Archives par mot-clé : Sécurité

AI Act et obligations : ce qui change le 2 août 2025 pour les nouvelles IA à usage général

Publié le par

Le 2 août 2025 marque une étape décisive dans l’application du règlement européen sur l’intelligence artificielle. Les fournisseurs qui mettent sur le marché – à partir de cette date – des modèles d’IA à usage général doivent d’emblée se conformer aux obligations de cet AI Act. Explications.

Seulement certains fournisseurs de systèmes d’IA à usage général – souvent désignés par le sigle GPAI pour General-Purpose AI – ouvrent à partir du 2 août 2025 le bal des obligations prévues par le règlement européen sur l’intelligence artificielle – appelé aussi AI Act (1) et adopté le 13 juin 2024. Car cette échéance-là ne concerne pas toutes les « GPAI », mais uniquement celles mises sur le marché à partir de ce 2 août 2025. Le Bureau de l’IA (AI Office), créé par le AI Act, rattaché à la Commission européenne (2) et dirigé par Lucilla Sioli (photo), joue un rôle central.

Nouveaux entrants GPAI pénalisés ?
Aussi curieux que cela puisse paraître, les ChatGPT (OpenAI), Gemini (Google), Claude (Anthropic), Llama (Meta), Le Chat (Mistral AI) ou encore Perplexity (Perplexity AI) – pour n’en citer que quelques-uns parmi une bonne dizaine d’IA génératives déjà existantes et disponibles dans les Vingt-sept – ne sont pas encore concernés puisque leurs IA génératives respectives à usage général ont été lancées sur le marché avant le 2 août 2025. Pour celles-ci, elles bénéficient d’un délai de deux ans supplémentaires – soit d’ici le 2 août 2027 – pour se conformer aux obligations de l’AI Act.
Ainsi, contrairement aux nouvelles GPAI qui vont faire leur entrée sur le marché européen, les IA « historiques » bénéficient en quelque sorte d’un répit non négligeable. Pendant que les IA « nouvelles entrantes » doivent sans délai se soumettre aux obligations qui peuvent s’avérer lourdes : documentation technique, informations aux intégrateurs, résumé public des données d’entraînement, politique de respect du droit d’auteur, désignation d’un représentant officiel dans l’UE si le fournisseur est situé hors de l’UE, … Edition Multimédi@ se demande dans ces conditions si (suite) les ChatGPT, Gemini et autres Llama ne bénéficient pas d’un avantage compétitif sur les nouveaux entrants. Avec cet « avantage temporaire », d’ici le 2 août 2027 et non dès le 2 août 2025, les anciens GPAI peuvent continuer à opérer légalement sans être immédiatement conformes aux nouvelles exigences. Cela leur évite en outre des coûts immédiats de mise en conformité. Et ils bénéficient d’une position dominante ou d’une base de millions voire de dizaines de millions d’utilisateurs et qu’ils peuvent continuer à exploiter. Dans l’UE, ChatGPT en a plus de 40 millions, Gemini plus de 35 millions, Claude plus de 15 millions, Le Chat plus de 10 millions, ou encore Perplexity plus de 5 millions. Cette différenciation entre les acteurs de l’IA déjà en place et les nouveaux concurrents est-elle justifiée ? La distinction est fondée sur un principe de progressivité souvent utilisé en droit européen pour les technologies émergentes. Cela évite de pénaliser les pionniers qui ont lancé leurs modèles avant la publication du règlement. Cela permet aussi d’assurer la continuité d’usage des technologies en cours d’adoption par les citoyens, entreprises et administrations. Cela encourage enfin les éditeurs historiques à coopérer volontairement avec la Commission européenne, notamment via le code de bonnes pratiques GPAI publié le 10 juillet et déjà signé par OpenAI et Mistral AI – la liste sera publié le 1er août (3) – mais pas par Meta (4).
Ainsi, ce délai supplémentaire de deux ans ne serait pas une faveur, mais plutôt un équilibre entre faisabilité et équité réglementaire. Le véritable enjeu, à moyen terme, sera la vitesse à laquelle les modèles préexistants se mettront en conformité – et leur capacité à rester compétitifs face à de nouveaux entrants « 100 % AI Act-ready ». Car les nouveaux entrants GPAI, même s’ils doivent être immédiatement conformes, peuvent intégrer les obligations dès la conception, ce qui est plus simple que de reconfigurer un système existant. Les GPAI plus anciens s’exposent, eux, à des risques de réputation s’ils ne progressent pas assez vite vers la conformité : certains acheteurs publics ou entreprises européennes pourraient préférer les fournisseurs de GPAI déjà conformes, même nouveaux, pour éviter des risques juridiques.

Qu’est-ce qu’une IA « à usage général » ?
Tout est une question de définition pour faire le distinguo entre les IA qui sont « à usage général » et les IA qui ne le sont pas (5). « La notion de modèles d’IA à usage général devrait être clairement définie et distincte de la notion de systèmes d’IA afin de garantir la sécurité juridique, souligne l’AI Act. La définition devrait se fonder sur les principales caractéristiques fonctionnelles d’un modèle d’IA à usage général, en particulier la généralité et la capacité d’exécuter de manière compétente un large éventail de tâches distinctes. Ces modèles sont généralement entraînés avec de grandes quantités de données, au moyen de diverses méthodes, telles que l’apprentissage auto-supervisé, non supervisé ou par renforcement » (6). Et le règlement européen de préciser : « Les grands modèles d’IA génératifs sont un exemple typique d’un modèle d’IA à usage général, étant donné qu’ils permettent la production flexible de contenus, tels que du texte, de l’audio, des images ou de la vidéo, qui peuvent aisément s’adapter à un large éventail de tâches distinctes » (7). Le code de bonnes pratiques pour l’IA à usage général (General-Purpose AI Code of Practice), élaboré par des experts indépendants dans le cadre d’un processus multipartite, est présenté comme « un outil volontaire ».

Bonnes pratiques et lignes directrices
Ce code est censé aider les acteurs du marché à se conformer aux obligations de l’AI Act pour les modèles d’IA à usage général. Publié le 10 juillet (8) et en cours d’évaluation par l’AI Office, il sera approuvé par les Etats membres et la Commission européenne d’ici fin juillet ou début août. « En outre, le code sera complété par des lignes directrices, qui [devaient être] publiées également en juillet par la Commission européenne, sur les concepts-clés liés aux modèles d’IA à usage général », avait précisé Bruxelles. Le code de bonnes pratiques pour GPAI comporte trois chapitres : transparence, droit d’auteur, sûreté et sécurité :
Transparence. Ce chapitre (9) propose un modèle de formulaire de documentation convivial qui permet aux fournisseurs de documenter facilement les informations nécessaires pour se conformer à l’obligation imposée par l’AI Act aux fournisseurs de modèles, afin de garantir une transparence suffisante.
Droit d’auteur. Ce chapitre (10) sur le droit d’auteur offre aux fournisseurs des solutions pratiques pour satisfaire à l’obligation de la législation sur l’IA de mettre en place une politique de conformité avec la législation de l’UE sur le droit d’auteur. « Les chapitres sur la transparence et le droit d’auteur offrent à tous les fournisseurs de modèles d’IA à usage général un moyen de démontrer le respect de leurs obligations au titre de l’article 53 de la législation sur l’IA », indique la Commission européenne. En clair, ces fournisseurs de modèles d’IA à usage général doivent tenir à jour la documentation technique du modèle GPAI, y compris sur son processus d’entraînement et d’essai, ainsi que les résultats de son évaluation. Cette documentation, devant contenir « au minimum » les informations énoncées à l’annexe XI de l’AI Act (11), doit être à disposition « sur demande » de l’AI Office et des autorités nationales compétentes (par exemple en France, la Cnil, l’Arcom ou encore l’Anssi). Ces mêmes fournisseurs de GPAI doivent aussi tenir à jour, et mettre à disposition, des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA. Ces informations doivent leur permettre d’avoir une bonne compréhension des capacités et des limites du modèle d’IA à usage général et de se conformer aux obligations, tout en contenant « au minimum » les éléments énoncés à l’annexe XII de l’AI Act.
Ces mêmes fournisseurs de GPAI doivent en outre mettent en place une politique visant à se conformer au droit d’auteur et aux droits voisins, et notamment à identifier et à respecter, y compris avec des technologies, une réservation de droits exprimée conformément à la directive « Droit d’auteur et droits voisins dans le marché unique numérique » (12). Enfin ces mêmes fournisseurs de GPAI mettent à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.
Sûreté et sécurité. Ce chapitre (13) sur la sûreté et la sécurité décrit des pratiques concrètes de pointe en matière de gestion des risques systémiques, c’est-à-dire des risques découlant des modèles les plus avancés. Les fournisseurs peuvent s’y référer pour se conformer aux obligations prévues par la législation sur l’IA pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique. « Les chapitres sur la sûreté et la sécurité ne concernent que le petit nombre de fournisseurs des modèles les plus avancés, ceux qui sont soumis aux obligations de la législation sur l’IA pour les fournisseurs de modèles d’IA à usage général présentant un risque systémique en vertu de l’article 55 de la législation sur l’IA », précise la Commission européenne. En clair, les fournisseurs de modèles d’IA à usage général présentant un « risque systémique » – ayant des capacités à fort impact, ou lorsque la quantité cumulée de calcul utilisée pour son entraînement, mesurée en opérations en virgule flottante, est supérieure à 1025 – doivent : effectuer une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique (14) ; évaluer et atténuer les risques systémiques éventuels au niveau de l’UE, y compris leurs origines ; suivre, documenter et communiquer sans retard injustifié au Bureau de l’IA – et, le cas échéant, aux autorités nationales compétentes – les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier ; garantir un niveau approprié de protection en matière de cybersécurité pour le modèle GPAI présentant un risque systémique et l’infrastructure physique du modèle.

Trois types de sanctions en cas d’infraction
En cas de violation des interdictions strictes comme la manipulation cognitive ou le scoring social, le fournisseur de modèle GPAI s’expose à une amende pouvant aller jusqu’à 35 millions d’euros (ou jusqu’à 7 % de son chiffre d’affaires annuel mondial total). En cas de non-respect des obligations générales (transparence, documentation, droit d’auteur, …), 15 millions d’euros (ou jusqu’à 3 % de son chiffre d’affaires). Et en cas d’informations trompeuses ou incomplètes fournies aux autorités : 7,5 millions d’euros (ou jusqu’à 1 % de son chiffre d’affaires). @

Charles de Laubier

16 milliards d’identifiants volés : les infostealers défient le RGPD en ciblant les utilisateurs finaux

Publié le par

Une fuite de données d’ampleur inédite – orchestrée par des infostealers, nouvelle génération de voleurs de données – révèle les failles béantes de nos écosystèmes numériques et interroge l’efficacité du cadre juridique européen face aux nouvelles formes de cybercriminalité. Le RGPD doit évoluer.

Par Emma Hanoun, avocate, cabinet Odoné

L’exposition de 16 milliards d’identifiants de connexion, révélée par l’équipe de recherche de Cybernews en juin 2025, constitue l’une des plus importantes fuites de données personnelles jamais documentées (1). Cette mégafuite, fruit de l’activité proliférante des logiciels malveillants de type infostealer (voleur d’information), questionne l’efficacité du cadre réglementaire européen en matière de protection des données personnelles.

Les fuites à grande échelles se succèdent
Face à la sophistication croissante des cyberattaques et à l’évolution du marché clandestin des données, cette affaire interroge la capacité du règlement général sur la protection des données (RGPD) à garantir une protection effective des citoyens européens, et impose une réflexion approfondie sur la responsabilisation des acteurs du numérique. La fuite révélée par le chercheur en cybersécurité Bob Diachenko (2), et publiée par Cybernews, concerne 16 milliards d’identifiants issus de trente bases de données piratées différentes, rassemblées sur un serveur accessible publiquement. Outre des plateformes majeures comme Apple, Google ou Facebook, les données exposées concernent un large éventail de services – réseaux sociaux, messageries (Telegram), outils de développement (GitHub), environnements cloud, plateformes gouvernementales et outils professionnels – et illustrent la vulnérabilité généralisée de l’écosystème numérique. Cette exposition de données constitue l’une des plus massives jamais documentées et s’inscrit dans une série de fuites à grande échelle, à l’instar de la MOAB (3) de janvier 2024 (un regroupement de plus de 26 milliards d’enregistrements issus de milliers de fuites antérieures, dont ont été victimes Tencent, LinkedIn, Adobe ou encore Weibo), de RockYou2024 (10 milliards de mots de passe, succédant à RockYou2021 et ses 8,4 milliards de mots de passe), ou encore de la fuite chinoise de mars 2024 touchant WeChat et Alipay, appartenant respectivement aux chinois Tencent et Alibaba.
Les infostealers constituent une catégorie spécifique de logiciels malveillants conçus pour (suite) l’exfiltration silencieuse de données, en infectant directement les terminaux des utilisateurs. Une fois installés (généralement via un faux document, une application piégée ou un logiciel piraté), ils aspirent tout ce qui est stocké localement : URL de connexion, identifiants, mots de passe sauvegardés, données de formulaires auto-complétés, cookies de session, tokens d’authentification, données bancaires ou portefeuilles de cryptomonnaie, etc. Contrairement aux ransomwares (en français, rançongiciels) qui paralysent les systèmes, le mode opératoire de ces attaquants repose sur l’ingénierie sociale et l’exploitation de vulnérabilités humaines : diffusion via des logiciels piratés, documents PDF infectés, modifications de jeux vidéo ou applications factices.
La présence de cookies de session et de tokens d’authentification permet aux pirates de contourner les protections habituelles telles que la double authentification. Par exemple, grâce à ces métadonnées volées, un pirate peut se connecter à un compte bancaire, à une messagerie (Gmail, Outlook, …), ou à une plateforme de paiement (de type PayPal) sans avoir à saisir le mot de passe ni à franchir une authentification à deux facteurs. Il se fait passer pour l’utilisateur légitime, car il dispose des « clés » de session actives. Au surplus, la fraîcheur des données qui, contrairement aux compilations historiques recyclant d’anciennes fuites, proviennent d’activités récentes, confère une valeur exploitable immédiate aux cybercriminels. La démocratisation de ces outils sur les forums du dark web, avec l’émergence de plateformes de « Malware-as-a-Service » (MaaS) et de solutions clés en main comme RedLine, Raccoon ou Vidar, a considérablement abaissé les barrières techniques d’entrée pour les cybercriminels, permettant à des acteurs moins techniques de mener des campagnes sophistiquées. Cette accessibilité explique la prolifération exponentielle des attaques et la multiplication des datasets, ou jeux de données, exposés. Cette industrialisation du cybercrime pose des défis inédits aux autorités de régulation et aux forces de l’ordre. La fuite de 16 milliards d’identifiants cristallise plusieurs enjeux juridiques majeurs.

Responsabilité : le défi de la territorialité
D’abord, la question de la territorialité du RGPD face à des attaques globales menées depuis des juridictions échappant au contrôle européen. En effet, si le RGPD établit son champ d’application territorial (4), son effectivité reste conditionnée à la coopération internationale et aux mécanismes d’entraide judiciaire. Ensuite, la problématique de l’attribution de responsabilité lorsque les données sont exfiltrées depuis le terminal personnel de l’utilisateur infecté et non d’une plateforme attaquée. De plus, la chaîne de responsabilité devient complexe à établir, particulièrement lorsque les données sont agrégées par des tiers non identifiés avant leur exposition publique. L’ampleur de cette violation interroge donc l’adéquation des mécanismes de notification prévus par le RGPD (5), conçus pour des incidents plus circonscrits.

Nouvelles attaques et limites du RGPD
L’article 32 du règlement européen impose aux responsables de traitement et aux sous-traitants la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation générale se décline en plusieurs exigences spécifiques : pseudonymisation et chiffrement des données, capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes, capacité de rétablir la disponibilité et l’accès aux données en temps utile en cas d’incident, et procédure de test et d’évaluation régulières de l’efficacité des mesures. Face à la sophistication des infostealers, ces obligations révèlent leurs limites structurelles. Par exemple, le chiffrement des données, bien qu’obligatoire, ne protège pas contre l’exfiltration d’identifiants stockés en local sur les postes utilisateurs. Dans le même sens, la résilience des systèmes devient illusoire lorsque l’attaque cible directement les terminaux des utilisateurs légitimes, en amont de tout système de protection centralisé. Cette inadéquation soulève la question de l’interprétation extensive de l’article « Sécurité du traitement » (6) : les autorités de contrôle pourraient-elles exiger des responsables de traitement qu’ils déploient des mesures de protection sur les terminaux de leurs utilisateurs ?
Le principe de d’accountability consacré par le RGPD (7) impose aux responsables de traitement de démontrer leur conformité aux principes de protection des données. Cette obligation positive implique une démarche proactive de sécurisation. Dans le contexte des infostealers, cette responsabilisation interroge l’étendue des obligations des responsables de traitement : doivent-ils anticiper et prévenir les comportements à risque de leurs utilisateurs en déployant des outils de détection sur les terminaux ? L’obligation de sécurité s’étend-elle à la sensibilisation et à la formation des personnes concernées ? La jurisprudence européenne tend vers une interprétation extensive de ces obligations. L’arrêt « Fashion ID » (8), rendu en juillet 2019 par la Cour de justice de l’Union européenne (CJUE), a établi que la responsabilité peut s’étendre au-delà du contrôle direct des données, ouvrant la voie à une responsabilisation accrue des acteurs numériques face aux risques indirects. L’analyse de cette méga-fuite révèle donc un décalage croissant entre la sophistication des vecteurs d’attaque et l’efficacité des obligations réglementaires. Les infostealers exploitent principalement les vulnérabilités humaines et les faiblesses des terminaux utilisateurs, domaines où l’action des responsables de traitement reste limitée. Le RGPD, conçu dans une logique de protection des données au niveau des serveurs et des systèmes d’information centralisés, peine à appréhender les attaques ciblant directement les utilisateurs finaux. Cette limitation structurelle nécessite une évolution du cadre réglementaire vers une approche plus holistique de la cybersécurité, intégrant la sécurité des terminaux et la sensibilisation des utilisateurs.
L’adoption généralisée de technologies d’authentification avancées devient un impératif face à l’inefficacité démontrée des mots de passe traditionnels. Les passkeys (clés d’accès) émergent comme une solution technologique robuste – adoptés notamment par Apple, Google et Microsoft. Cette technologie est basée sur les standards FIDO2 (Fast Identity Online 2), portés par la FIDO Alliance, et WebAuthn (Web Authentication), standardisé par le W3C (9), pour la génération de paires de clés cryptographiques : une clé privée conservée sur le terminal de l’utilisateur et une clé publique stockée par le service. L’authentification s’effectue par signature cryptographique, sans transmission d’informations sensibles, éliminant les vulnérabilités inhérentes aux mots de passe classiques. En effet, cette architecture rend impossible la réutilisation des identifiants entre services et immunise contre les attaques de phishing (hameçonnage).
Aussi, l’authentification à deux facteurs (2FA) ou multi-facteurs (MFA) – bien qu’imparfaite en présence de cookies de session et de tokens d’authentification dans les données volées, constitue une mesure de sécurité essentielle face aux menaces contemporaines, et sa généralisation est également une réponse technologique prometteuse. L’évolution vers des méthodes d’authentification continue, analysant en permanence le comportement de l’utilisateur (biométrie comportementale, analyse des patterns de navigation), pourrait offrir une protection plus robuste contre ces attaques sophistiquées. L’imposition de standards minimaux d’authentification pour certains services sensibles, sur le modèle de la directive européenne sur les services de paiement de novembre 2015, dite DSP2 (10), constituerait une réponse proportionnée aux risques identifiés.

Renforcer les standards de sécurité
La fuite de 16 milliards d’identifiants révèle les limites du cadre réglementaire actuel face à l’évolution des cyberattaques qui s’en prennent directement aux terminaux des utilisateurs, contrairement à des vols non moins massifs de données personnelles visant un système central – comme ce fut le cas pour 19,2 millions d’abonnés de Free (Iliad) en octobre 2024, dont 5,1 millions de coordonnées bancaires (11). L’enquête et l’instruction suivent leur cours. Si le RGPD a considérablement renforcé la protection des données personnelles, son efficacité reste conditionnée à l’adaptation des pratiques technologiques et organisationnelles aux nouveaux types d’attaques de plus en plus sophistiqués. @

Robots, crawlers, IA, … levée de boucliers en ligne

Publié le par

En fait. Le 18 juin, la société Clipeum a annoncé avoir le premier quotidien régional Ouest-France comme nouveau client de son outil Botscorner qui permet d’identifier robots, crawlers et IA génératives pour les faire payer. Selon nos informations, le CFC n’y fait plus appel, lui préférant Human Security.

En clair. Après avoir annoncé le 23 mai la signature avec Le Monde pour l’utilisation de son outils Botscorner destiné à repérer et à cartographier les robots de crawling (aspirateurs de sites web destinés à exploiter leurs contenus), la société Clipeum – dont le nom veut dire « bouclier » en latin – a annoncé le 18 juin un nouvel accord avec, cette fois, Ouest-France. Ces deux nouveaux clients rejoignent ainsi les nombreux éditeurs de presse en ligne en France – Le Figaro, Le Parisien, L’Equipe, Le Point, Challenges, L’Usine nouvelle, Libération ou encore L’Express – qui ont opté pour ce type de solutions – Botscorner, DataDome, Human Security (ex-White Ops), … – capables d’analyser le trafic entrant et d’identifier les robots (bots) absorbant leurs articles.
Selon les informations de Edition Multimédi@, le Centre français d’exploitation du droit de copie (CFC), qui a lancé en 2018 son « outil de régulation des robots de crawling » (ORRC), ne s’appuie plus sur Botscorner depuis fin 2023 mais sur Human Security, une société newyorkaise. Objectif pour l’éditeur de presse en ligne : analyser les logs des bots et crawlers arrivant sur leurs sites web et proposer des licences d’autorisation rémunératrices aux sociétés qui activent ces robots de crawling.

Ces exploitants de contenus journalistiques se nomment Meltwater – épinglé en 2022 par le CFC avant un accord en février dernier (1) –, Press Monitor, Netvibes (Dassault Systèmes), Access Intelligence, Emplifi, ou encore Feeder et Flipboard (2), ainsi que désormais des opérateurs d’IA génératives comme ChatGPT d’OpenAI ou Gemini de Google. « Botscorner permet aux éditeurs d’identifier les robots (media monitoring, intelligence artificielle, SEO (3), RSS (4), …) et leur fournit ainsi les informations B2B (5) nécessaires pour leur permettre de réguler l’accès à leurs contenus protégés par le droit d’auteur et de nouer d’éventuels contrats », a expliqué Yan Gilbert, directeur général de Clipeum.
Cela permet aussi d’écarter les bots malveillants et de protéger les contenus contre le scraping (moissonnage du Web) qui relève du piratage en ligne s’il n’y a pas d’accord. Durant son partenariat de six ans avec Clipeum/Botscorner, l’ORRC du CFC a bénéficié à plus d’une cinquantaine de sites web. Le CFC a aussi pu signer avec une vingtaine de crawlers français et étrangers des licences encadrant les prestations de veille web. @

La 6G n’attend plus que sa feuille de route 2030

Publié le par
En fait. Le 20 juin, la Commission européenne et le Haut représentant de la diplomatie de l’UE ont présenté ensemble la « stratégie européenne de sécurité économique ». Parmi les technologies à promouvoir pour préserver la « souveraineté » européenne : la 6G, face à la Chine qui n’est pas mentionnée. En clair. Ursula von der Leyen, présidente de la Commission européenne, et Josep Borrell, chef de la diplomatie de l’Union européenne (UE) ont présenté le 20 juin un document commun intitulé « Stratégie européenne de sécurité économique » afin de « minimiser les risques (…) dans le contexte de tensions géopolitiques accrues et de changements technologiques accélérés » et de « promouvoir son avantage technologique dans des secteurs critiques ». Parmi les technologies à promouvoir, le document de 17 pages (1) mentionne notamment la 6G aux côtés de l’informatique quantique (quantum), des semi-conducteurs (chips) et de l’intelligence artificielle (IA). La Chine n’est pas citée dans ce document, mais le spectre de Pékin plane. En revanche, dans son discours le 20 juin portant sur cette « sécurité économique » de l’Europe, la vice-présidente Margrethe Vestager a explicitement visé la Chine et ses deux équipementiers télécoms mondiaux, Huawei et ZTE (2). Et ce, en rappelant que la Commission européenne a, le 15 juin, fortement incité les Etats membres qui ne l’ont pas déjà fait – comme l’Allemagne voire la France – de ne plus recourir aux technologies 5G de Huawei et ZTE, les deux chinois étant cités nommément par le commissaire européen au Marché intérieur, Thierry Breton (3). Il va sans dire que la 6G est concernée par ce bannissement initié par les Etats-Unis, lesquels font pression sur les pays de l’UE et de l’OTAN pour faire de même. Pour se défendre de tomber dans le protectionnisme, la stratégie européenne de sécurité économique veut aller de pair avec « la garantie que l’Union européenne continue de bénéficier d’une économie ouverte ». La Finlande, elle, a signé le 2 juin avec les Etats-Unis une déclaration commune de « coopération dans recherche et développement de la 6G », sans que l’équipementier finlandais Nokia ne soit mentionné dans le joint statement (4). Nokia comme le suédois Ericsson profiteront de l’éviction politique de leur deux plus grands rivaux chinois. Reste à savoir si la 6G aura des fréquences harmonisées dans l’ensemble des Vingt-sept. Lors de la 18e conférence européenne sur le spectre, qui s’est tenue les 6 et 7 juin derniers à Bruxelles et à laquelle participait l’Agence nationale de fréquences (ANFR) pour la France, un consensus s’est dégagé sur « la nécessité d’une feuille de route claire sur le spectre pour la 6G à l’horizon 2030 » (5). A suivre. @

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Publié le par

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral