Quels changements dans le Code du travail suite aux ordonnances Macron ?

Barème d’indemnités prud’homales en cas de licenciement abusif, hausse des indemnités légales de licenciement, modification de la procédure de contestation de rupture de contrat… Les ordonnances Macron cristallisent le débat entre entreprises et salariés. Elles devraient largement modifier les pratiques des dirigeants d’entreprise et des professions réglementées, à qui peut être confiée la mise en œuvre de ces procédures.

Les ordonnances Macron relatives à la modification du Code du travail sont entrées en vigueur le 23 septembre 2017. Ces cinq textes organisent une refonte générale du droit du travail avec pour maîtres-mots simplification et flexibilité. Retour sur les mesures présentées dans le texte phare de cette réforme, l’ordonnance n°3 relative à la prévisibilité et à la sécurisation des relations de travail.

 

Les indemnités prud’homales en cas de licenciement abusif sont désormais encadrées

En cas de licenciement irrégulier ou abusif, un barème d’indemnisation avec un plancher et un plafond ont été fixés pour les indemnités prud’homales accordées au salarié. Ce barème est établi en fonction de l’ancienneté du collaborateur dans l’entreprise et, pour les salariés ayant jusqu’à 10 ans d’ancienneté, de la taille de l’entreprise. Le montant minimum octroyé est compris entre 15 jours et 3 mois de salaire brut et le montant maximum entre 1 et 20 mois.

Le montant des indemnités légales de licenciement est révisé

L’ordonnance abaisse à 8 mois d’ancienneté continue dans l’entreprise (contre 12 auparavant) la durée minimale permettant au salarié en CDI de bénéficier d’une indemnité de licenciement.

Les règles concernant la motivation du licenciement sont assouplies

La notification de licenciement pourra se faire via des modèles types et les motifs énoncés pourront être précisés ultérieurement par l’employeur ou le salarié. Les limites du litige seront donc fixées par cette seconde lettre. Enfin, en cas d’irrégularité de forme dans la procédure, le juge pourra accorder une indemnité au salarié (1 mois de salaire brut au maximum) mais cela ne sera plus une cause d’annulation de la procédure.

La procédure de contestation des ruptures des contrats de travail est modifiée

Le délai de prescription des actions en contestation de la rupture du contrat de travail est fixé à 12 mois contre 24 auparavant.

 

Quel impact pour les professions réglementées ?

Ces mesures, qui modifient les pratiques des dirigeants en matière de rupture du contrat de travail, concernent également les professions réglementées à qui est confiée la mise en œuvre de ces procédures (experts-comptables, avocats, administrateurs judiciaires…). L’adoption de ces mesures pourrait avoir un impact à la baisse sur le nombre de sinistres déclarés et donc logiquement les recours aux Prud’hommes :

  • Le délai légal de contestation d’un licenciement passe de 24 à 12 mois ;
  • Les entreprises ont désormais la possibilité de préciser le motif de licenciement après un entretien avec le salarié dans une seconde lettre.

Par ailleurs, l’instauration d’un plafond des indemnités liées aux licenciements abusifs permet désormais de chiffrer le montant du risque maximum, fixé entre 1 et 20 mois de salaire brut en fonction de l’ancienneté du salarié.

Les ordonnances Macron ont initié une large redéfinition du Code du travail dont les évolutions laissent présager une baisse du risque et de la sinistralité pour les professions réglementées.

 

Marie LEYENDECKER, Expert Finance

Retrouvez son univers de compétence

Magnus : quand le monde de l’art rencontre le Big Data

Cette application annoncée comme le Shazam de l’Art par les médias permet à partir d’une simple  photographie d’accéder à l’origine et l’histoire d’une œuvre. Une révolution dans le monde de l’art et de nouveaux risques assurantiels en perspective…Zoom sur Magnus, l’application à deux facettes.

 

Une base de données unique dans le monde de l’art

La couleur est annoncée dès l’entrée dans l’univers de Magnus, sur leur site internet : « Our mission is to democratize access to the art world ». Voici l’ambitieuse mission qu’a entreprise Magnus Resch, jeune entrepreneur allemand, en créant et en développant l’application Magnus.

Le lancement de cette application a nécessité un travail titanesque de collecte des données, notamment auprès des galeries, des maisons de vente, mais aussi auprès de « collaborateurs », sur le modèle de Wikipédia.

Grâce à ces données, il suffit à l’utilisateur de prendre en photo l’œuvre qu’il admire dans un musée ou une galerie, via l’application. C’est à cet instant que la magie opère : quelques secondes plus tard, s’affichent plusieurs informations, dont :

  • Le titre de l’œuvre,
  • Le nom de l’artiste,
  • Son histoire

Et, plus intéressant encore, l’application fournit les derniers résultats de ventes aux enchères pour des œuvres similaires, leur présence dans des galeries alentours, puisqu’une partie du fonctionnement de Magnus repose, en plus de la collaboration, sur la géolocalisation.

 

Source d’informations ou de risques ?

Au cours de nos expertises, particulièrement en art et précieux, nous devons évaluer, comparer, chiffrer les œuvres. La base de données que représente cette application nous serait d’une grande aide lors de nos investigations pour trouver des éléments en direct et nous faire ainsi gagner un temps précieux.

Toutefois, malgré l’utilité de ces informations à portée de smartphone, plusieurs problèmes se posent. Les données proposées par Magnus concernent exclusivement l’art contemporain, pour l’instant à New York ; elles seront bientôt étendues à Londres et à Berlin. Le marché de l’art contemporain est, depuis une décennie, en progression continue, produisant des résultats toujours plus impressionnants, sans que l’on sache quand cette bulle spéculative trouvera ses limites, ou explosera. Connaissant les dérives de ce marché, que peut-on attendre d’un système de données aussi important le concernant ?

Les réponses sont multiples, mais elles concernent essentiellement les deux principales fonctionnalités de l’application, à savoir la collaboration et la géolocalisation.

Comment contrôler un tel volume d’information tout en sachant que chacun peut y contribuer ? Le risque que des informations concernant des œuvres acquises par des collectionneurs particuliers se retrouvent publiques est loin d’être négligeable.

Les conséquences seraient nombreuses. Couplées à la géolocalisation, ces informations sur une œuvre possédée par un particulier pourraient susciter des tentations, et faciliter notamment les vols.

Au regard de ces éléments, l’assureur devra se réinventer,  proposer de nouvelles garanties pour limiter ce risque, tandis que le législateur devra, quant à lui, statuer sur le contrôle et les recours possibles à l’encontre des créateurs de ces nouvelles applications et de leurs contributeurs.

Magnus a deux facettes. L’une représente un outil pour l’expert, une base de données supplémentaire ; l’autre représente une source de risque. Dans les deux cas, l’expert devra apprendre à maîtriser ces nouveaux outils, tant pour servir ses compétences que pour prévenir des risques qui y sont associés.

 

Camille BONNET & Diane MACCURY, Experts Art et Précieux

Retrouvez leur univers de compétence

La Cyber Threat Intelligence au service des TPE/PME

La cybersécurité devient un enjeu vital pour les entreprises. La Cyber Threat Intelligence, qui consiste à étudier et surveiller les cybermenaces est-elle la solution qui permettra aux TPE/PME de se prémunir des attaques ? Analyse de ces services encore méconnus de nombreuses TPE/PME.

 

Qu’est-ce que la Cyber Threat Intelligence ?

Il existe trois principales cybermenaces aux motivations différentes qui sont susceptibles de cibler tous types d’organisations : les hacktivistes poussés par une idéologie, les cybercriminels motivés par l’appât du gain et enfin, les groupes sponsorisés par un État dont la finalité des actions menées est l’espionnage.

La Cyber Threat Intelligence (CTI) est une activité dont le double objectif final est l’étude et la surveillance de ces cybermenaces. Elle permet également de mettre en avant ces mécanismes susceptibles d’être exploités par un attaquant et ainsi de limiter les risques cyber associés. L’approche des acteurs de la cybersécurité repose sur l’analyse des attaques passées, ce qui permet de caractériser ces dernières par des marqueurs techniques (signatures de malware, adresses IP, noms de domaine malveillants, etc.). Le but pour le défenseur est de se prémunir et de bloquer au plus vite une campagne qui se renouvellerait via l’utilisation de ces marqueurs techniques.

Ces services de Cyber Threat Intelligence s’inscrivent dans la durée – la plupart du temps sous la forme d’abonnements mensuels ou annuels aux tarifs très élevés – et s’adressent à des organisations qui possèdent une surface d’exposition large, ainsi qu’un certain niveau de maturité en termes de cybersécurité. De plus, l’intégration et le traitement de ces flux au sein de systèmes d’information nécessitent des infrastructures spécifiques et des équipes dédiées de type SOC (Security Operations Center).

 

L’offre CTI s’adapte aux entreprises avec INQUEST 

La CTI est un ensemble de service peu connu du marché des TPE/PME. Ces entités sont pourtant des cibles privilégiées pour les cybermenaces en raison d’un périmètre défensif souvent limité, voire inexistant et par conséquent une surface simple à exploiter pour les attaquants. De plus en plus de TPE/PME sont impactées par des attaques aux dommages visibles, en particulier les fichiers chiffrés par le déploiement d’un ransomware ou encore des virements bancaires frauduleux dans le cadre d’arnaques au président. Il ne faut cependant pas oublier qu’une majeure partie des campagnes de spams avec une pièce jointe malveillante engendre des dégâts non visibles pour la victime, mais tout autant impactant : vols d’informations personnelles ou bancaires, espionnage avec récupération de documents stratégiques ou confidentiels.

 

Le cycle de vie d’une cyberattaque débute systématiquement par une phase de reconnaissance de la cible : l’attaquant cherche à identifier les faiblesses et leviers d’action permettant d’exécuter son action malveillante. Il est possible de confier une démarche CTI au responsable informatique d’une TPE/PME, mais requiert des ressources particulières notamment en termes de temps et compétences. L’identification et la gestion du risque émanant des cybermenaces peuvent cependant être externalisées à des prestataires spécialisés. INQUEST, filiale de GM Consultant, spécialisée en Risk Management, a développé une offre de services pour les TPE/PME qui inclue notamment des évaluations ponctuelles de la surface d’exposition associée à des plans d’action, du suivi e-réputation sur les réseaux sociaux, de la surveillance de noms de domaine, mais également de l’accompagnement de collaborateurs qui se traduit par de la sensibilisation aux risques cyber sous la forme d’ateliers.

 

Adrien PETIT, Cyber Security Development Manager chez INQUEST

Incendie de véhicule : comment rechercher les causes et circonstances ?

Les causes susceptibles de provoquer l’incendie d’un véhicule sont multiples et nécessitent de solides compétences techniques lors des investigations. Mais avant d’aborder l’origine du feu, il est important de maîtriser l’architecture d’un véhicule et d’être capable de s’interroger sur la composition et le rôle des matériaux brûlés.

Différentes matières et fluides inflammables sont naturellement présents au cœur des véhicules et autres machines motorisées. Ces éléments côtoient, dans un environnement confiné, plusieurs énergies : calorifique, mécanique, électrique, hydraulique ou pneumatique… Le véhicule est donc un bon candidat au départ de feu. Rechercher l’origine d’un incendie permettra aux différents acteurs de la gestion d’un sinistre de se situer en matière de responsabilités et de garanties. Alors comment détermine-t-on la source d’un feu ?

 

Des méthodes d’investigation scientifiques et utiles

Si les méthodes d’investigation sont nombreuses et parfois controversées, la recherche des causes et circonstances de l’éclosion d’un feu ne résulte ni d’une fascination pour les séries télévisées américaines, ni d’une science occulte dont seule la confrérie des experts en incendie détient le secret. Elle nécessite d’analyser d’une part, les conditions et l’environnement dans lesquelles le feu a pris naissance (circonstances déclarées, localisation, conditions météorologiques…), les zones et leurs degrés de dégradation, les températures de fusion, d’auto-inflammation ou encore de pyrolyse des matières pour lister d’autre part, les énergies, comburants et combustibles présents naturellement et anormalement dans les zones d’intérêt.

Une fois ce travail réalisé, les recherches permettent soit de déterminer l’origine du feu soit d’émettre un nombre d’hypothèses limité. Il arrive parfois cependant qu’en dépit de recherches sérieuses, la cause du feu demeure indéterminée pour différentes raisons : limite des moyens d’investigation, disparition de preuves durant les phases de manutention ou de stockage, destruction d’indices dans les flammes…. Cependant et même dans ce cas de figure, les recherches révèlent toutes leur utilité lorsqu’il s’agit de veiller à ce que certaines théories ne se transforment pas en démonstrations arbitraires.

 

Maîtriser la composition du véhicule, son circuit après-vente et les méthodes RCCI

Vous l’aurez compris, réaliser ce type d’investigations nécessite quelques solides connaissances de la composition des véhicules, indispensables à la bonne interprétation des dégradations relevées et à la bonne compréhension de la cinématique du feu. Il est essentiel de maîtriser également les méthodes et pratiques des professions de l’après-vente afin d’étudier un éventuel lien de causalité entre le sinistre et les interventions réalisées antérieurement à celui-ci.

 

Mobiliser des experts de différentes spécialités

Depuis plusieurs années, les experts du groupe GM Consultant mettent à disposition de leurs clients le savoir-faire d’une équipe spécialisée dans la recherche des causes et circonstances des incendies aux véhicules (sous leurs nombreuses formes), répartie aux quatre coins du pays et capable d’intervenir au-delà des frontières. L’expérience nous a appris que l’étude de chaque incendie est unique et qu’elle nécessite parfois la mobilisation de plusieurs experts de différentes spécialités internes afin de faciliter la gestion des dossiers…

De façon générale, soyez rassurés, les risques de voir votre voiture préférée partir en fumée sont très limités, les incendies de véhicules automobiles restant relativement rares. Cependant, ils peuvent parfois engendrer de graves conséquences notamment lors de la propagation de l’incendie sur des bâtiments de stockage ou d’exploitation.

Un petit conseil au passage pour éviter de provoquer un incendie : même si cet été, particulièrement catastrophique en matière de feux de forêt, a pris fin : lors de vos prochaines balades champêtres, évitez de garer votre automobile équipée d’un filtre à particules au-dessus de hautes herbes sèches…

 

Bertrand BOIRON, Expert Incendie

Retrouvez son univers de compétence.

Cyber vulnérabilité des drones : aubaine ou menace ?

Depuis l’avènement du marché du drone civil, la question des risques liés à leur utilisation est très régulièrement débattue sur la place publique : risque de collision avec les aéronefs, survol de sites interdits, potentiels actes terroristes et sans oublier, le risque de piratage… Dans ce contexte, l’actuel manque de sécurité des drones est-il une source de danger ou bien au contraire le dernier rempart contre une utilisation malveillante ?

 

La maîtrise du drone en vol ainsi que la sécurisation des données collectées constituent des enjeux majeurs indispensables au développement de la technologie. C’est sur la base de ce constat que, très tôt, les acteurs du marché se sont penchés sur la question du piratage des drones.

Mieux comprendre le piratage des drones

Un drone en cours d’utilisation, reçoit et émet différents signaux nécessaires à son vol. Ces canaux de communication sans fil n’étant pas protégés, les drones sont vulnérables aux risques de piratage comme tout appareil électronique connecté.

La raison de ce défaut de sécurité est simple : implémenter des systèmes de protection revient nécessairement à augmenter les coûts de production, tout en réduisant l’autonomie en vol du matériel. Or, l’une des préoccupations principales en matière d’ingénierie drone étant l’optimisation du ratio d’autonomie en vol (puissance/poids/consommation), on comprend mieux pourquoi les drones de la génération actuelle restent sensibles aux piratages suivants :

  • Les signaux montants (reçus par le drone : signal de radio commande, signal GPS, etc.) peuvent être affectés par des signaux leurres.
    Ces signaux, de caractéristiques identiques mais de puissance supérieure, ont pour effet de « recouvrir » le signal le plus faible. Cette méthode est la plus préoccupante sur le plan de la sécurité publique, car elle permettrait potentiellement à une personne mal intentionnée de supplanter le signal d’une radiocommande et de prendre le contrôle du drone en cours de vol. De la même manière, il est possible de fausser les informations GPS reçues par le drone, qui va alors modifier sa trajectoire en conséquence.
  • Les signaux descendants (émis  par le drone : retransmission vidéo, données de vol, etc.) comportent un risque d’interception ou d’altération des données transmises. En effet, un retour vidéo est généralement transmis sur les ondes hertziennes, non sécurisées. Aussi, tout récepteur correctement configuré et situé suffisamment proche du point d’émission peut en recevoir les données, sans que cela ne puisse être perceptible ou géo-localisable par l’utilisateur.

drone-piratage

Un vrai danger ou une garantie de sécurité ?

Dans le cadre de l’évolution technique et réglementaire du secteur du drone, il pourrait sembler opportun d’inciter les constructeurs à pallier ces vulnérabilités pour renforcer la sécurité. Toutefois, la société civile a-t-elle réellement envie de voir évoluer au-dessus d’elle des drones aux systèmes impénétrables ?

Certes, le risque de piratage est réel. Il n’en reste pas moins anecdotique à ce jour.

Or, a contrario, les survols des sites interdits ou regroupements de personnes, l’espionnage de site industriel ou sensible, le transport de cargaison interdite (frontières, prisons, etc.…), le risque terroriste (à ce jour, au moins deux attentats terroristes prévoyant l’utilisation de drones auraient été déjoués : en 2011 à Boston et en 2013 en Allemagne), sont quant à eux des risques bien réels et en forte augmentation.

Aussi, la course au développement de moyens d’interception bat désormais son plein.  La sécurisation de l’espace aérien est devenue un enjeu de sécurité nationale et les technologies d’interception par brouillage font partie des axes les plus prometteurs.

Chaque pays possédant ses propres dispositions sur le sujet, quel sera le positionnement des institutions françaises ? Protéger des centaines de milliers de drones contre un risque de piratage possible, quoique limité, ou conserver quelques vulnérabilités permettant de reprendre le contrôle en cas d’accès frauduleux à certaines zones de vol ? Des réponses devront être apportées rapidement pour apporter un cadre juridique précis.

 

Guilhem MARTIN-RAGET, Expert Technologies de l’Information et de la Communication

Les pirates à l’assaut du cinéma

L’industrie du cinéma vient de connaître un tournant dans l’histoire du piratage de film avec le vol de 1,5 To de données propriété de la chaine HBO, le producteur et diffuseur de la série culte « Game of Thrones ». Jusqu’à aujourd’hui, on connaissait la copie dérobée qui termine sur internet, voici venu le temps des pirates qui attaquent directement les serveurs des studios. Comment se prémunir contre le risque cyber dans l’industrie du cinéma ?

 

Le cinéma, objet de désir, connaît depuis longtemps le phénomène du piratage. Bien souvient, il suffisait de chercher une erreur humaine dans la chaîne de post-production pour remonter jusqu’à la source. Notre cabinet s’est vu confier en 2007 le cas d’un blockbuster américain piraté trois semaines avant sa sortie en salles. L’une des copies, destinées aux festivals et à la commission de classification avait été empruntée par un employé du studio qui, à son tour, l’avait prêté à son fils. Une histoire de famille chiffrée à 80 millions de dollars de pertes pour le studio.

Il existe des moyens efficaces pour remonter aux sources de telles fuites. Ainsi, le système de « tatouage » invisible appelé digital watermark identifie distinctement chaque copie. En cas de vol, une base de données permet de retrouver le fichier à l’origine de la diffusion pirate. S’il n’empêche pas le vol, ce système permet la mise en cause des détenteurs de la copie à l’origine du piratage. L’une des vertus et non des moindres de ce système est la responsabilisation de tous les acteurs de la production d’un bout à l’autre de la chaîne.

 

Plusieurs millions de dollars pour la série « Game of Thrones « 

Le cas du piratage de HBO est emblématique des nouveaux risques de la production audiovisuelle et la gestion de ce type de sinistre fait appel à de nouvelles compétences en audiovisuel et gestion du risque cyber. Les pirates qui ont hacké les serveurs de la chaine y auraient dérobé des épisodes encore non diffusés de la saison 7 de « Game of Thrones » tout comme des épisodes des séries « Ballers », « Insecure », « Room 104 » et « Barry ». Des scripts mais aussi un grand nombre de données confidentielles de l’entreprise feraient aussi partie du butin. Après avoir diffusé l’épisode 4 de la saison 7, les pirates auraient demandé une rançon de plusieurs millions de dollars en bitcoin.

Déjà en 2014, Sony Picture Entertainment connaissait un piratage massif de ses données avec une menace de mise en ligne de plusieurs films. Le phénomène risque de se répandre si l’industrie ne prend pas conscience de l’importance de se prémunir et de réagir efficacement en cas d’attaques. Pour répondre à la menace, l’expert doit à la fois évaluer les dégâts, chiffrer la perte tout en investiguant sur le piratage. Nos experts Arts et Médias et NTIC travaillent ensemble pour apporter l’analyse la plus pointue et la plus opérationnelle en cas de vol de fichiers audiovisuels. Ils sont ainsi capables de chiffrer le montant des pertes grâce à des outils de mesure. L’avenir de la création artistique et cinématographique et tout un pan économique de nos sociétés sont en jeu…

 

Fabien CHERMETTE , Expert Arts et Médias

Guillaume PARENT, Expert Arts et Médias

Le compte à rebours est lancé : RGPD

Cosigné par Maître BREBAN – Avocat  Associé NEXO AVOCATS

Le 25 mai 2018 entrera en vigueur au niveau européen le Règlement Général sur la Protection des Données (RGPD). La date est proche et les entreprises n’ont que peu de temps pour se préparer. Tour d’horizon du champ d’application particulièrement vaste et contraignant pour les acteurs du traitement* des données personnelles**.

 

Adopté par le Parlement Européen le 16 avril 2016, les définitions du texte de loi (voir ci-dessous) laissent entrevoir le large spectre des acteurs concernés par son entrée en vigueur. Et les mesures à prendre ne sont pas anodines. Car si le RGPD vise à développer les droits accordés aux personnes ayant vu leurs données personnelles collectées, ce renforcement se décline en autant de contraintes pour les entreprises et administrations, qu’elles soient d’ordre technique, contractuel ou organisationnel.


*Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

**Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identifié physique, physiologique, génétique, psychique, économique, culturelle ou sociale.


Sur le plan technique, la principale contrainte fixée par le RGPD est l’incitation à la « pseudonymisation » des données personnelles collectées. Il s’agit d’une opération d’anonymisation réversible, via l’utilisation d’un pseudonyme (ou la conservation des données sous un format ne permettant pas l’identification directe) en lieu et place de l’identité réelle, permettant de conserver la confidentialité des données en cas d’intrusion et/ou de vol de données.

 

Un cadre contraignant autour du traitement des données

Sur le plan organisationnel, la déclinaison du RGPD a des conséquences beaucoup plus vastes. L’organisme collecteur de données personnelles se doit d’obtenir auprès de la personne concernée un consentement libre, spécifique, éclairé et univoque de son accord au traitement des données. Ce consentement doit par ailleurs être obtenu par un acte positif. En cas de litige, la charge de la preuve pèse sur l’entreprise. Finies donc les pages web avec une discrète case cochée par défaut. En cas de changement dans le processus de traitement des données, l’opérateur doit évaluer le risque et analyser l’impact de cette action sur les droits et libertés des personnes physiques engagées. Un registre de l’ensemble des traitements de données doit être intégré dans l’entreprise. L’organisme hérite de la responsabilité de s’assurer que ses sous-traitants (sociétés d’e-mailing, cabinet de traitement de la paye…) se sont également mis en conformité avec le RGPD.

  • Lister l’ensemble des traitements (rappelons que la simple consultation de données est un traitement aux yeux du RGPD) ;
  • Préciser les catégories de données personnelles traitées ;
  • Décrire les objectifs et finalités du traitement ;
  • Lister les acteurs internes et externes à l’entreprise en charge du traitement des données ;
  • Détailler les flux de données (origine et destination) afin d’identifier les éventuels transferts de données en dehors de l’union Européenne.

 

Un nouveau rôle : Data Protection Officer

Certains responsables de traitements se voient dans l’obligation de désigner un Délégué à la Protection des données (Data Protection Officer – DPO). Il s’agit :

  • Des autorités et organismes publics ;
  • Des responsables de traitements dont les activités consistent à réaliser en propre ou au travers de sous-traitants des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Des responsables de traitement « particuliers » (origine raciale, ethnie, opinions politiques, convictions religieuses, données biométriques…)

Le DPO se verra alors confier les missions de conseil et de contrôle auprès responsable du traitement et son sous-traitant et de coopération avec l’autorité de contrôle. A noter qu’il jouira d’un statut de personnel protégé.

 

De nouvelles règles du jeu et sanctions

L’obligation de notification est prévue dans l’article 34 qui en cas de violation de données à caractère personnelles contraint à informer la personne physique, à la condition que cette violation soit « susceptible d’engendrer un risque élevé pour les droits et libertés ».

Il existe des conditions exonératoires à cette obligation d’information, et bien évidemment, la notion de risque élevé reste soumise à appréciation. Mais dans le cas où cette obligation d’information doit être exercée, un défi technique s’impose au responsable de traitement : la capacité à identifier dans sa base de données la liste des personnes physiques concernées. A défaut, il aura obligation de procéder à une communication publique, venant dès lors grever plus encore son image.

Selon les violations observées au RGPD, les sanctions seront naturellement variables. Afin de porter un minimum d’attention à sa bonne application, il suffira de se rappeler les termes de l’article 84 qui prévoit une amende pouvant aller jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Cette amende porte notamment sur l’inobservation des principes de base d’un traitement (articles 5, 6, 7 et 9 du RGPD).

 

Anticiper en suivant quelques recommandations

A partir du 25 mai 2018, un chantier d’ampleur découle de l’application obligatoire du RGPD. Contrairement à l’obtention de l’ancien « tampon » délivré par la CNIL, les entreprises doivent maintenant se mettre en capacité d’apporter la preuve qu’elles se sont mises en conformité avec la règlementation.

Il convient donc pour les entreprises de :

  • Sensibiliser leur personnel au RGPD à la protection des données,
  • Revoir leur accord avec des tiers prestataires de services (sous-traitants au sens de la RGPD, hébergeur de données, éditeur de solution cloud…),
  • Identifier leurs traitements et bases et assurer leur protection,
  • Tenir un registre des traitements,
  • Désigner le cas échéant un DPO,
  • Concevoir des systèmes d’informations assurant la sécurité des données et permettant dans le temps de rapporter la preuve du respect de la RGPD.

Et si de nouvelles conséquences financières pèsent sur les entreprises et administrations au travers de l’inobservation du règlement, d’autres risques émergent.  Les individus auront la possibilité d’engager des procédures collectives. Le responsable de traitement a l’obligation de vérifier sa mise en conformité et celle de ses sous-traitants. Dès lors se pose les questions de la révision des relations contractuelles et de la responsabilité civile professionnelle.

 

Maître BREBAN – Avocat  Associé NEXO AVOCATS

Olivier GEVAUDAN, Expert Technologie de l’Information et de la Communication

L’enjeu de la sécurité du paiement par mobile

Nous avons de plus en plus recours aux paiements par mobile dans nos vies quotidiennes. La clé du succès de ce nouveau mode de paiement réside dans la simplicité d’utilisation de cette nouvelle technologie mais laisse planer le doute sur de nouvelles menaces, à la frontière de la fraude et du risque cyber.

 

La carte bancaire reste sans conteste le moyen de paiement préféré des Français. La dernière étude Harris Interactive de novembre 2016 à ce sujet le confirme : 98 % des personnes interrogées utilisent quotidiennement leur carte bleue, tandis que le paiement par smartphone ne récolte que 6 % des suffrages.

Toutefois, l’apparition de moyens liés aux nouvelles technologies à fort potentiel et en particulier, le développement de la technologie NFC (Near Field Communication) basée sur la RFID (identification par fréquence radio) change progressivement la donne. Le succès du paiement sans contact par carte bleue ne dément pas ou peut-être même accélère l’ambiance de fin de règne qui s’installe dans le paysage des modes de paiement.

 

Facilité d’utilisation et relative sécurité…

Le paiement sans contact par smartphone cumule en effet de nombreux avantages tant pour les commerçants que pour les consommateurs : garantie de paiement, gratuité des virements bancaires et réduction des coûts pour les commerçants qui peuvent se passer d’un terminal pour carte bancaire.

Le paiement sans contact par smartphone peut s’avérer plus sécurisé car l’application mobile de paiement utilisée (par exemple Apple Pay, Lyf Pay ou encore Easy Transac) offre la possibilité de maîtriser l’activation de la fonction de paiement NFC à la demande, ce qui limite les utilisations frauduleuses.

 

Qui n’empêche pas la fraude

Le paiement mobile sans contact bien que promis à un bel avenir possède une sérieuse faille. A l’instar de tout équipement connecté, les smartphones demeurent des cibles sensibles aux attaques, virus, chevaux de Troie, malwares. De plus, la technologie NFC n’est pas arrivée à maturité.

Les « sniffers », une nouvelle génération de pickpockets peuvent grâce à la technologie du « sans contact » par un simple rapprochement physique (idéalement dans une rame de métro bondée) et un terminal approprié « aspirer » les données de votre CB et effectuer à votre insu, un prélèvement d’une vingtaine d’euros. Il en va de même pour le mobile, à la différence que la fraude va porter prioritairement sur le vol de données. La technologie NFC peut permettre aux fraudeurs d’obtenir tout type d’informations présentes dans le smartphone : contacts, sms, emails, identifiants et mots de passe, informations de géolocalisation entre autres.

Les acteurs du secteur anticipent d’ores et déjà une progression des fraudes bancaires via la généralisation du paiement par mobile.

 

La question des responsabilités

En matière de fraude bancaire, le consommateur est protégé. Il dispose de 13 mois pour contester toute transaction non autorisée et être remboursé par sa banque. Reste la question de la responsabilité in fine lorsque les fraudeurs ne pourront être identifiés. L’établissement bancaire prendra sa part de risque – en concertation avec son assureur – mais quid de la responsabilité du développeur de l’application, du smartphone et de leurs assureurs respectifs ?

Sur des fraudes à caractère massif, la question des failles logicielles et matérielles devra faire l’objet d’analyses approfondies pour déterminer au plus juste les responsabilités.

Le paiement mobile devient un sujet au carrefour de la fraude et du risque cyber qui mobilise des connaissances sur les deux sujets tant au niveau assurantiel que de l’expertise.

 

Laurent MICHEL, Expert Finance et Services

Centrales photovoltaïques : le risque foudre n’est pas une fatalité

La multiplication des centrales photovoltaïques dans des régions à caractères orageux engendrent de plus en plus de dommages causés par la foudre. Les dommages peuvent s’évaluer à plusieurs centaines de milliers d’euros ; il est donc primordial d’appliquer des règles de sécurité et de veiller à étudier les risques avant la création d’un projet.

 

La croissance de l’énergie photovoltaïque

Depuis quelques années, en raison de la forte baisse de la tarification réglementée d’achat d’électricité d’origine photovoltaïque, les acteurs de la filière se sont orientés vers des projets de centrales au sol de grandes dimensions afin de réaliser d’importantes économies d’échelle et de satisfaire aux critères des appels d’offre d’Etat. De grandes centrales photovoltaïques au sol, dont la puissance nominale atteint plusieurs centaines de MWc (Méga Watts crête), ont vu le jour et continuent à être  fabriquées et implantées, en particulier dans les contrées méridionales regorgeant de soleil.

Or dans le Sud, les orages sont fréquents et souvent violents. La densité de foudroiement moyenne dans le sud de la France, en Corse ou en Italie par exemple dépasse la barre des 4 coups de foudre par km² par an. Ce phénomène étant bien entendu plus prononcé lors de la saison estivale.

Par ailleurs, les centrales photovoltaïques sont souvent construites en crête, pour bénéficier du meilleur ensoleillement et chacun sait que la foudre s’abat prioritairement sur les points culminants ! Enfin, dans le relief accidenté et rocailleux de la plupart de ces régions, le sol est particulièrement résistif, ce qui accroît les risques de surtension en augmentant les différences de potentiel entre deux points rapprochés.

 

Quels sont les effets de la foudre ?

Un coup de foudre, ou éclair nuage-sol, est la décharge électrique qui se produit entre le cumulonimbus et le sol. Cette décharge génère un courant électrique très intense, de plusieurs dizaines de milliers d’Ampères. Lorsqu’un éclair atteint le sol, il peut non seulement provoquer directement des dégâts par effet thermique mais être également à l’origine de phénomènes induits qui peuvent être destructeurs. Autour du point d’impact de l’éclair, un champ électrique se développe dans le sol. A quelques dizaines de mètres du point d’impact, ce champ peut se traduire par une différence de potentiel de plusieurs milliers de volts entre deux points séparés d’un mètre. L’éclair s’accompagne également d’un rayonnement électromagnétique, qui peut induire des courants élevés dans des conducteurs.

La foudre est donc à l’origine de plusieurs phénomènes électriques et électromagnétiques, qui peuvent engendrer des dommages de différentes natures.

 

Comment se prémunir du risque ?

En premier lieu, il faut rappeler qu’il n’existe aucun système permettant de maîtriser le risque lié à la foudre à 100 %. Toutefois, des solutions existent pour limiter fortement ce risque. La meilleure démarche consiste à réaliser une étude spécifique à chaque centrale, basée sur la norme CEI EN 62305.

 

  • Assurer une bonne interconnexion des masses

Le réseau de terre doit être conçu pour assurer une parfaite équipotentialité entre les masses métalliques (structures supports, cadre des modules photovoltaïques…), afin d’empêcher la présence de différences de potentiel entre plusieurs équipements de la centrale.

S’il est discontinu, il aura un effet inverse à celui attendu : il permettra une remontée de potentiel depuis la terre jusqu’aux équipements, qui se déchargera dans les réseaux de la centrale.

Il est donc essentiel d’assurer une bonne interconnexion des masses, par des systèmes de connectique et de câblage adaptés, respectant la norme C15-100 et le guide spécifique d’application au photovoltaïque UTE C15-712-1.

 

  • Eviter les réseaux de communication de type bus (ethernet, profibus…) dans le champ.

La plupart des centrales au sol sont équipées d’un système de sécurité (alarme, protection périphérique, caméras de vidéosurveillance). Certaines disposent de coffrets secondaires (boitiers de jonction courant continu) équipés d’un système de monitoring permettant de surveiller la production de chaque string (série) de modules photovoltaïques. Les centrales à trackers (systèmes d’optimisation de la production par suivi de la course du soleil) sont équipées d’un réseau supplémentaire pour la commande et l’alimentation de moteurs électriques.

Les réseaux de type bus (communication basse tension) sont très fréquemment atteints par la foudre, générant des dommages sur un équipement qui a la particularité d’être sensible aux surtensions et onéreux (cartes électroniques, systèmes de mesure, caméras, automates…).

Il faut donc éviter d’utiliser ce protocole de communication et préférer la fibre optique ou les réseaux sans fil (wifi).

 

  • Installer des parafoudres DC, AC, com

Les parafoudres, ou parasurtenseurs, sont des équipements permettant de dévier l’énergie d’une surtension vers la terre. Ils permettent de protéger efficacement la plupart des équipements qu’ils soient raccordés sur les réseaux de puissance, sur les réseaux de commande ou sur les réseaux de communication.

Le choix des parafoudres et leur implantation doivent toutefois respecter scrupuleusement les règles de l’art, définies notamment dans le guide UTE C15-443.

 

  • Eviter les boucles d’induction

La tension induite par le champ électromagnétique de la foudre dépend principalement de trois paramètres : la surface comprise entre les conducteurs, la variation et l’intensité du champ magnétique.

Par exemple, à 10 mètres du point d’impact d’un éclair, la tension peut s’élever de plusieurs dizaines de milliers de volts dans des câbles formant une boucle de 20 à 30 m².

Le câblage des modules, des réseaux de terre et de communication doit donc être conçu pour limiter au maximum la présence de boucles : les câbles doivent cheminer ensemble (voir le guide UTE C15-712-1).

Cette mesure préventive peut avoir un coût élevé (longueurs de câbles importantes), ce qui peut pousser les entrepreneurs à fermer les yeux sur cette précaution, pourtant indispensable pour assurer une bonne protection des modules photovoltaïques.

Pourtant, certains constructeurs ont su faire preuve d’inventivité et trouver des compromis technico-économiques satisfaisants, en positionnant tout simplement les modules de façon à respecter cette règle tout en limitant les longueurs de câbles.

 

En résumé…

En période estivale, les centrales photovoltaïques au sol sont fréquemment atteintes par des éclairs de foudre et surtout leurs effets induits. Les dommages provoqués par un seul éclair peuvent se chiffrer en centaines de milliers d’euros lorsque des surtensions se propagent dans les modules, les onduleurs et les équipements de sécurité.

Des règles de base doivent être observées dès la conception de la centrale pour limiter au maximum les risques. On ne peut que conseiller les développeurs de réaliser en amont une étude spécifique qui permettra d’adapter les moyens de prévention tout en limitant leur coût d’implantation.

 

Emmanuel PINOT, Expert Energies Renouvelables

Big Data et Intelligence Artificielle – Un cadre de responsabilités à définir

En collaboration avec Maître Nicolas HERZOG, associé-fondateur du Cabinet H2O Avocats

L’Intelligence Artificielle (IA), longtemps reléguée au rang de fantasme de science-fiction, trouve aujourd’hui de multiples applications concrètes en lien avec le Big Data. Des évolutions rendues possibles avec la numérisation massive des activités humaines.

 

La combinaison du Big Data et de l’Intelligence Artificielle

La médecine est un parfait exemple du couple Big Data / IA permettant aujourd’hui d’envisager sinon des diagnostics automatiques, la mise à disposition de systèmes d’aide au choix. En mammographie par exemple, des logiciels de reconnaissance de « modèles » mettent en surbrillances des zones suspectes sur les clichés, vérifiées ensuite par les radiologues. Autre exemple : le laboratoire d’intelligence Artificielle de Stanford a créé une vaste base de données d’images de cancer de la peau et a formé son algorithme pour identifier un risque potentiel. Les résultats se sont révélés d’une grande précision, la machine ayant obtenu des résultats semblables aux conclusions de 21 dermatologues.

Big Data et Intelligence Artificielle permettent également d’envisager un nouveau mode de déploiement des outils de cybersécurité. Comme l’avait révélé Edward Snowden en son temps, la NSA a d’ailleurs développé une plateforme baptisée MonsterMind qui est non seulement en mesure d’appliquer une stratégie de protection, mais également de riposter automatiquement à une attaque : un « War Games » des temps modernes.

 

L’Open Law

Plus proche de nos métiers de l’assurance et de l’expertise, le Droit aussi est directement concerné. Maître Nicolas HERZOG – Avocat au Barreau de Paris – Cabinet H2O Avocats – a développé ce sujet dans un article particulièrement éclairant « Big Data et Open Law – De l’ouverture des données juridiques publiques vers l’avènement des outils de justice prédictive » (Dalloz Avocats – n°1 – Janvier 2017).

C’est sur le fondement de l’article 15 de la Déclaration des droits de l’homme et du citoyen selon lequel « la société a le droit de demander compte à tout agent public de son administration » et l’évolution d’une législation de 1978 à fin 2016 (loi Lemaire du 7 octobre 2016) qu’il a été acté de « la mise à disposition du public à titre gratuit et en format ouvert de l’exhaustivité des décisions de justice prononcées par l’ensemble des juridictions de l’ordre judiciaire et administratif et librement réutilisables par des systèmes de traitement automatisé des données ». Maître HERZOG rappelle que ce sont plus de 4 000 000 de décisions de justice qui sont rendues chaque année en France.

C’est sur ce socle de données colossales que 5 start-ups françaises ont créé une offre « legatech » de justice prédictive. Sur la base de mots clés saisis dans un moteur de recherche, des algorithmes intelligents scannent l’ensemble des décisions de justice pour aider à la définition de la meilleure stratégie en permettant d’affiner l’évaluation des risques.

 

Nouvelles applications, nouveaux risques

La grande force et le grand danger de ces outils constitués par ce couple Big Data / IA est qu’ils sont auto-apprenants. Ils ont vocation à devenir de plus en plus pertinents à mesure que leur base de connaissance s’accroît.

Les exemples que nous avons évoqués ci-dessus ne sont pas triviaux : ils concernent directement la santé des individus ou des entreprises.

Et qu’en sera-t-il en cas de litige. En effet, une défaillance dans l’exécution d’une prestation amènera à en rechercher les causes et responsabilités.

En l’espèce, comment les responsabilités pourront et seront-elles arrêtées entre qualité des données, puissance de l’algorithme et part d’intervention humaine ? Ou bien, tout ou partie de ces outils auront-ils vocation à devenir autonomes à terme ? Sans tomber dans la caricature post-apocalyptique, avec la prise en main du destin du Monde par les robots (Terminator, Matrix…), cette option ne semble pas pour autant farfelue.

C’est donc sans doute sur le sujet de l’intervention humaine qu’une réflexion de fond doit être portée. En effet, qu’il s’agisse de Droit, de santé, ou de tout autre domaine, nul doute que c’est bien l’Homme, le conseil juridique ou technique avisé qui permettra de conserver éthique et discernement dans l’utilisation de l’outil.

Dans la limite des technologies actuelles, cette mesure semble relever du bon sens pour que les systèmes apprenants ne deviennent pas des systèmes autoalimentés se nourrissant de leurs propres décisions, qui se reproduiraient dès lors à l’infini. Le parfait exemple est sans doute le système « evidence-based sentencing » employé dans certains Etats américains, en charge de calculer la durée d’incarcération des prisonniers pour limiter les risques de récidive. L’administration Obama l’a rapidement abandonné ayant constaté des résultats discriminatoires.

Maître Nicolas HERZOG, associé-fondateur du Cabinet H2O Avocats
Olivier GEVAUDAN, Expert Nouvelles Technologies de l’Information et de la Communication