Cybersécurité : 13 questions pour faire l’état des lieux

Vols de données, rançongiciels, fausses factures… Les risques qui pèsent sur les TPE-PME en matière de numérique sont nombreux et en évolution constante.

Elles sont en effet des cibles privilégiées pour les escrocs en tout genre du fait de leur dimensionnement qui, souvent, ne leur permet pas de se protéger correctement.

C’est pourquoi l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction générale des entreprises (DGE) proposent un guide afin d’aider les professionnels à prendre conscience du problème et leur permettre d’entamer les changements nécessaires.

Pour ce faire, 13 axes, sous formes de questions (par exemple, « utilisez-vous un antivirus ? »), sont proposés dans ce guide, autant pour se protéger que pour gérer les conséquences d’une attaque informatique.

Entreprises, places de marché, moteurs de recherches : un cadre pour équilibrer les relations

Afin de promouvoir leur activité ou de commercialiser leurs produits et services, les professionnels doivent, dans bien des cas, recourir aux services d’un moteur de recherches et/ou d’une place de marché en ligne.

Ces services sont, la plupart du temps, proposés par des entreprises occupant une place prépondérante sur internet et avec qui la relation peut s’avérer inégale pour l’entreprise utilisatrice.

C’est pourquoi le Gouvernement rappelle qu’un règlement européen a justement été adopté pour placer un cadre protecteur autour de ce type de relation.

Parmi les mesures phares de ce règlement, il est instauré un principe de transparence des relations. Ainsi, les conditions générales d’utilisation doivent être claires et accessibles pour les professionnels. De même, leur modification doit faire l’objet d’une notification au moins 15 jours à l’avance et ne peut avoir d’effet rétroactif.

Il est également prévu que les modalités de prises de décisions de la plateforme Web qui assure le service en matière de suspension, de résiliation ou de toute autre restriction doivent être accessibles.

Si une telle mesure est prise, l’entreprise utilisatrice doit en être avertie au minimum 30 jours avant la prise d’effet de la décision.

Une attention particulière doit également être apportée à la gestion des désaccords : les entreprises utilisatrices doivent être en mesure de porter réclamation auprès de la plateforme, directement auprès d’un service interne à celle-ci.

Cette démarche doit être gratuite et doit permettre d’obtenir une réponse rapide. De plus, la plateforme se doit de proposer les contacts d’au moins 2 médiateurs pour la résolution des litiges.

Enfin, les lignes directrices déterminant le classement des différentes entreprises utilisatrices sur la plateforme doivent être claires et précises. Cela doit permettre aux professionnels de comprendre et d’influer sur leur classement en s’adaptant aux règles. Ils doivent également être informés s’il est possible d’améliorer son classement moyennant rémunération.

En cas de constat d’un manquement à ces obligations, sachez que vous pouvez opérer un signalement auprès de la Direction générale de la concurrence, de la consommation, et de la répression des fraudes (DGCCRF).

Sargasses : une étude pour déterminer les pertes des indépendants

Les sargasses sont une espèce d’algue brune dont la prolifération détériore plus rapidement le matériel électronique situé près des lieux où elles se déposent, et notamment celui des indépendants.

Face à cela, le Gouvernement a pour priorité d’éviter les échouements : mise en place de barrages, collecte des sargasses dans un délai de 48 heures, etc.

Pour répondre à la demande des indépendants qui voient leur activité professionnelle durement impactée, il a également commandé une étude sur la mise en place d’un éventuel dispositif d’indemnisation.

Le but de cette étude est de permettre de distinguer l’obsolescence des biens liée au climat tropical et la salinité, de l’obsolescence liée à la présence durable des sargasses. Affaire à suivre…

Transferts de données : comment se matérialise le consentement ?

Une société qui édite des annuaires à partir des données qu’elle collecte auprès d’opérateurs téléphoniques reçoit une demande d’un particulier qui souhaite que ses informations personnelles ne soient plus publiées.

La société s’exécute, mais après une mise à jour automatique des données de l’opérateur, les coordonnées du particulier apparaissent de nouveau.

Elles sont à nouveau supprimées et la société :

• fait les démarches pour que les informations en question ne soient plus accessibles sur les moteurs de recherche ;
• prévient les sociétés tierces qui utilisent ses annuaires.

Malgré tout, une plainte est déposée auprès des autorités compétentes. La société est alors condamnée au paiement d’une amende, plusieurs violations au Règlement général sur la protection des données personnelles (RGPD) ayant été constatées.

Il lui est notamment reproché de ne pas avoir obtenu le consentement des particuliers pour la transmission de leurs données… Ce qu’elle conteste, en indiquant que tout un chacun peut parfaitement signaler qu’il s’oppose à un tel transfert.

Un argumentaire loin de convaincre le juge européen qui rappelle que le consentement des particuliers doit émaner d’une volonté claire d’accepter le transfert des données. Une non-opposition ne peut donc pas être interprétée comme un accord !

Accord de conciliation et procédures collectives : quelle articulation ?

La procédure de conciliation, qui se déroule devant le juge, est destinée au débiteur qui éprouve « une difficulté juridique, économique ou financière, avérée ou prévisible, et ne se trouvant pas en cessation des paiements depuis plus de 45 jours ».

Concrètement, elle lui permet de trouver des solutions avec ses créanciers (comme des délais de paiements ou des remises de dettes), qui sont ensuite fixées dans un accord, qui peut être homologué par le juge.

C’est justement cette procédure qu’une société a décidé de mettre en œuvre pour trouver un accord avec ses créanciers.

Dans ce cadre, elle a pu obtenir d’une banque un nouveau prêt, pour lequel son gérant s’est porté caution solidaire.

Malheureusement, la société ne parvient pas à échapper au redressement judiciaire. La banque réclame alors le remboursement du prêt au gérant de la société, en exécution de son engagement de caution.

Ce que ce dernier conteste… Selon lui, en effet, la procédure de redressement judiciaire a nécessairement mis fin à l’accord de conciliation et donc aux engagement pris pendant cette procédure, cautionnement inclus.

Ce que conteste le juge : si la loi prévoit de mettre fin à l’accord de conciliation lorsqu’une procédure collective est engagée, le créancier, qui a consenti un nouveau prêt garanti par un nouveau cautionnement dans le cadre de cet accord, peut conserver le bénéfice de cette nouvelle garantie.

Le gérant de la société en difficulté n’est donc pas ici libéré de son engagement !

La DGCCRF a-t-elle vraiment le droit d’ordonner le déréférencement d’une entreprise ?

Pour rappel, la loi DDAUE publiée en décembre 2020 a doté la Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) d’un pouvoir d’injonction numérique.

Concrètement, ce pouvoir lui permet d’ordonner l’affichage d’un message d’avertissement, le déréférencement, la restriction d’accès à un site Web ou à une application mobile ou encore, le blocage d’un nom de domaine.

Un pouvoir de déréférencement qu’elle a entendu utiliser contre une entreprise, après avoir constaté la persistance de la présence de produits non conformes et dangereux mis en vente sur son site Web.

« Un pouvoir illicite ! », estime cette entreprise, au regard notamment des principes de liberté d’expression et de liberté d’entreprendre.

« Un pouvoir parfaitement licite ! », tranche le juge, puisqu’il sert à lutter plus efficacement contre les pratiques commerciales trompeuses sur internet, même lorsque leurs auteurs exercent depuis l’étranger. Le déréférencement est donc ici confirmé !

Résolution amiable des litiges : ça bouge en 2023 !

La Compagnie nationale des conseils en propriété industrielle (CNCPI) tient lieu d’ordre professionnel aux conseils en propriété industrielle. À ce titre, elle intervient lorsque des situations litigieuses émergent du fait des activités de ces professionnels.

Afin de faciliter la résolution de ces conflits, une procédure de règlement amiable est désormais mise en place. En cas de réception d’une plainte, en effet, le président de la CNCPI peut proposer aux parties concernées une conciliation.

Si la conciliation n’est pas possible du fait d’un refus des parties, il rend une décision dans les 2 mois suivant l’acte de saisine dans laquelle il décide s’il est nécessaire ou non d’entamer une procédure disciplinaire.

Si une plainte est classée, son auteur dispose d’un mois pour former un appel motivé qu’il adresse au secrétariat de la chambre de discipline.

Si la plainte entraine des poursuites, après une instruction de 6 mois au maximum, une audience se tient devant la chambre de discipline de la CNCPI. Les parties y sont convoquées 1 mois avant la date de l’audience.

La décision qui en résulte est notifiée à l’auteur de la plainte qui, s’il souhaite la contester, dispose de 2 mois pour saisir le Conseil d’État.

Ces nouvelles mesures entreront en vigueur le lendemain de l’expiration du mandat actuel des membres de la chambre de discipline de la CNCPI, c’est-à-dire en janvier 2023.

Les contrôleurs d’accès sous le contrôle de la Commission

Le 1er novembre 2022, le règlement européen relatif aux marchés contestables et équitables dans le secteur numérique, ou Digital Markets Act (DMA), est partiellement entré en vigueur.

Avec ce nouveau règlement, l’Union européenne marque sa volonté de conserver le contrôle de ses marchés face à l’hégémonie des géants du numérique. C’est pourquoi elle se dote d’outils qui lui permettent d’établir un régime d’exception pour les entreprises les plus influentes afin de s’assurer qu’elles ne fassent pas trop d’ombre aux autres acteurs du marché.

Ce régime d’exception est celui des « contrôleurs d’accès » ou « gatekeepers ».

Il faut comprendre par-là, toutes les entreprises fournissant des services considérés comme essentiels sur le Web, dans les catégories suivantes :

• les services d’intermédiation en ligne ;
• les moteurs de recherche en ligne ;
• les services de réseaux sociaux en ligne ;
• les services de plateforme de partage de vidéos ;
• les services de communications interpersonnelles non fondés sur la numérotation ;
• les systèmes d’exploitation ;
• les navigateurs Internet ;
• les assistants virtuels ;
• les services d’informations en nuage ;
• les services de publicité en ligne, y compris les réseaux publicitaires, échanges publicitaires et autres services d’intermédiation publicitaires, fournis par une entreprise qui met à disposition n’importe lequel des services essentiels mentionnés ci-dessus.

C’est à la Commission européenne qu’il revient d’attribuer la qualité de « contrôleur d’accès » aux entreprises. Pour ce faire, elle prend en compte plusieurs critères relatifs à l’importance de cette entreprise dans son secteur et à son importance sur le marché local.

Pour faciliter la désignation, des critères chiffrés ont été établis. Ainsi une présomption pèsera sur les entreprises qui, selon le cas :

• ont réalisé un chiffre d’affaires annuel dans l’Union supérieur ou égal à 7,5 milliards d’euros au cours de chacun des trois derniers exercices, ou si leur capitalisation boursière moyenne ou leur juste valeur marchande équivalente a atteint au moins 75 milliards d’euros au cours du dernier exercice, et qu’elle fournit le même service de plateforme essentiel dans au moins trois États membres ;
• ont fourni un service de plateforme essentiel qui, au cours de chacun des 3 derniers exercices, a compté au moins 45 millions d’utilisateurs finaux actifs par mois établis ou situés dans l’Union et au moins 10 000 entreprises utilisatrices actives par an établies dans l’Union.

Toute entreprise qui dépasse ces seuils devra en informer la Commission et, à cette occasion, pourra produire un argumentaire cherchant à démontrer qu’elle n’a pas, selon elle, la qualité de contrôleur d’accès.

La décision finale revient néanmoins à la Commission qui peut également attribuer cette qualité à une entreprise qui, bien que ne remplissant pas tous les critères requis, occupe néanmoins une place prédominante au regard du caractère disproportionné de l’un de ces critères.

Elle peut également désigner unilatéralement comme contrôleur d’accès une entreprise qui ne se serait pas signalée après avoir atteint les seuils prévus.

Une fois qualifiée de « contrôleur d’accès », l’entreprise dispose de 6 mois pour se mettre en conformité avec les nombreuses obligations qui accompagnent cette désignation.

Parmi elles se trouvent des règles relatives aux données collectées auprès des utilisateurs des services, dont l’usage à des fins publicitaires devra être limité et qui ne pourront pas être croisées entre elles lorsqu’elles sont obtenues sur des services différents de l’entreprise.

De même, l’entreprise ne devra pas contraindre les utilisateurs à faire usage de ses autres produits pour pouvoir utiliser sa plateforme et devra notamment proposer une liste de services alternatifs aux siens lors de l’installation de navigateur internet, de moteur de recherche ou d’assistant virtuel, sans pour autant présenter son propre outil de façon plus favorable que les autres. En outre, la désinstallation de ses produits doit pouvoir se faire gratuitement et simplement.

Pour les utilisateurs professionnels, le contrôleur d’accès doit mettre à disposition plusieurs outils statistiques leur permettant de mesurer leurs performances sur la plateforme.

Ces contrôleurs devront également tenir public un rapport annuel démontrant leur conformité.

La méconnaissance de ces obligations pourra entrainer des sanctions, sous forme d’amendes, qui pourront aller jusqu’à 10 % du chiffre d’affaires mondial effectué sur l’exercice précédent, ou 20 % en cas de récidive.

Tous les 3 ans, au minimum, la Commission examinera la situation de chaque contrôleur d’accès afin de vérifier s’il occupe toujours une position rendant nécessaire l’application du régime.

Ces dispositions entreront en vigueur de façon échelonnée entre le 1er novembre 2022, le 2 mai 2023 et le 25 juin 2023. Elles s’imposeront à toutes les entreprises proposant leurs services à des utilisateurs au sein de l’Union européenne.

Déroger aux statuts par une simple lettre : possible ?

Une société nomme son directeur général (DG) dans une lettre. Ce document détaille non seulement les modalités de collaboration, mais il prévoit également une indemnité égale à 6 mois de rémunération brute en cas de révocation sans juste motif.

3 ans après, le DG est révoqué de ses fonctions sans juste motif…et sans indemnité !

« Et pour cause ! », rappelle la société : ses statuts prévoient que la révocation du dirigeant peut se faire à tout moment, sans motif nécessaire et surtout sans indemnité, quelles que soient les circonstances de la révocation.

Ce que ce dernier conteste, réclamant l’application de la lettre et donc, le versement de l’indemnité.

« Non ! », tranche le juge qui rappelle le principe suivant : si un document peut venir compléter les statuts d’une société, il ne peut pas déroger aux règles qu’ils édictent.

L’ancien dirigeant n’a donc le droit à aucune indemnité quelles que soient les promesses contenues dans la lettre…

3 points clés pour faire du smartphone votre meilleur allié

Depuis la fin de la crise sanitaire, Francenum constate que près de 20 % des TPE/PME s’interrogent sur la pertinence du numérique, estimant que la transition leur fait perdre du temps.

Pour les rassurer, il a tenu à rappeler pourquoi il est opportun de passer au numérique et de ne pas négliger l’utilisation d’un smartphone professionnel… parfois plus utile qu’un ordinateur.

3 aspects militent, en effet, en faveur du smartphone :

• l’aspect pratique : il permet à l’entrepreneur de réaliser de nombreuses actions tout en restant mobile, la plupart des solutions numériques étant accessibles via une application mobile ;
• l’aspect économique : il est recommandé de dissocier l’usage professionnel de l’usage personnel du smartphone ; le coût de l’investissement peut être maîtrisé grâce à un matériel reconditionné ou grâce à la location ;
• l’aspect stratégique : selon une étude, les français passent 5h34 par jour en ligne, dont 2h19 sur leur smartphone ; gérer son quotidien via des applications mobiles devient la norme que ce soit pour faire des réservations (taxi, restaurant, billet de train, RDV médical, etc.), des achats en ligne, pour gérer son compte bancaire ou encore, pour effectuer des réclamations auprès d’un service client.

Pour Francenum, travailler au maximum avec son smartphone permet aux entrepreneurs de se mettre à la place de leurs clients, collaborateurs et fournisseurs, pour mieux comprendre leurs besoins et attentes et ainsi, construire une expérience client de qualité.