Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Droit de la consommation, propriété intellectuelle et droit pénal : les enjeux juridiques du métavers

Les défis juridiques posés par les métavers ne sont pas inédits. Mais la clé pour instaurer un climat de confiance dans le monde virtuel réside dans une adaptation proactive du cadre réglementaire actuel pour faciliter l’intégration harmonieuse et sécurisée du métavers dans notre société.

Par Arnaud Touati, avocat associé, et Dany Sawaya, juriste, Hashtag Avocats.

Le métavers est un environnement fictif en 3D, interactif et immersif, qui combine le monde réel avec des mondes virtuels. A l’intérieur, les individus peuvent incarner des avatars et interagir avec d’autres personnes ou avec des objets numériques. Imaginons un immense jeu vidéo multijoueur en ligne, regroupant divers univers de jeu où il est possible de naviguer librement. Une illustration saisissante de cette vision a été présentée dans le film « Ready Player One » de Steven Spielberg, sorti en 2018.

L’avatar, sujet de droit indépendant ?
Le métavers suit une trajectoire similaire aux enjeux soulevés par le Web, et plus récemment par la blockchain (chaîne de blocs, en français). Il est indéniable que, même dans un monde virtuel, la règle de droit continue à s’appliquer. Le métavers, tout comme la blockchain et Internet de manière générale, revêt une dimension intrinsèquement internationale. Le métavers est également un terrain de jeu fertile pour l’innovation et le développement. La France, consciente de cette opportunité, cherche à faire du métavers une priorité et envisage d’utiliser les Jeux Olympiques de 2024 à Paris (du 26 juillet au 11 août 2024) comme catalyseur pour rassembler les acteurs français des métavers. Toutefois, le développement du métavers soulève des questions juridiques complexes dans divers domaines tels que le droit de la consommation, la propriété intellectuelle, et le droit pénal. L’anticipation et l’encadrement juridique du métavers sont indispensables pour instaurer un climat de confiance et garantir une utilisation responsable et sécurisée de cette nouvelle frontière numérique. Défis et considérations juridiques du métavers en matière de consommation. Le métavers pose des défis inédits en matière de droit de la consommation. Par exemple, comment qualifier les contrats conclus entre avatars ? La capacité juridique de l’avatar repose-t-elle dans celle de l’utilisateur qui se trouve « derrière » ou l’avatar peut-il être reconnu comme un sujet de droit indépendant ? Dans ce monde virtuel, les règles de vente et de prestation de services ne sont pas encore clairement définies. Bien que le code de la consommation reconnaisse l’absence de présence physique simultanée des parties contractantes et l’utilisation de « techniques de communication à distance » pour qualifier un contrat à distance (1), la question se pose de savoir si cela est suffisant pour appréhender une transaction dans le métavers. On peut envisager que la capacité juridique de l’avatar repose dans celle de l’utilisateur qui le contrôle, faisant de l’avatar une extension légale de l’utilisateur, ou que l’avatar soit reconnu en tant que sujet de droit indépendant. La validité des contrats conclus entre avatars soulève également des interrogations quant à leur qualification juridique. Concernant la qualification du contrat comme « à distance », cela implique l’absence de présence physique simultanée des parties et « le recours exclusif à une ou plusieurs techniques de communication à distance jusqu’à la conclusion du contrat », cette qualification peut être appliquée dans le contexte du métavers. Ainsi, on peut envisager que les avatars qui recourent à un mode virtuel de communication au sein du métavers représentent une autre forme de « technique de communication à distance ». Quant à la qualification du contrat comme « hors établissement », qui repose sur l’exigence de « la présence physique simultanée des parties »soit au lieu de la conclusion soit au lieu de la sollicitation, elle n’est évidemment pas transposable dans le métavers.

La société américaine Verisign, cotée depuis 25 ans, est la face privée de l’Internet mondial

Internet s’achemine vers les 400 millions de noms de domaine enregistrés dans le monde, ce qui fait les affaires de Verisign. Cette société privée américaine, basée à Reston (Etat de Virginie) et cotée au Nasdaq depuis 25 ans, gère discrètement des pans entiers du Net – dont les « .com » et « .net ».

Cela fait près de 30 ans que la société américaine Verisign tire les ficelles de l’Internet mondial, à l’ombre du gouvernement des Etats-Unis et en coulisse, aux côtés de sa compatriote Icann (1), laquelle – « à but non lucratif et reconnue d’utilité publique » – attribue et administre les adresses et noms de domaine grâce à seulement treize serveurs informatiques dits « racines » (2) répartis sur la planète. Verisign, elle, en opère deux et non des moindres. James Bidzos (photo), dit Jim, qui aura 68 ans le 1er février, en est le PDG fondateur. C’est l’homme invisible de l’Internet depuis près de trois décennies.

Société US privée en coulisses du Net
La société est cotée depuis un quart de siècle au Nasdaq à New-York où sa capitalisation boursière (3) atteint 20,8 milliards de dollars (au 12-01-24). Verisign est à l’origine commerciale de 173,9 millions de noms de domaine en « .com » (160,8 millions) et en « .net » (13,2 millions), dont cette société américaine a le monopole. Ces deux extensions sont très prisées par les sites web et les plateformes du commerce électronique partout dans le monde. Cette exclusivité, sur près de la moitié (48,4 %) des 359,3 millions de noms de domaines enregistrés dans le monde au 30 septembre dernier (4), est confortée par le taux de renouvellement d’environ 75 % de ces noms de domaine cruciaux de l’Internet. Verisign a aussi la mainmise sur d’autres extensions telles que « .edu », « .name » ou encore « .jobs ».
A chaque enregistrement ou renouvellement, Verisign encaissent quelques dollars. A cette rente de situation s’ajoute un rôle déterminant pour la gestion de bases de données de domaines (data centers sur le sol américain) et le bon fonctionnement de l’Internet mondial (200 points de présence dans le monde) : la firme basée à Reston, dans Etat américain de Virginie, opère à elle seule deux des treize serveurs dits « racines » répartis sur la planète pour permettre au « réseau des réseaux » de fonctionner. Rien de moins.

Devenue en cinq ans la plus grande bourse mondiale de cryptomonnaies, Binance mise sur la France

Binance, numéro un mondial des plateformes d’échange de cryptomonnaies, s’est fait pirater début octobre. Le Sino-Canadien Changpeng Zhao, son PDG cofondateur devenu milliardaire, aurait sans doute rêvé meilleur événement pour les cinq ans de sa licorne. Qu’à cela ne tienne, il accélère et compte sur Paris. Quand la plus grande plateforme mondiale d’échange de cryptomonnaies se fait pirater, en plus du krach des bitcoin, ether, ripple et autres dogecoin de cet été, cela n’augure rien de bon dans l’esprit du public pour l’avenir des monnaies numériques. Surtout qu’elles sont censées être sécurisées et certifiées par leur blockchain, ces réseaux décentralisés, cryptés et capables d’authentifier la détention et les échanges d’actifs numériques. Ainsi, Binance – le numéro un mondial de cette finance décentralisée (DeFi (1)) – s’est fait « hacker » dans la nuit du 6 au 7 octobre 2022. Le pirate a pu s’emparer de l’équivalent de 100 millions voire 110 millions de dollars sur le demimilliard de dollars que celui-ci comptait détourner en BNB (2), la cryptomonnaie de Binance. Celle-ci fonctionne sur la blockchain Binance Smart Chain (BSC) depuis septembre 2020, après avoir été lancée comme token sur Ethereum il y a cinq ans, au moment du démarrage de la plateforme d’échange de cryptomonnaies. Plus de peur que de mal pour cette licorne sans frontières – la start-up Binance n’est pas (encore) cotée mais elle est valorisée 300 milliards de dollars (3) – qui a réalisé l’an dernier plus de 20 milliards de dollars de chiffre d’affaires (4). Piratage de Binance : deux « exploits » inquiétants La cyberattaque a été rapidement circonscrite par la « suspension temporaire » de la blockchain BSC et la faille identifiée sur « un pont à chaînes multiples » (5). La majorité des fonds ont été « gelés », mais l’hackeur s’est évaporé dans le cyberespace avec au moins 100 millions de dollars dérobés. « Le problème est maintenant maîtrisé. Nous nous excusons pour les désagréments et nous vous fournirons en conséquence d’autres mises à jour », a twitté le PDG de Binance, Changpeng Zhao (photo), le 7 octobre au petit matin (6). Cette déconvenue pour Binance laissera des traces, au-delà de la forte chute du cours du BNB qui fut au pire moment de – 7,5 % par rapport au niveau le plus haut du 6 octobre (7). Surtout que ce n’est pas la première fois que Binance se fait pirater : un précédent « exploit » (8) s’est produit en mai 2019, avec un vol de 7.000 bitcoins d’un montant à l’époque de 40 millions de dollars (9). De tels incidents font désordre pour la plus grande bourse de cryptomonnaies au monde en volume. Forte actuellement de ses 90 millions d’utilisateurs, la fintech des cryptos nourrit des ambitions planétaires sans précédent et son patron lance un véritable défi à tout la finance internationale. Un total de 1 milliard d’investissements en 2022 Se surnommant « CZ », ce Sino-Canadien (né et ayant grandi en Chine avant d’avoir la nationalité canadienne) a cofondé Binance il y a cinq ans à Singapour avec Yi He (photo ci-contre) – aujourd’hui directrice marketing (CMO) et depuis début août en charge aussi de l’incubateur Binance Labs gérant 7,5 milliards de dollars d’actifs (10). Malgré les embûches, la crypto-exchange continue d’aller de l’avant pour conforter sa place de leader, loin devant son rival Coinbase (11), qui est, lui, coté à la Bourse de New-York, au Nasdaq. La licorne de CZ est devenue le fleuron du « capitalisme Web3 » et affiche déjà des pics d’activité impressionnants : jusqu’à 100 milliards de dollars échangés en 24 heures, soit jusqu’à 7.700 milliards dollars négociés sur une année ! De quoi donner le tournis, même aux plus aguerris du trading. Depuis 2018, CZ est milliardaire et aujourd’hui – à 45 ans depuis le 10 septembre – sa fortune atteint (au 14-10-22) 17,4 milliards de dollars (12). Dans un entretien à l’agence Bloomberg (13), publié le 7 octobre, CZ affirme que Binance pourrait dépenser sur l’ensemble de l’année 2022 plus de 1milliard de dollars dans des acquisitions et des investissements. Le numéro un mondial de l’exchange de tokens veut faire des emplettes pour accroître ses activités dans la DeFi, les NFT, le métavers, les jeux vidéo ou encore le e-commerce. Or, depuis janvier, seulement 325 millions de dollars ont été dépensés dans quelque 67 projets. Si le milliard était atteint, cela représenterait sept fois les dépenses de l’année 2021. Et encore, cela ne prend pas en compte deux investissements très en vue : le plus important est le projet de participer à la prochaine acquisition de Twitter par Elon Musk, opération dans laquelle Binance prévoit d’injecter 500 milliards de dollars ; le second, déjà envisagé en février dernier mais reporté, consiste à investir 200 millions de dollars dans Forbes Media, l’éditeur américain du plus que centenaire magazine économique. Et ce, via une Spac (14) – sorte de « coquille vide » boursière permettant de lever des fonds en Bourse et baptisée Magnum Opus Acquisition. La participation minoritaire dans Twitter pourrait se concrétiser dès que le patron de Tesla et de SpaceX aura jeté son dévolu sur la firme à l’oiseau bleu. Concernant Forbes Media et son projet d’introduction en Bourse accompagné par Binance, lequel apportait aussi son expertise dans les cryptomonnaie, la blockchain et le Web3 dans des contenus éditoriaux du célèbre titre (lu par 150 millions de personnes dans le monde), ce n’est que partie remise comme l’avait confirmé Forbes Media le 1er juin (15). Avec CoinMarketCap, le site web d’information de référence sur les cryptomonnaies et 543e site web le plus visité au monde avec 120 millions de visiteurs par mois (16), Binance a fait en avril 2020 sa première acquisition de taille. A qui le tour ? « Binance Labs gère actuellement des actifs pour un total de 7,5 milliards de dollars, ce qui en fait la plus grande société de capital de risque en cryptoactifs de l’industrie », déclare l’incubateur qui finance plus de 180 projets liés au Web décentralisé (blockchain) et à la crytographie. Autant de start-up dont certaines pourraient tomber dans son escarcelle. CZ se focalise notamment sur l’Europe et plus particulièrement sur la France où il a déclaré lors du Paris Blockchain Week Summit (PBWS) le 13 avril 2022 : « We love France » ! Il y a annoncé vouloir investir 100 millions d’euros en France justement, dans le cadre de son projet « Objectif Lune » (Moon Objective) lancé en novembre 2021, avec la bénédiction de Cédric O, alors secrétaire d’Etat chargé du Numérique, et le partenariat de l’incubateur de startup Station F créé par Xavier Niel (il y a cinq ans comme Binance). Et ce, au moment de la création de Binance France SAS domiciliée à Montrouge et présidée par David Prinçay. A l’instar de Binance US, l’entité distincte aux Etats-Unis (BAM Trading Services Inc., enregistrée dans le Delaware), la société française n’a pas de lien juridique avec Binance Asia Services (BAS) à Singapour. BAS a d’ailleurs dû fermer sa plateforme en février dans ce pays pour pivoter en hub de blockchain. CZ avait indiqué au printemps qu’il avait choisi la France – à la crypto-régulation plus accueillante – comme « rampe de lancement pour l’Europe » et en faire de l’Hexagone « le coeur de la communauté crypto européenne ». CZ s’est ainsi « engag[é]à construire et soutenir un écosystème fort autour de la blockchain, du Web3 et des métavers » (17). Le mois suivant, le 4 mai dernier, Binance obtenait en France son statut de prestataires de services sur actifs numériques (PSAN), véritable sésame délivré par l’Autorité des marchés financiers (AMF). De là à faire de Paris la domiciliation de son futur siège social (européen ou mondial) voire la place financière de sa cotation en Bourse envisagée, il n’y aurait qu’un pas. Paris, tête de pont pour l’Europe voire le monde La fintech du Web3 a franchi une étape supplémentaire durant la Binance Blockchain Week (BBW) qui s’est tenue à Paris mi-septembre dernier, où Changpeng Zhao a rencontré Jean-Noël Barrot, le nouveau ministre délégué chargé de la Transition numérique et des Télécommunications (18). « Nous avons aujourd’hui 150 personnes à Paris et nous prévoyons d’en embaucher environ 200 autres d’ici la fin de l’année », a indiqué le Sino-Canadien, plus francophile que jamais. Selon nos informations, un directeur général de Binance France pourrait être recruté d’ici la fin de l’année. Durant ce même BBW dans la capitale française, Binance s’est constitué un conseil mondial d’experts (Global Advisory Board), présidé par Max Baucus, ancien sénateur américain et ambassadeur en Chine. Le haut fonctionnaire français Bruno Bézard, ancien directeur du Trésor à Bercy, en est un des membres. Après le crypto-krach du marché des cryptos, surnommé « l’hiver crypto », Binance – adoubé par la France – veut montrer pattes blanches aux régulateurs financiers du monde entier. @

Charles de Laubier

Rançongiciels et « double extorsion » : le paiement de la rançon ne doit surtout pas être la solution

Les rançongiciels, en plein boom, constituent un fléau numérique mondial qui pourrait coûter en 2021 plus de 20 milliards de dollars de dommages – rançons comprises. Or payer les sommes exigées – sans résultat parfois – ne fait qu’alimenter un cercle vicieux que seul l’arsenal juridique peut enrayer.

Par Richard Willemant*, avocat associé, cabinet Féral