DSA et DMA, pour une meilleure protection des consommateurs et des marchés numériques plus équitables

DSA et DMA, pour une meilleure protection des consommateurs et des marchés numériques plus équitables
Image by Pete Linforth from Pixabay

Le projet européen de régulation des géants du numérique

Le 15 décembre 2020, la Commission européenne a rendu publique les deux projets de Règlement destinés à transformer significativement le cadre législatif applicable aux plateformes. Avec le Digital Services Act (DSA) et le  Digital Market Act (DMA), la Commission concrétise une partie de sa stratégie « Shaping Europe’s Digital Future »présentée à son entrée en fonction, elle entend mieux protéger les consommateurs et leurs droits fondamentaux en ligne et rendre les marchés numériques plus équitables et plus ouverts pour chacun.  

Thierry Breton, commissaire au Marché intérieur et Margrethe Vestager, vice-présidente de la Commission européenne, ont démontré l’avant-gardisme de l’Europe en présentant ces deux lois destinées à réguler les marchés numériques européens en sonnant le glas de l’irresponsabilité avérée des géants du numérique.

« Les feux de signalisation ont été inventés pour sécuriser le trafic automobile. Nous faisons la même chose. Alors que le trafic Internet ne cesse de croître, il nous faut des règles pour remettre de l’ordre dans le chaos »  a déclaré Margrethe Vestager.

Un texte ambitieux qui veut à la fois s’attaquer à la domination des géants du numérique et à leurs politiques en matière de modération qui s’appliquera à tous les services numériques, notamment les médias sociaux, les places de marché et les plateformes en ligne actives dans l’Union européenne.

Les États-membres espèrent voir ces nouvelles réglementations adoptées d’ici 2022

Un cadre juridique moderne pour garantir la sécurité des utilisateurs établis dans l’Union Européenne et permettre aux entreprises numériques innovantes de se développer.

Deux volets, baptisés Digital Services Act (DSA) et Digital Market Act (DMA), visant à encadrer l’espace numérique de l’Europe et réguler un Internet devenu parfois une « zone de non-droit » pour les grandes plateformes se résumant ainsi « ce qui est autorisé off line doit l’être on line, ce qui est interdit off line doit l’être on line ».

Dans l’ensemble, la proposition de Règlement prévoit des obligations très contraignantes et des sanctions lourdes.

Le Digital Services Act (DSA)

Il responsabilisera les services numériques dans la diffusion de contenus ou produits illicites, dangereux ou contrefaits : discours de haine, harcèlement, contrefaçon, droits d’auteur, contenu terroriste, contenu discriminatoire, contenu pédophile, images privées…

À qui s’applique-t-il ?

Le Digital Services Act (DSA) a qualifié les différents acteurs en adoptant un système d’obligations graduées en fonction de la taille et de l’impact de ces services :

  • Les services intermédiaires (ex : FAI, bureaux d’enregistrement de noms de domaine).
  • Les services d’hébergement (ex : services de transport d’informations, services de caching, cloud).
  • Les plateformes en ligne mettant en lien vendeurs et consommateurs (ex : market places, boutiques d’applications, réseaux sociaux).
  • Les très grandes plateformes en ligne, détenant au moins 45 millions d’utilisateurs dans l’Union européenne.
Digital Services Act (DSA)

Quelles sont les principales mesures contenues dans ce projet ?

Il est apparu nécessaire de revoir la législation encadrant ces acteurs, en établissant des règles plus strictes et plus adaptées aux enjeux contemporains. Un socle commun d’obligations est venu compléter la directive sur le commerce électronique de juin 2000 avec :

  • L’obligation de créer un point de contact unique à destination des autorités.
  • L’obligation de transparence en mentionnant dans leurs conditions générales d’utilisation les restrictions réglementaires qui leur sont imposées, notamment s’agissant de la modération des contenus.

S’agissant des prestataires de services intermédiaires, le Digital Services Act ne change pas sensiblement leur régime de responsabilité atténuée prévu par la directive 2000.

S’agissant des obligations applicables aux hébergeurs et aux plateformes en ligne, le règlement leur impose la mise en place d’un système de notification des contenus illicites, qui doit être facilement accessible.

Les hébergeurs et les plateformes devront également informer la personne concernée en cas de suppression d’un contenu ou de blocage d’accès, et en exposer les motifs.

Digital Services Act (DSA) - Les plateformes en ligne auront l’obligation d’agir rapidement et efficacement pour traiter les suppressions de contenu ou prouver leur méconnaissance des faits pour échapper aux sanctions.

S’agissant des obligations applicables aux plateformes en ligne le règlement crée un concept de « signaleur de confiance », vers qui seront dirigées les notifications des contenus illicites. Le règlement impose également des obligations de transparence concernant la publicité en ligne.

S’agissant des très grandes plateformes en ligne le règlement contient un volet d’obligations contraignantes en les obligeant notamment à réaliser une analyse d’impact des risques systémiques engendrés par le fonctionnement de leurs services et leur utilisation, en particulier en matière de modération des contenus et de publicité.

S’agissant des obligations de transparence en matière de publicité en ligne, les très grandes plateformes devront délivrer une information sur les catégories de personnes visées par la publicité, ainsi que les principaux paramètres de sélection utilisés.

L’objectif est ainsi de clarifier les mécanismes utilisés dans la mise en place de la publicité ciblée.

Le Digital Market Act (DMA)

Le Digital Market Act (DMA) lui ne regardera pas les contenus mais le comportement des grandes plateformes sur le marché européen en instaurant des codes sur le comportement anticoncurrentiel et l’abus de position dominante. Il s’agit principalement de toutes les plateformes qui fournissent des services en ligne d’intermédiation et qui sont en mesure de contrôler l’accès au marché.

Qu’est-ce qu’un « gatekeeper » ?

La Commission européenne a pris le parti de créer un critère inédit à travers une nouvelle désignation : la notion de « gatekeepers » (ou « contrôleur d’accès » en français). L’ensemble des 3 critères ci-dessous permet de présumer de la qualité de « gatekeepers », il appartiendra à la société concernée de renverser cette présomption :

  • avoir au cœur de ses services une plateforme permettant aux utilisateurs commerciaux d’accéder aux consommateurs finaux : Ce critère est présumé rempli si la plateforme recueille plus de 45 millions d’utilisateurs actifs par mois en Europe (10% de la population) et plus de 10 000 utilisateurs commerciaux par an en Europe.
  • avoir un impact significatif sur le marché intérieur : Ce critère est présumé rempli si la plateforme a réalisé un CA annuel dans l’Espace économique européen (EEE) d’au moins 6,5 milliards d’€ lors de leur dernier exercice.
  • occuper une position ancrée et durable, laissant supposer que ce sera le cas dans un avenir proche : Ce critère est présumé rempli si les deux précédents sont validés au cours des trois derniers exercices.

Quelles sont les obligations attribuées aux « gatekeepers » ?

Le Digital Market Act pose certaines interdictions et obligations :

  • ne pas croiser les données utilisateurs recueillies sur un de leurs services avec celles recueillies sur un autre de leurs services sans le consentement de l’utilisateur,
  • ne pas bloquer l’accès à une plateforme à un utilisateur commercial ou final qui ne serait pas inscrit à cette même plateforme,
  • fournir des informations sur les prix payés pour la publication des annonces publicitaires,
  • permettre aux utilisateurs de promouvoir leurs offres et de conclure des contrats hors de la plateforme.

S’agissant des dispositions applicables en fonction des services proposés,  les « gatekeepers » auront :

  •  L’interdiction :
    • d’opérer un classement plus favorable pour leurs propres produits et services au détriment de produits et services similaires.
    • d’empêcher les utilisateurs de désinstaller des applications ou des logiciels pré-installés sur la plateforme, sauf si ceux-ci sont essentiels au bon fonctionnement du service.
  • L’obligation :
    • de fournir l’accès à leurs outils de mesure de performance aux entreprises qui en font la demande.
    • d’organiser l’interopérabilité de leurs services, et permettre une portabilité des données des utilisateurs.

Quelles sont les sanctions encourues par les « gate keepers » ? 

La Commission Européenne prévoit des sanctions financières en cas de non-respect des dispositions, tout d’abord des amendes pouvant aller de 6% (pour le DSA) à 10% (pour le DMA) du chiffre d’affaires annuel mondial de l’entreprise.

En cas de récidive, la Commission européenne pourra également envisager des reprises structurelles, il sera possible d’aller jusqu’au démantèlement des entreprises qui ne respecteraient pas les règles de concurrence.

La mise en place de ce pack de lois est un édifice considérable affirmant la volonté européenne de s’armer dans la lutte contre la suprématie des géants du numérique pour construire un modèle de régulation ambitieux, durable où la concurrence est préservée et qui fasse référence dans le monde.

[INFOGRAPHIE] Les cyberattaques ont explosé en 2020

[INFOGRAPHIE] Les cyberattaques ont explosé en 2020 - Nameshield

Dans la fiche 5 minutes pour comprendre évoquée dans l’article publié sur ce blog, vous avez pu prendre connaissance des différents modes opératoires utilisés pour les cyberattaques.

Dans l’infographie téléchargeable ici, vous remarquerez à quel point ces cyberattaques ont explosé en 2020, comment les cibles des rançongiciels ont évolué. Une cybercriminalité qui s’est professionnalisée, qui a augmenté de façon exponentielle et qui vise maintenant des sources potentiellement plus lucratives.

Vous découvrirez également quelles sont les autres menaces à ne pas négliger.

Nouvelle fiche « 5 minutes pour comprendre : Cyberattaques – modes opératoires »

Fiche 5 minutes pour comprendre - Cyberattaques – modes opératoires

Chaque jour, de nouvelles cyberattaques viennent mettre à mal les systèmes de défense des entreprises, et fragilisent encore plus les réseaux, les cyberattaques se succèdent de manière exponentielle.

Découvrez dans cette fiche 5 minutes pour comprendre quelles sont les modes opératoires des cyberattaques les plus courantes et les solutions à mettre en place pour les contrer.

La conséquence du Brexit sur la gestion des extensions de l’AFNIC (.FR, …)

Le départ du Royaume-Uni de l’Union Européenne à compter du 1er janvier 2021 a bien sûr un impact sur les règles d’enregistrement (le .FR étant ouvert à l’enregistrement depuis décembre 2011 à toute personne physique ou morale résidant sur le territoire de l’Union Européenne).

Aussi depuis le 1er janvier dernier, les résidents du Royaume-Uni ne sont plus éligibles au .fr ainsi qu’à l’ensemble des extensions gérées par l’Afnic.

Comme l’indique l’AFNIC : « Pour bien comprendre les raisons de ce changement, il convient de rappeler les règles d’éligibilité énoncées par la Charte, directement reprises des dispositions du Code des Postes et des Communications Électroniques, à savoir :

Peuvent demander l’enregistrement ou le renouvellement d’un nom de domaine, dans chacun des domaines de premier niveau, toutes personnes physiques résidant et toutes personnes morales ayant leur siège ou établissement principal :

  • sur le territoire de l’un des états membres de l’union européenne ;
  • sur le territoire des pays suivants : Islande, Liechtenstein, Norvège, Suisse.

Le Royaume-Uni n’étant plus membre de l’Union Européenne, ses résidents ne sont plus éligibles.« 

La conséquence du brexit sur la gestion des extensions de l'AFNIC (.FR, ...)
Source image : 8385 Pixabay

A noter : le principe de la non rétroactivité des règles de nommage

Les titulaires d’un nom de domaine enregistré avant le 1er janvier 2021 résidant au Royaume-Uni pourront renouveler autant de fois qu’ils le souhaitent l’enregistrement de leurs noms de domaine, les règles d’éligibilité en vigueur au moment de l’enregistrement de leurs noms de domaine ayant été respectées.

Dans le cas d’un transfert de propriété, le lieu de résidence du nouveau titulaire sera examinée :

  *  S’il réside sur le territoire de l’un des 27 états membres de l’Union ou sur celui de l’Islande, du Liechtenstein, de la Norvège ou de la Suisse, une transmission « volontaire » peut être réalisée à n’importe quel moment auprès des bureaux d’enregistrement concernés.
 *   S’il réside sur le territoire du Royaume-Uni, le transfert ne pourra être opéré.

En résumé :

Un titulaire résidant au Royaume-Uni et ayant enregistré son nom de domaine avant le 1er janvier 2021 peut :

  • conserver son nom de domaine après cette date ;
  • le renouveler ;
  • le transmettre à un nouveau titulaire éligible ; et
  • bénéficier de la procédure de transmission forcée dans les cas particuliers prévus par la Charte de nommage.

Pour plus d’informations, votre consultant se tient à votre disposition.

La sensibilisation à la sécurité de l’information en interne

Sécurité de l’information en interne - jeu des 7 erreurs - Nameshield

Une part importante des failles de sécurité de l’information dans les entreprises est due à des facteurs humains et cette donnée doit faire l’objet de la plus grande attention de toute entreprise ou institution dont le patrimoine numérique est précieux.

Parce que Nameshield est certifié ISO 27001, l’entreprise se doit d’évaluer régulièrement le niveau de connaissance de ses employés en termes de sécurité de l’information.

L’équipe Sécurité SI a donc concocté et soumis un QCM à l’ensemble des salariés du groupe ; une nette majorité s’est prêtée à l’exercice, agrémenté d’un « jeu des 7 erreurs » pour l’aspect ludique.

Le test a permis de mesurer les acquis et de partager des techniques pour que les bonnes pratiques obtiennent l’adhésion et ne soient pas vécues comme des contraintes pesantes.  

Voici quelques unes des questions abordées : Quelles sont les spécificités d’un mot de passe robuste ? Comment le rendre mémorisable ? Quels sont les atouts d’un coffre-fort numérique ? Comment reconnaître un site de vente en ligne officiel ? Où sauvegarder mes fichiers sensibles ? Comment déceler un e-mail de phishing ? Etc.

Nous partageons avec vous le jeu des 7 erreurs. A vous de vous prêter à ce jeu en donnant vos réponses dans les commentaires de notre post LinkedIn ! Celle ou celui qui aura trouvé toutes les mauvaises pratiques en termes de sécurité SI le plus rapidement possible, recevra une récompense !

Jouez maintenant !

Alerte : une campagne de phishing cible les titulaires de .AU

Phishing .AU
Source de l’image : kitkatty007 via Pixabay

Nous vous l’annoncions dernièrement, les nouvelles conditions d’enregistrement des .AU, modifiées par le registre australien, entreront en vigueur en date du 12 avril 2021.

Classiquement, lorsqu’un registre annonce une modification des conditions d’enregistrement, il n’est pas rare que les cybercriminels en profitent pour lancer des campagnes de phishing et les .AU n’échappent pas à la règle…

Les auteurs de ce scam, se faisant passer pour le registre, contactent les titulaires de .COM.AU, .NET.AU ou encore .ORG.AU en leur demandant de fournir différentes copies de documents d’identification.

Si vous recevez l’un de ces e-mails, nous vous invitons bien sûr à ne pas y répondre. Pour rappel, le registre ne pourrait être amené à vous demander de tels documents que via votre bureau d’enregistrement.

Pour rappel, à compter d’avril 2021, la seule utilisation d’une marque australienne ne suffira plus à convenir à l’exigence de présence locale imposée par le registre. Il sera désormais nécessaire de faire correspondre le nom de domaine souhaité avec la marque exacte.

Rappelons également qu’en 2021, le registre ouvrira les dépôts de premier niveau en .AU.

Pour tout renseignement, n’hésitez pas à contacter votre consultant Nameshield.

Janvier 2021 : la ville d’Angers victime d’une importante cyberattaque

A la mi-janvier 2021, la ville d’Angers a été victime d’une cyberattaque de type ransomware. Cette attaque survient après une série de rançongiciels visant notamment les administrations publiques : Aix-Marseille, Annecy, La Rochelle, Vincennes par exemple. Une cyberattaque parmi tant d’autres puisque depuis la crise du Covid 19 : l’Agence nationale de la sécurité des systèmes d’information (l’ANSSI) déplore une multiplication par 4 des attaques de ce type.

Le déroulé des faits

Selon Ouest France,  « À partir d’un ordinateur ou un appareil relié au réseau de la Ville, une personne aurait ouvert, de manière involontaire (ou pas) une pièce jointe contenant un logiciel malveillant ». L’attaque a démarré sous la forme d’une usurpation du compte Twitter du maire d’Angers, Christophe Béchu. Parallèlement, des problèmes d’accès via badges ont été détectés pour entrer dans la mairie. Dans un dernier temps, ce sont les sites Internet d’Angers et métropoles, ainsi que certains autres services (bibliothèque, conservatoire) qui ont été visés. Les sites étaient inaccessibles, et certains collaborateurs ne pouvaient plus recevoir ni envoyer d’emails.

Le ransomware, utilisé par les pirates informatiques dans cette attaque, consiste à bloquer une certaine masse de données ou bien à les corrompre. L’objectif étant d’utiliser les données récoltées, et/ou de récupérer de l’argent, une « rançon » contre laquelle l’attaque est stoppée.

Accompagnée par l’ANSSI, la direction des systèmes d’informations de la métropole angevine a travaillé dès samedi matin à un protocole de restauration et de sauvegarde des données. Effectivement, Angers bénéficie de l’aide technique prioritaire de l’ANSSI grâce à son statut de collectivité territoriale. Les services reviennent au fur et à mesure depuis l’attaque.

Quelles conséquences ? 

Bien que la ville d’Angers ait officiellement communiqué sur le fait qu’ « aucune extraction de données » n’ait été identifiée, ce genre d’attaque n’est pas sans conséquences. Conformément à la procédure, un signalement a été déposé à la Commission Nationale de l’Informatique et des Libertés (CNIL). Comment alors s’assurer qu’aucune donnée n’ait été interceptée par les pirates ? Dans tous les cas, la restauration des données prendra un certain temps, et ralentira le SI de l’entreprise durant plusieurs jours voire semaines.

Une attaque qui démontre des failles de sécurité dans le système d’informations des administrations publiques, mais aussi une augmentation massive des attaques et du professionnalisme des pirates.

Changements des règles d’enregistrement pour les .COM.AU, .NET.AU et .ORG.AU

Changements des règles d'enregistrement des .COM.AU, .NET.AU et .ORG.AU
Source de l’image : kitkatty007 via Pixabay

Le registre australien vient d’annoncer un changement des règles d’enregistrement des .COM.AU, .NET.AU et .ORG.AU (à noter que ce changement s’applique aux noms actuellement enregistrés et ce en prévision de l’ouverture du .AU courant 2021).

Les nouvelles règles d’enregistrement des .COM.AU, .NET.AU et .ORG.AU entreront en vigueur le 12 avril 2021. Tous les noms de domaine enregistrés ou renouvelés à cette date ou après cette date seront soumis à celles-ci.

Si votre nom de domaine expire après le 12 avril 2021, les règles en vigueur au moment de votre enregistrement ou du dernier renouvellement de votre nom de domaine s’appliqueront jusqu’à la fin de la période de l’enregistrement actuel. Si le nom est renouvelé, les nouvelles règles seront donc appliquées.

En quoi consistent les changements ?

Jusqu’à présent, pour enregistrer un nom en .COM.AU, .NET.AU et .ORG.AU, vous pouviez utiliser une marque australienne pour répondre à l’exigence de présence locale et pouviez choisir un nom « étroitement et substantiellement lié » à votre marque commerciale.

Avec l’entrée en vigueur des nouvelles règles, si vous utilisez une marque australienne pour répondre à l’exigence de présence locale, le nom de domaine concerné devra correspondre exactement à la marque.

Si cela implique de changer l’entité juridique auprès de laquelle le nom est enregistré, le nom devra être alors transféré à cette nouvelle entité.

Voici l’exemple donné par le registre :

Si votre marque est « A Pretty Horse Carousels »

Vous pourriez détenir les noms suivants :

• aprettyhorsecarousels.com.au
• prettyhorsecarousels.net.au

Mais vous ne pourriez pas détenir les noms suivants :

• phc.com.au
• Carousels.net.au
• Aprettyhorse.com.au
• horsecarousels.com.au

La mise à jour de vos .COM.AU, .NET.AU et .ORG.AU, vous permettra d’être éligible à l’ouverture prochaine du .AU, prévue second semestre 2021.

Nous vous avons annoncé en 2019 l’ouverture imminente du .AU. Nous vous précisions déjà que ce sujet était en cours depuis 2015. Cette ouverture arrive enfin et est une opportunité pour vous de faire un point global de vos noms australiens.

N’hésitez pas à prendre conseil auprès de votre chargé(e) de clientèle qui vous confirmera les éléments nécessaires pour la mise à jour de votre (vos) nom (s) de domaine.

Prolongation de la période sunrise pour le .FORUM

Sortie du .FORUM - new gTLDs
Source de l’image : ary74 via Pixabay)

Le registre du .FORUM a annoncé étendre la période sunrise jusqu’au 25 février 2021.

Pour rappel le .FORUM est une nouvelle extension intéressante tant à exploiter qu’à sécuriser. Ce nouveau gTLD peut aider les internautes à trouver plus rapidement vos pages de forum en optimisant le référencement.

Nouvelle fiche « 5 minutes pour comprendre – Les enregistrements abusifs de noms de domaine » à découvrir sur le site de Nameshield

Fiche 5 minutes pour comprendre - Noms de domaine - Nameshield

Le monde numérique est en perpétuelle évolution et tous les jours, de nouveaux noms de domaine sont déposés à travers le monde.

Parmi ces nouveaux dépôts, certains peuvent potentiellement porter atteinte à votre notoriété, votre activité et à vos résultats. Les fraudeurs, par ces enregistrements abusifs de noms de domaine, cherchent ainsi à tirer profit de votre notoriété le plus rapidement possible.

Retrouvez dans cette fiche « 5 minutes pour comprendre », disponible en téléchargement sur le site de Nameshield, les différentes pratiques d’enregistrements abusifs de noms de domaine pouvant porter atteinte à votre marque et les actions à mener en fonction de l’atteinte portée à la marque.