’aventure « Cyberdroit » puisse se poursuivre.
Car le numérique lance des défis sans cesse renouvelés à l’ensemble des domaines du droit. Que ce soit le droit des données personnelles, du commerce à distance, de l’audiovisuel ou plus largement de la propriété intellectuelle, du travail ou même pénal, tout s’écrit en fonction de la numérisation croissante des activités sociales et économiques.

9e édition composée de 9 livres
Les données personnelles sont-elles mieux protégées depuis l’implémentation du RGPD ? Quelles sont les règles de transparence et de loyauté applicables au commerce en ligne ? Quelles sont les contraintes spécifiques s’agissant des services financiers ? Comment appréhender la création, notamment audiovisuelle, aujourd’hui massivement diffusée en ligne ? Quelles sont les obligations des entreprises en matière de cybersécurité ? Comment lutter plus efficacement contre la cybercriminalité et le cyberterrorisme ? Comment appréhender les défis de l’IA ?
Le lecteur trouvera dans cette 9e édition les réponses aux nombreuses questions sans cesse renouvelées dès que le droit est mis à l’épreuve du numérique. @

Par Anne-Marie Pecoraro, avocate associée, cabinet Fidal

La vision pionnière de Christiane Féral-Schuhl m’a inspirée pour développer, au sein de son œuvre « Cyberdroit », une approche hybride du droit de la communication et de l’audiovisuel, désormais indissociable du droit du numérique. Depuis les années 1990, le droit du numérique s’est construit en parallèle à l’adaptation permanente du droit de l’audiovisuel et de la communication aux révolutions technologiques successives.

Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des médias et des technologies, responsable chez Fidal du pôle « médias et entertainment ».

Bouleversements profonds de l’audiovisuel
Le passage du linéaire au non-linéaire a marqué cette transformation, suivi par l’explosion des plateformes de vidéo à la demande par abonnement, sans publicités (SVOD) ou avec (AVOD), l’essor des réseaux sociaux devenus de véritables vecteurs de diffusion et de monétisation des contenus, la convergence accélérée entre médias traditionnels et numériques, et plus récemment l’émergence de formats hybrides : contenus courts sur TikTok, YouTube Shorts ou Reels (Instagram et Facebook), chaînes en streaming avec publicités (FAST), expériences immersives en réalité augmentée ou virtuelle, live shopping intégré aux plateformes, hybridation entre fiction, documentaire et réalité augmentée, essor des personnalités de la télévision et médias traditionnels sur les réseaux sociaux, et exposition des créateurs de contenus à la télévision.
Dans cette période de mutations intenses et de bouleversements réglementaires majeurs – règlements sur les services numériques (DSA), sur les marchés numériques (DMA), sur l’intelligence artificielle (AI Act), révision de la chronologie des médias pour la période 2025-2028, renforcement des droits, obligations accrues de transparence algorithmique et de reporting des plateformes, lutte renforcée contre la contrefaçon en ligne et les contenus illicites –, j’ai réaffirmé mon engagement à défendre une conception du droit qui soit à la fois protectrice des créateurs, des artistes-interprètes, des auteurs et des ayants droit, et vecteur concret de développement économique pour l’ensemble des industries culturelles et créatives.
La méthodologie retenue pour ce « livre 4 » (sur les 9 de « Cyberdroit ») repose sur plusieurs piliers articulés :
Une cartographie hiérarchisée des sources normatives. Le texte présente de manière approfondie les fondements du droit applicable. Au niveau national : la loi du 30 septembre 1986 modifiée sur la liberté de communication, les dispositions du code de la propriété intellectuelle relatives aux droits voisins et à la communication au public, les lois « Toubon » (langue française) et « Evin » (publicités interdites), ainsi que les textes spécifiques au cinéma et à l’audiovisuel. Au niveau européen : la directive centrale révisée dite « SMA » (services de médias audiovisuels), les règlements DSA et DMA, et les initiatives sur la liberté et le pluralisme des médias (ainsi que les normes internationales).
L’Arcom au centre de la régulation hybride. Sont détaillés son rôle élargi et désormais stratégique au titre du DSA (gestion opérationnelle des signaleurs de confiance), dans la lutte active contre la contrefaçon audiovisuelle et la diffusion illicite de contenus (retrait rapide des contenus illicites), et ses contributions évidemment déterminantes dans la construction du droit de la communication. L’Arcom incarne aujourd’hui la fusion qui s’épanouit entre la régulation audiovisuelle traditionnelle et la gouvernance des espaces numériques, au premier rang desquels le gigantisme des nouveaux acteurs comme les GAFAM, l’échelon européen ayant l’ambition de se mettre en mesure d’y faire face.
Les rapports économiques comme clé de lecture indispensable. Le droit de la communication et de l’audiovisuel ne peut être appréhendé sans une compréhension de ses déterminants économiques – et réciproquement, ces derniers façonnent en retour l’évolution du droit. Nous approfondissons les notions structurantes qui régissent les relations de production, de diffusion et de financement : définition précise et rôle pivot de la production indépendante, chronologie des médias, obligations d’investissement dans la création et le pluralisme inscrites dans les cahiers des charges, encadrement strict de la concentration médiatique et impact persistant du droit de la concurrence sur l’ensemble de la chaîne de valeur, depuis les accords de distribution exclusive jusqu’aux financements, aux partenariats stratégiques entre groupes médias et plateformes numériques, et aux opérations de consolidation sectorielle.
Un décryptage pratique des catégories d’œuvres et des nouveaux formats. Face à la prolifération et à l’hybridation accélérée des formes audiovisuelles, le chapitre propose une grille de lecture claire et opérationnelle. Il permet aux professionnels et aux juristes de qualifier précisément chaque œuvre ou contenu, d’identifier le régime juridique applicable (droits voisins des artistes-interprètes et des producteurs, chronologie des médias, quotas d’œuvres européennes, obligations d’investissement dans la création, droits de communication au public, etc.), et d’anticiper les enjeux réglementaires et contractuels spécifiques à chaque format.

Avec un « clausier » comme outil de travail
Un clausier opérationnel et commenté. Est en outre proposé un ensemble riche de clauses types et de modèles commentés : clauses de cession et de licence de droits patrimoniaux et moraux, garanties de moralité et d’originalité, clauses spécifiques de synchronisation musicale, obligations de transparence et de reporting financier et algorithmique, clauses de reporting des recettes et des investissements, mécanismes d’indexation et de rémunération proportionnelle. Ce « clausier » constitue un véritable outil de travail. @

Les signaleurs de confiance veulent des moyens financiers pour agir contre les contenus illicites

Publié le par

Ils sont déjà huit à être agréés par l’Arcom, dans le cadre du règlement européen sur les services numériques (DSA). Ce sont les « signaleurs de confiance ». Sur les suggestions du régulateur, le gouvernement veut les aider financièrement pour mieux lutter contre les « contenus illégaux ».

En un an, depuis la première désignation d’un signaleur de confiance le 6 novembre 2024 (1), l’Arcom en a désignés huit. Ces « signaleurs de confiance » – ou Trusted Flaggers, selon la terminologie anglaise du DSA (Digital Services Act) – sont, selon l’Arcom (2), « des organisations reconnues pour leur expertise dans la détection, l’identification et la notification de contenus illicites », que la plateforme en ligne a l’obligation – « si elle partage l’analyse du signaleur de confiance » – de retirer ou d’en bloquer l’accès, dès lors que ces contenus illégaux lui ont été signalés.

Ligue des droits de l’homme, signaleuse de fait
« Dans l’architecture du règlement européen sur les services numériques, il y a les régulateurs coordinateurs que nous sommes [l’Arcom en France, ndlr (3)]. Mais pour que leur action auprès des plateformes numériques puisse prendre toute leur ampleur, il faut qu’il y ait des acteurs administratifs mais aussi beaucoup de la société civile – associatifs ou chercheurs (4) – qui soient agréés, labellisés. Parmi eux, les “signaleurs de confiance” signalent aux plateformes les contenus qui posent problème », a expliqué le président de l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom), Martin Ajdari (photo), devant l’Association des journalistes médias (AJM), le 16 octobre 2025.
Ces huit signaleurs de confiance agréés en France sont : (suite) e-Enfance (protection des mineurs), Alpa (prévention et lutte contre la piraterie audiovisuelle), Ifaw (préservation des espèces sauvages et lutte contre la cybercriminalité liée à ces espèces), Indecosa-CGT (information et défense des consommateurs salariés), Point de contact (contre les cyberviolences et protection des victimes dans l’espace numérique), Addictions France (prévention, formation, soin et réduction des risques des addictions et leurs conséquences), le Crif (contre l’antisémitisme et le racisme), et la Licra (contre le racisme et l’antisémitisme).
Parmi les candidats au statut de signaleur de confiance, dans le respect de l’Etat de droit, certains sont refusés comme La Team Moore (5). D’autres sont pressentis comme la Ligue des droits de l’homme (LDH), avec laquelle Martin Ajdari a confirmé être en contact. Mais la LDH pointe, comme d’autres organisations concernées, un manque de moyens et de personnel pour remplir cette nouvelle mission. « Des associations nous disent souvent que le problème est leurs moyens limités et consacrés en priorité à leurs membres confrontés à une discrimination ou une atteinte à leur vie de tous les jours », a relevé le président de l’Arcom devant l’AJM. Le régulateur va continuer à en faire part au gouvernement, au moment où le projet de loi de finances 2026 est âprement débattu. « Les signaleurs et les chercheurs doivent pouvoir avoir accès à des financements pour que leurs travaux prennent de l’ampleur », a déclaré Martin Ajdari. La LDH souhaite que le statut de si-gnaleur de confiance soit assorti d’une aide financière. « La LDH a effectivement ce problème de moyens. On espère pouvoir trouver les modalités de leur labellisation lorsqu’ils présenteront leur dossier [de candidature] à ce statut », a indiqué le président de l’Arcom.
La LDH n’a pas attendu d’être agréée pour signaler des contenus en ligne : le 10 février 2025, soit plus de six mois avant que l’affaire « Pormanove » n’éclate avec le décès en direct le 18 août sur la plateforme Kick de ce streamer violenté (6), la LDH avait saisi l’Arcom en dénonçant ce contenu illicite et en appelant le régulateur à ses responsabilités dans le cadre du DSA (7). « Mais au moment où l’on a été saisi par la LDH, un courrier qui est arrivé quelques jours après ma prise de fonction [le 2 février 2025 (8)] et dont je n’ai pas eu connaissance, a précisé Martin Ajdari, la justice était déjà saisie et avait entendu les acteurs placés en garde à vue, avant de les laisser partir sans donner de suite ». Il a cependant estimé que « l’Arcom aurait pu elle aussi, en tant qu’autorité, saisir la justice, ce sur quoi nous allons travailler pour être nous-mêmes au cœur de la veille et de la coopération de l’ensemble des acteurs de la société ».

Aurore Bergé a promis un soutien financier
Encore faut-il que les signaleurs de confiance soient subventionnés par l’Etat. « Cette fonction de signaleur de confiance, qui demande à être en veille, nécessite des moyens humains. C’est en partie ce à quoi la ministre Aurore Bergé a répondu en juillet », a rappelé le président de l’Arcom. La ministre déléguée à la Lutte contre les discriminations avait en effet promis sur France 2, le 9 juillet dernier (9), un soutien financier à une « coalition » de douze associations – dont les signaleurs de confiance Licra et Crif (10) – contre la haine en ligne « pour qu’elles puissent recruter au moins une ou deux personnes dédiées sur cet enjeu-là ». A suivre. @

Charles de Laubier

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

Cyberattaques et rançongiciels : branle-bas de combat dans le monde face à la cybercriminalité

Publié le par

Jamais le péril « cyber » n’a été aussi élevé dans le monde. Les tentions internationales (guerres militaires et guerres commerciales) accroissent le nombre de cyberattaques et de rançongiciels. Le blackout total numérique n’est pas exclu. L’Europe met en place un e-bouclier, mais le risque demeure

L’Agence européenne pour la cybersécurité (Enisa), qui a été créée il y a plus de 20 ans et dont le rôle a été renforcé par le Cybersecurity Act (1) en 2019, ne compte plus les milliards d’euros que coûtent à l’économie en Europe les cyberattaques et la cybercriminalité. De même, en France, l’Agence nationale de la sécurité des systèmes d’information (Anssi), dirigée par Vincent Strubel (photo), ne fait plus état – pas même dans son rapport du 11 mars (2) – des milliards de dommages financiers et des manques à gagner que provoquent cyberpirates, hackers, cyberescrocs et autres hacktivistes.

Sauve qui peut et branle-bas de combat
Le fléau est tel qu’il est devenu impossible de mesurer les pertes subies dans le monde. Potentiellement, personne n’est à l’abris : ni les Etats, ni les administrations publiques, ni les grandes entreprises, ni les PME-TPE, ni les artisans, et ni les particuliers. Face à la vulnérabilité numérique grandissante, l’UE avait adopté le 14 décembre 2022 pas moins de trois directives que la France (3) transpose actuellement dans sa législation nationale via le projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité ». Ce texte « Résilience & Cybersécurité » a été adopté le 12 mars dernier au Sénat (4) et est maintenant entre les mains de l’Assemblée nationale (5). Il y a urgent, le gouvernement ayant même engagé une « procédure accélérée ». Ces trois directives européennes sont :
La directive « Network and Information Security » (6), surnommée NIS2, vise à (suite)

« assurer un niveau élevé de cybersécurité » dans l’UE. Ayant abrogé la directive « NIS1 » de 2016, la « NIS2 » veut non seulement « supprimer les divergences importantes entre les Etats membres », mais aussi met à jour la liste des secteurs et activités soumis à des obligations cybersécuritaires. Ainsi, elle porte à dix-huit – au lieu de six – le nombre de secteurs à protéger en priorité, qu’elle répartit entre les « secteurs hautement critiques » (énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (7) interentreprises, administration publique, et espace), et les « autres secteurs critiques » (services postaux et d’expédition ; gestion des déchets ; fabrication, production et distribution de produits chimiques ; production, transformation et distribution des denrées alimentaires ; fabrication de dispositifs médicaux, de produits informatiques, électroniques et optiques, d’équipements électriques, ou encore de véhicules automobiles ; fournisseurs numériques, dont places de marché en ligne, moteurs de recherche en ligne et réseaux sociaux ; recherche).
La directive « Critical Entities Resilience » (8), surnommée CER ou REC, vise à assurer « la résilience des entités critiques » dans l’UE. Ayant abrogé la directive EPCIP de 2008, la « REC » renforce la résilience des entités critiques dans l’UE. Dans un monde d’infrastructures sensibles, de plus en plus interconnectées et transfrontalières, la « REC » fait en sorte que les risques soient mieux pris en compte et que le rôle et les obligations des entités critiques (la France parle d’« activités d’importance vitale »), en tant que fournisseurs de services essentiels, soient mieux définis et cohérents dans les Vingt-sept. Il s’agit in fine de maintenir « les fonctions sociétales » et « les activités économiques vitales ». La « REC » liste elle aussi des secteurs à cyberprotéger, au nombre de onze (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, eau potable, eaux résiduaires, infrastructures numériques, administration publique, espace, et production, transformation et distribution de denrées alimentaires).
La directive « Digital Operational Resilence Act » (9), surnommée DORA, vise à renforcer la « résilience opérationnelle numérique du secteur financier » au sein de l’UE. Son objectif principal est de garantir que les banques, les assureurs et les gestionnaires d’actifs soient capables de résister, de répondre et de se remettre des cyber-perturbations, ou de pire. La « DORA » est applicable depuis le 17 janvier 2025. La numérisation rend le monde financier vulnérable : paiements, opérations de compensation, règlement d’opérations sur titres, trading électronique et algorithmique, prêts, financement, notation de crédit, gestion de créances, ou encore souscription d’assurance.

Le capitalisme financier est aux abois
Les établissements financiers et de banque-assurance doivent mettre en place des cadres robustes pour identifier, gérer et atténuer les cyber-risques. Les incidents majeurs doivent être signalés rapidement aux autorités compétentes, tandis que des tests réguliers doivent être effectués afin d’évaluer la capacité à gérer des crises numériques. Les relations avec les fournisseurs de services numériques critiques sont encadrées pour minimiser les cyber-risques. @

Charles de Laubier

«DeFi» et «NFT» en Europe : des évolutions réglementaires attendues, sans brider l’innovation

Publié le par

Avec la finance décentralisée (DeFi) et les jetons non fongibles (NFT), l’Union européenne n’a pas fait le tour des crypto-actifs. Le règlement MiCA – applicable depuis peu – devra évoluer pour prendre en compte ces innovations, à la lumière du rapport que prépare la Commission européenne.

Par Marta Lahuerta Escolano, avocate associée, et Diane Richebourg, avocate, Jones Day*

Au lendemain de l’entrée en application du règlement européen sur les marchés de cryptoactifs (MiCA (1)), l’Autorité bancaire européenne (ABE) et l’Autorité européenne des marchés financiers (AEMF) ont publié – en janvier 2025 – un rapport conjoint portant sur les « développements récents en matière de crypto-actifs » (2), contribution qui sera intégrée au rapport plus large que la Commission européenne doit soumettre au Parlement européen et au Conseil de l’Union européenne avant le 31 mars 2025.

Réglementer la DeFi, « phénomène de niche » ?
En effet, le législateur européen a pris soin, dans le MiCA (3), d’identifier pas moins de quatre sujets sur lesquels « la Commission [européenne], après avoir consulté l’ABE et l’AEMF, présente un rapport […] sur les dernières évolutions intervenues en matière de crypto-actifs, en particulier dans des domaines qui ne sont pas abordés dans le présent règlement, accompagné, le cas échéant, d’une proposition législative », à savoir notamment la finance décentralisée (DeFi), les prêts et emprunts de crypto-actifs ou encore les crypto-actifs uniques et non fongibles dits NFT (4). Dans le rapport « ABE-AEMF », seuls les deux premiers sujets sont analysés, laissant les NFT pour des discussions et réflexions ultérieures. Le règlement MiCA, qui marque une première étape importante en matière de (suite)

régulation de crypto-actifs, devrait très vite être complété et accompagné par des évolutions réglementaires au niveau européen, lesquelles sont d’ores et déjà attendues afin de répondre aux différentes évolutions et innovations dans ce secteur. Le premier apport, non négligeable, du rapport ABE-AEMF est que des définitions sont apposées sur différents concepts, définitions qui pourront être celles retenues aux termes d’une future réglementation. La DeFI est ainsi définie comme « un système d’applications financières construit sur des réseaux de type blockchain qui vise à reproduire certaines des fonctions du système financier traditionnel de manière ouverte et sans autorisation, supprimant ainsi les intermédiaires financiers traditionnels et institutions centralisées » (5). Ce rapport souligne ensuite que la DeFi reste un « phénomène de niche » (6), dès lors que seulement 4 % de la valeur totale mondiale du marché des crypto-actifs seraient « bloqués » (sous gestion) dans des protocoles DeFi. Malgré la « marginalité » du secteur de la DeFi, le rapport insiste néanmoins sur les risques principaux que des protocoles DeFi peuvent représenter, identifiant ainsi les enjeux d’une réglementation sur le sujet :
La cybersécurité. Les protocoles restent vulnérables aux cyberattaques notamment en raison de failles potentielles dans le code des smart contracts utilisés, le nombre de cyberattaques de protocoles DeFi et la valeur des cryptoactifs volés ayant évolué en corrélation avec la taille du marché de la DeFi. A cet égard, l’ACPR (7) avait d’ores et déjà considéré qu’il était « souhaitable d’édicter des mesures relatives à la fiabilité des infrastructures blockchain sur lesquelles la DeFi – ou d’autres formes de finance tokenisée – seraient amenées à se développer, d’élaborer des règles – par exemple de certification – adaptées à la nature et au fonctionnement des smart contracts, et de définir des règles de gouvernance et de conduite des opérations permettant d’assurer une protection adéquate des utilisateurs de la DeFi » (8).
La lutte contre le blanchiment d’argent et le financement du terrorisme (LCB-FT). Le rapport relève que les flux sur les bourses décentralisées représentent 10 % des volumes de transactions cryptographiques dans le monde, créant d’importants risques de LCB-FT autour des protocoles DeFi. En effet, l’absence de procédures et de contrôles adéquats des utilisateurs et des flux ne peut qu’accroître le risque en la matière.
Ces risques, qui ne sont pas nouveaux pour l’écosystème financier, pourraient ne pas appeler une réglementation séparée et spécifique à la DeFi.

Superviser sans brider la décentralisation
Les risques de cybersécurité spécifiques à la DeFi pourraient plutôt être encadrés (si ce n’est pas déjà fait pour certains risques) par intégration à une deuxième version du règlement européen sur « la résilience opérationnelle numérique », dit « Dora » (9), applicable depuis le 17 janvier 2025. Quant aux risques de LCB-FT, si tant est qu’ils soient spécifiques, ils pourraient être facilement intégrés et remédiés par l’arsenal de textes applicables en la matière – notamment les directives anti-blanchiment d’argent. L’un des plus grands enjeux pour réguler la DeFi reste sa structure décentralisée puisque, contrairement aux services financiers traditionnels, il n’existe pas de « point central de contrôle ». Le législateur européen devra donc réfléchir à des mécanismes de supervision qui ne brident pas la décentralisation, tout en garantissant un niveau acceptable de sécurité et de conformité. Prêt, emprunt et staking de crypto-actifs Rappelons tout de même qu’une partie des activités et services réalisés de manière décentralisée est d’ores et déjà couvert par le règlement MiCA qui s’applique « aux personnes physiques et morales et à certaines autres entreprises ainsi qu’aux services et activités sur cryptoactifs qu’elles exercent, qu’elles fournissent ou qu’elles contrôlent, directement ou indirectement, y compris lorsqu’une partie de ces activités ou de ces services est réalisée de manière décentralisée » (10).
La future réglementation ne devra donc concerner « que » les services fournis de manière entièrement décentralisée à savoir sans aucun intermédiaire, ou sans émetteur identifiable dans le cadre d’une émission de crypto-actifs de type crypto-monnaies « natives » (11). Précisons en outre que MiCA s’est limité à exclure « le prêt et l’emprunt de crypto-actifs, y compris de jetons de monnaie électronique » (12), renvoyant au droit national applicable le cas échéant. Une fois de plus, les définitions émises dans le rapport ABE-AEMF méritent d’être soulignées pour ces trois notions : de prêt, d’emprunt et de staking de cryptoactifs. Le rapport analyse ensuite les principaux types et caractéristiques typiques des modèles économiques observés sur le marché, sous des formes centralisées et décentralisées. Sans identifier à ce jour de risque systémique sur ces sujets, le rapport présente et évalue les risques spécifiques associés à chacune de ces trois opérations, tels que la protection des investisseurs (notamment du fait de l’effet de levier excessif et des asymétries d’information, voire de l’insuffisance de précisions sur les frais, les taux d’intérêt payés, les rendements, les garanties, etc.), les risques de marché ou opérationnels ou encore l’exposition aux risques de LCB-FT (blanchiment d’argent et financement du terrorisme). Si cela s’avérait opportun, ces services pourraient facilement être intégrés dans une deuxième version de MiCA.
En tout état de cause, le rapport ABE-AEMF souligne que ces services, au sein de l’Union européenne, sont d’ores et déjà proposés par un certain nombre de prestataires de services sur crypto-actifs, eux-mêmes régulés et soumis à des obligations notamment en matière de LCB-FT.
Qu’en est-il des NFT ?
MiCA a expressément exclu de son champ d’application certains crypto-actifs et notamment les « crypto-actifs qui sont uniques et non fongibles avec d’autres crypto-actifs, y compris l’art numérique et les objets de collection numériques » ou encore les « crypto-actifs représentant des services ou des actifs corporels qui sont uniques et non fongibles, tels que les garanties des produits ou les biens immobiliers » (13). Afin d’exclure les jetons non fongibles, le MiCA procède à une définition assez précise des cryptoactifs qui doivent être qualifiés comme tels, en indiquant par exemple que « la seule attribution d’un identifiant unique à un crypto-actif ne suffit pas en soi pour le classer comme unique et non fongible » et que « pour que le crypto-actif soit considéré comme unique et non fongible, il convient que les actifs ou les droits représentés soient également uniques et non fongibles », privilégiant, comme toujours, le fond par rapport à la forme que prendrait le crypto-actif. Il pourrait être opportun d’étendre ou d’ajuster la réglementation pour que ces NFT soient encadrés, notamment afin d’éviter le « vide juridique » qui peut être source d’insécurité et d’incompréhension.
Par ailleurs, l’enjeu de la protection des utilisateurs-consommateurs et de lutte contre les fraudes (faux projets, escroqueries, etc.) reste primordial en cette matière. Intégrer les NFT à une deuxième version de MiCA pourrait permettre de mettre en place des procédures de vérifications des créateurs de NFT, offrant de meilleures garanties sur l’authenticité de ces derniers. Par ailleurs, une clarification des droits de propriété spécifiques aux NFT serait la bienvenue dès lors que persiste une certaine confusion entre la possession du NFT en tant qu’objet numérique et les droits de propriété intellectuelle susceptibles d’être rattachés à l’œuvre ou au bien sous-jacent, bien que ce sujet ne soit pas directement lié à MiCA (et ne serait a priori pas traité dans ce cadre). A l’instar de la DeFi, l’équilibre entre réglementation et innovation est subtil, d’autant plus que, par nature, les NFT reposent sur une grande flexibilité créative.

Ne pas freiner l’innovation dans les NFT
Une réglementation trop restrictive pourrait freiner l’innovation, en particulier dans des domaines comme l’art numérique et le divertissement. Une autre difficulté tient à la nature très protéiforme des NFT lesquels couvrent un large éventail d’applications. Une réglementation, par essence générale, pourrait ne pas tenir compte de la diversité des projets et des modèles d’affaires, rendant les règles inapplicables ou inefficaces. En ce sens, une réglementation par le biais des smart contracts utilisés, notamment via leur certification tel que suggéré par l’ACPR, pourrait être une solution adéquate. @

* Les observations et opinions exprimées
dans le présent article sont celles des auteurs
et ne reflètent pas nécessairement les opinions
du cabinet d’avocats dans lequel ils exercent.