Contexte et contenus

681694 vol de donnees de l ap hp la prefecture met en ligne un formulaire
L’assistance publique des hopitaux de paris, victime d’une cyberattaque

Début septembre, l’APHP-Hopitaux de Paris a été victime d’un piratage informatique aboutissant au vol de plus d’1,4 millions de données de personnes en lien avec le dépistage Covid

Sont en cause des données personnelles particulièrement sensibles puisqu’associées au domaine de la santé : les nom, prénoms, date de naissance, sexe, numéro de sécurité sociale, information de contact, adresse postale, électronique ou numéro de téléphone, caractéristiques et résultat du test utilisé. 

Il est toutefois précisé qu’aucune autre information médicale n’est présente dans ces listings. Les fichiers dérobés portent presque exclusivement sur des tests réalisés mi-2020 en ile de France. Les enjeux et implications au regard des données de santé demeurent toutefois extrèmement sérieuses.

Contexte : vol de données médicales liées au Covid

La base de données a été subtilisée à partir d’une plateforme de téléchargement hébergée en Nouvelle-Zélande dont l’accès a été coupé le 14 septembre, deux jours après la découverte de l’intrusion. 

D’après l’APHP, « pour transmettre à l’Assurance Maladie et aux Agences Régionales de Santé des données issues de laboratoires de biologie médicale utiles au suivi et à l’accompagnement des personnes (contact tracing), ce service a été utilisé de manière très ponctuelle en septembre 2020, en complément du système d’information national de dépistage (SI-DEP), dont l’AP-HP assure la maîtrise d’Å“uvre pour le compte du ministère des Solidarités et de la Santé et qui rencontrait des difficultés techniques dans ses outils de transmission ».

Utilisation des données de santé et risques pour les victimes

Les informations personnelles associées au compte piraté peuvent aujourd’hui ètre diffusées vendues seules ou en groupe sur internet notamment le darkweb. 

Ces informations peuvent également donner lieu à des tentatives d’escroqueries ou usurpations d’identité pour la souscription de prèts ou abonnements contractés. À titre d’exemple, le numéro de sécurité social donne accès à la plateforme FranceConnect qui centralise plus de 800 démarches civiles comme les impôts, la caisse d’allocation familiales ou le site de l’Assurance Maladie. 

Enfin, des tentatives d’hameçonnage (phishing) consistant à envoyer aux personnes un courriel ou sms frauduleux seront sans doute exploitées. Toute prise de contact faisant état des données personnelles ci-dessus citées – correspondance émanant par exemples de laboratoires pharmaceutiques, d’hôpitaux, médecins, professionnels de santé et institutions étatiques publiques – peut constituer une tentative de piratage de vos données et matériel informatique.

Piratage informatique : Actions et mesures

Tenu d’une obligation d’information directe des personnes concernées, l’APHP vous aura notifié la violation de leurs systèmes d’information. Il est à noter que plusieurs sites internet indiquent détenir les données en cause et pouvoir indiquer les personnes concernées. 

Les institutions publiques déconseillent fortement ces plateformes qui pour certaines ont vocation à détourner vos informations à des fins personnelles.

Mesures techniques : en cas de cyberattaque, l’ensemble des professionnels du secteur recommandent par mesure de précaution la modification sans délai des mots de passe des utilisateurs visés sur les différentes plateformes. 

Dans le but de sécuriser leur compte, la diversification des mots de passe, l’intégration de validation en deux étapes via courriel ou texto sont encouragés. 

Plusieurs guides pratiques et informations sont régulièrement mis à jour sur les moyens de protection informatique existants, la sécurité des mots de passe, etc. 

Vigilance prolongée. Il est courant que l’exploitation de données subtilisées soit réalisée dans un temps ultérieur conséquent afin d’affaiblir la vigilance des victimes. Les pouvoirs publics recommandent sur ce point aux victimes de rester alertes sur les mouvements de leurs comptes. Il vous est possible de vérifier via des sites étatiques tel la banque de France ou la CNIL l’ouverture de nouveaux comptes à votre nom. 

En cas de découverte de publication non autorisée de vos données personnelles, d’utilisation frauduleuse de ces données ou de tentative d’escroquerie, il importe de conserver l’ensemble des preuves de ces agissements notamment via des captures d’écran. 

Si des comptes de réseaux sociaux sont impactés, il est vivement recommandé de signer directement les pages, comptes et messages litigieux auprès des modérations des plateformes. 

Plainte et action collective: Protection des victimes

Le droit français ne reconnaissant pas les actions collectives, les victimes du vol de données de l’APHP peuvent porter plainte individuellement, faisant valoir les préjudices subis – patrimoniaux et moraux du fait de cette violation. La constitution d’associations de victimes, la mobilisation de la CNIL en la matière faciliteront une fois l’identité des responsables civiles et pénales leur condamnation aux indemnisations pertinentes. 

Déjà saisie la Brigade de Lutte Contre la Cyberriminalité du Parquet de Paris, les infractions envisagées portent sur l’accès et maintien dans un Système de Traitement Automatisé de Données (STAD), extraction frauduleuse de données d’un STAD et collecte frauduleuse de données à caractère personnel. 

Le gouvernement a mis à disposition des victimes un formulaire de plainte transmissible en ligne via l’adresse plainte-befti@interieur.gouv.fr

Il importe toutefois de signaler que le dépôt de plainte en l’absence de préjudice identifié apparaît difficile, une main courante constituant indubitablement un premier élément de procédure.

RGPD Conformité données personnelles

Destiné aux jeunes entreprises, ce guide a vocation à présenter synthétiquement les différentes étapes nécessaires à la préparation d’une mise en conformité RGPD.

Pour des informations plus techniques en la matière, nous vous recommandons l’ensemble des publications du cabinet

Retrouvez l’ensemble des publications et conseil du cabinet PCS Avocat.

Conformité RGPD : une obligation pour toutes les entreprises

La protection des données personnelles est principalement encadrée par la loi Informatique et Libertés du 6 janvier 1978 et le récent Règlement Général sur la Protection des données du 27 avril 2016.

En pratique, depuis le 25 mai 2018, toutes les entreprises sont tenues d’ètre en conformité avec les principes et règles établies par ces textes sauf à encourir des sanctions financières conséquentes : jusqu’à 20 millions d’euros voire 4% du chiffre d’affaires mondial.

Plusieurs exemples de sanctions de la CNIL

La mise en conformité d’une entreprise au RGPD nécessite d’appréhender plusieurs problématiques liées notamment à ses traitements de données personnelles, son encadrement contractuel, sa sécurité informatique et la formation de ses effectifs.

L’audit RGPD constitue la première et plus importante étape pour les entreprises qui ne sont pas encore en conformité.

RGPD et CNIL - Collecte et traitement de données personnelles - Sanction Bouygues Telecom

Quelles sont les données personnelles?

Une donnée personnelle concerne légalement toute donnée qui permet d’identifier une personne physique, directement, ou indirectement.

  • Sont usuellement mentionnés les nom, prénom, photographie, date de naissance, vidéo, voix, empreintes digitales, etc.
  • Sont également impliquées les éléments permettant par l’intermédiaire d’un tiers de retrouver l’identité d’une personne : c’est le cas notamment des numéros de téléphone, plaque minéralogique, numéro de sécurité sociale, adresse IP, etc.
  • Elles peuvent également se déduire d’un cumul d’informations diverses : l‘âge, un historique médical, des notifications de déplacements peuvent ensemble permettre d’identifier une personne.

Enfin, ces données peuvent concerner au sein d’une entreprise aussi bien les clients, salariés, stagiaires, fournisseurs et prestataires externes.

La méconnaissance des règles applicables peut avoir des conséquences importantes pour les sociétés : retrouvez notre présentation des erreurs courantes en matière de RGPD.

Audit RGPD : Périmètre de recherche et d’analyse

Le RGPD impose une responsabilisation des entreprises tenues de pouvoir justifier en cas de contrôle ou demande par des partenaires leur conformité en matière de protection des données. A ce titre, il n’est plus nécessaire de procéder à une déclaration CNIL.

L’audit RGPD s’inscrit dans l’analyse de l’ensemble des éléments nécessaires pour toute entreprise établie ou proposant ses produits et services au sein de l’Union Européenne. Les sociétés doivent notamment justifier de :

  • L’existence d’un registre de traitements de données à jour ; ce document regroupe l’ensemble des informations personnelles collectées sur toutes les activités de la société : ressources humaines, site internet, newsletter, gestion client, comptabilité, etc.
  • La préparation d’analyses d’impact tout au long du développement de la société notamment en cas de nouvelle mise en place de traitement ;
  • La maitrise des différents prestataires et sous-traitants de la société et leur propre conformité au RGPD dans vos relations.

Ces audits RGPD peuvent ètre réalisés par un membre de la société, compétent en la matière, ou par un prestataire externe, généralement des cabinets d’audit ou des avocats spécialisés.

RGPD - Protection des données personnelles - Sanctions CNIL & voies de recours

Audit RGPD en pratique : durée et coût

L’audit RGPD est destiné à proposer une présentation globale et complète de l’ensemble des processus internes d’une entreprise en matière de données personnelles.

Cartographie des « flux de données » collectés et traités par la société, il impose une identification des différents acteurs et services pertinents afin de constituer le premier document obligatoire : le registre des traitements.  

Les jeunes entreprises et startups du numérique disposent généralement de nombreux process de traitements informatiques de données qu’il impose au plus tôt d’audit. La durée et le coût des audits varie nécessairement selon la complexité et développement de la société pouvant aller de quelques heures à plusieurs jours, soit 1 000 à 10 000 euros

Procédures de conformité RGPD

Afin d’anticiper tout contrôle ou demande d’une société partenaire, il est important que chaque entreprise respecte un certain nombre de pratiques :

  • Désignation d’un délégué à la protection des données (DPO) ;
  • Mettre à jour les documents contractuels avec les clients et partenaires ;
  • Sécuriser les systèmes informatiques des traitements ;
  • Définir les procédures d’accès et d’exercice des droits des personnes ;
  • Sensibiliser et former les salariés et effectifs de la société
  • Mettre à jour les supports de communications : site internet, cookies, newsletter, etc.

Retrouvez l’ensemble des procédures de mise en place du RGPD

Le législateur a proposé en 2016 un premier cadre juridique et législatif à l’esport lui offrant un régime juridique autonome s’inspirant d’encadrements préexistants.

La complexité et la richesse du secteur ne peut cependant limiter à ce premier texte légal l’intégralité des règles susceptibles de s’appliquer à la diversité des acteurs de l’esport. 

Conscient des dangers d’un secteur économique entier sans garde-fou, le législateur s’est mobilisé afin de proposer un premier régime juridique pour l’esport.

Rapport intermédiaire & régime autonome

Dans le cadre de la préparation de la loi pour une république numérique, le premier ministre a commandé un rapport parlementaire d’étape sur l’esport remis le 24 mars 2016 à Mme Axelle Lemaire, secrétaire d’Etat au Numérique.

En synthèse, le rapport identifie deux risques majeurs dans le développement des pratiques esportives portant sur l’organisation des compétitions, devant préciser les conditions de la tenue de compétitions de jeux vidéo, physiques et payantes, leur accès aux mineurs et leur diffusions audiovisuelles.

Capture décran 2021 10 11 à 15.08.47

De mème, le statut du joueur esportif, non protégé, devait ètre précisé pour lui permettre de bénéficier d’un contrat de travail spécifique et d’un statut social assimilable à celui du sportif professionnel.

Au sein de la Loi pour une République Numérique, le législateur a consacré les premières dispositions légales propres à encadrer l’esport. Lui refusant le statut de sport, impossible à mettre en Å“uvre, ce dernier s’est focalisé via deux articles 101 et 102 sur les deux problèmes jugés les plus importants : le contrôle des compétitions et la protection des joueurs : Le terme « esport » est délaissé au profit de « compétitions de jeux vidéo » caractérisé par une « confrontation, à partir d’un jeu vidéo, d’au moins deux joueurs ou équipes de joueurs pour un score ou une victoire ».

Organisation de compétition

Identifié comme une forme de jeux d’argent et de hasard, les règles applicables en matière d’organisation de compétitions esportives ont été intégrées au sein du Code de la sécurité intérieure aux articles L321-8 et suivants. Les compétitions agréées et déclarées impliquent la présence physique des joueurs pour envisager la possibilité de gains ou cash prizes également encadrés.

« Le joueur professionnel salarié de jeu vidéo compétitif est défini comme toute personne ayant pour activité rémunérée la participation à des compétitions de jeu vidéo dans un lien de subordination juridique avec une association ou une société bénéficiant d’un agrément du ministre chargé du numérique, précisé par voie réglementaire […]

[…] les organisateurs déclarent à l’autorité administrative, dans des conditions fixées par décret en Conseil d’État, la tenue de telles compétitions. Cette déclaration comporte les éléments permettant à l’autorité administrative d’apprécier le respect des conditions prévues aux deux premiers alinéas ».

Le texte précise aussi que la possibilité ainsi donnée d’organiser de telles compétitions n’inclut pas la « prise de paris », ces derniers demeurant sous le régime de prohibition des loteries.

Contrôle et sanctions

Esport et compétitions de jeux vidéo - Stratégie nationale e-sport 2020-2025 - Réglementation et régime juridique esportifs

Juridiquement, l’organisation de compétitions de jeux vidéo apparait dépendre de prime abord du droit commun pour les organisations exceptions faites des différentes déclarations obligatoires posées par le Code de la sécurité intérieure et d’autres dispositions complémentaires. Leur tenue peut ètre contrôlé par l’ANJ (Autorité Nationale des Jeux, anciennement ARJEL), à mème d’agir à l’encontre des organisateurs de compétitions esportives en ligne illicite.

Un organisateur étranger de compétitions de jeux vidéo en ligne sera soumis aux obligations du droit français et pourra ainsi faire l’objet de mises en demeure de l’ANJ et de sanctions prévues par le Code de la sécurité intérieure dès lors que la compétition est dirigée vers des joueurs français.

Il est à noter que l’autorité administrative en charge de la gestion et contrôle des compétitions de jeu vidéo n’est pas l’ANJ mais le « service du ministère de l’intérieur chargé des courses et jeux ». L’organisme aura notamment le contrôle des mécanismes garantissant le reversement des gains dans les cas où les gains ou lots excèdent la somme de 10 000 euros.

Statut des joueurs professionnels (salariés)

Le statut des joueurs se trouve réglementé dans l’art. 102 de ladite loi, où il est déclaré que ceux-ci sont soumis au droit du travail, plus précisément à un contrat à durée déterminée, comme le sont les sportifs. Ce statut des joueurs professionnels de jeux vidéo apparait ainsi très proche de celui des sportifs professionnels : il est marqué par des similarités entre les carrières et les modes d’exercice des activités, ainsi que le préconisait le rapport intermédiaire. Certaines prérogatives des sportifs ne sont cependant pas étendues aux joueurs de jeux vidéo, comme l’accès aux aides financières et à la couverture sociale mise à la charge de l’État dont peuvent bénéficier certains sportifs professionnels.

Art. 102 de la loi du 7 octobre 2016 : « III. – Tout contrat par lequel une association ou une société bénéficiant de l’agrément prévu au I du présent article s’assure, moyennant rémunération, le concours d’un joueur mentionné au mème I est un contrat de travail à durée déterminée ».

Différents types d’organisateurs

Esport & Publicité - Diffusion de compétition de jeux vidéo & sponsors

L’organisateur de compétition esportive peut ètre défini comme la personne, physique ou morale, ayant l’initiative de l’évènement et la gérance de l’ensemble des intervenants et prestations participant à sa réalisation. Il est par ailleurs possible de distinguer un organisateur technique et spécialisé, mandaté par le créateur de l’évènement pour réaliser la compétition de jeu vidéo, notamment ses aspects logistiques.

À ce titre, les création et mise en place d’un évènement esportif dépend aujourd’hui de trois entités, toutes motivées par le rayonnement et la visibilité de la compétition : les éditeurs de jeux vidéo, des associations de joueurs d’un titre de jeu vidéo en particulier, ou des tiers spécialisés dans l’organisation de ce type d’évènements à des fins de promotion de produits ou services.

Variété de règles applicables

En parallèle du régime juridique propre de l’esport, la tenue d’une compétition de jeu vidéo et la participation physique des joueurs sont encadrés par le droit classique s’appliquant aux événements publiques ou privés, à l’image de concert, exposition, salon ou compétition sportive, la collecte et gestion des données personnelles, etc.

La pluridisciplinarité associée à l’organisation d’un événement implique une variété de textes de références dispersés dans différents codes et législation : Code des collectivités territoriales concernant les responsabilités des maires ou préfets en lien avec la sécurité du public, la salubrité et l’ordre public ; Code de la construction et de l’habitat concernant les conditions d’ouvertures des établissements recevant du public (ERP) ; Code de la route pour toutes les manifestations utilisant des axes routiers publiques ; Code civil quant au respect des règles de sécurité et encadrement de la responsabilité ; Code pénal ; Code du travail et Code de la propriété intellectuelle.

La démocratisation d’Internet a facilité la création et mise à disposition de contenus à travers le monde pour l’ensemble des internautes. Les relations entre les différents consommateurs se sont progressivement structurées par le biais de services de relation – les réseaux sociaux – proposant mettant à la disposition de toute personne les outils pour la création de contenus et l’accès aux contenus publiés d’autres utilisateurs.

Les plateformes telles Twitter, TikTok, Instagram, Snapchat, Twitch ou encore YouTube ont favorisé une diversification des contenus et de leurs formes ainsi que l’apparition de nouvelles professions rémunérées liées à cette création de contenus : l’influence et les influenceurs.

Pour rappel, les influenceurs sont des professionnels ou particuliers proposant des contenus publiés au sein de différents réseaux sociaux, distingués par des communautés d’abonnés ou d’internautes très importantes. Ils sont en ce sens qualifiés de « leaders d’opinion » dont certains contenus peuvent intégrer des activités promotionnelles ou publicitaires de produits ou services.

Influenceurs : des prestations variées

Le Marketing d’influence constitue un enjeu majeur pour l’ensemble des influenceurs professionnels, constituant le premier levier financier de leur activité.

Dans ce contexte, de nombreuses pratiques commerciales jugées déloyales ou trompeuses sont progressivement apparues – publicité déguisée ou clandestine, faux comptes d’abonnés, plagiat de contenus, jeux-concours illégaux, etc. – aboutissant à des sanctions des plateformes voire des condamnations judiciaires notamment pour contrefaçon ou concurrence déloyale.

En matière de dropshipping, il revient par exemple aux influenceurs et ambassadeur de marque de s’assurer du respect des mentions obligatoires en matière de droit de la consommation : identification du partenaire, non-incitation à l’achat par un jeune public, information sincère et loyale sur les caractéristiques du produit, exclusion de promotion de produits réglementés ou interdits, etc.  

Contrats de partenariats : des clauses habituelles et spécifiques

Proposer une liste exhaustive de l’ensemble des clauses susceptibles d’apparaitre dans un contrat de partenariat d’influence apparait difficile tant peuvent ètre variées la diversité des profils d’influenceurs, des annonceurs et sponsors intéressés par leur service, le type de demandes et d’obligations souscrites et leurs modalités d’application.

Rédiger un contrat dédié à la relation entre l’influenceur et le sponsor/commanditaire/annonceur demeure essentiel à la protection des intérèts respectifs de chaque partie et la garantie de la réalisation de prestations efficaces qui peuvent engager l’image et la notoriété d’une société, d’une marque, d’un produit ou service.

Les contrats rédigés peuvent dés lors relever de différentes législations et codes juridiques notamment le Code du travail ou les règles civiles liées aux contrats de prestation selon le statut de la personne : Il peut s’agir ainsi d’activités proche de mannequin, d’acteur, de sportif, de « créateur de contenus audiovisuels en ligne », de promotion générique, etc. 

On peut toutefois identifier un certain nombre de prestations distinctes qui peuvent faire l’objet de contrats séparés ou englobés : la promotion ponctuelle d’une opération marketing, l’engagement sur une période donnée de publication d’un nombre identifiables de contenus libres – sans style ou traitement propre – ou prédéfinis, la création de contenus autonomes et critiques, la participation à des représentations ou évènements, la licence de marque et de droit d’image, etc. 

Les contrats devront comporter des clauses liées à la propriété intellectuelle, l’exclusivité, la durée du partenariat, la rémunération, les produits concernés, la prise en charge des frais, etc.

L’absence d’encadrement contractuel peut également conduire à des qualifications pénales de certaines publications. C’est le cas notamment lorsque les dispositions du Code de la consommation ne sont pas respectées notamment l’obligation d’une information loyale et sincère pouvant qualifier l’opération de pratique commerciale trompeuse.

En effet, le fait de ne pas rendre la publicité clairement identifiable pour le public alors qu’une promotion est faite pour le compte d’une marque ou d’un sponsor est pénalement répréhensible, les peines pouvant aller jusqu’à deux ans d’emprisonnement, 300.000 euros d’amende, voire des pourcentages de chiffres d’affaires de la société.

Sur le Travail des enfants influenceurs Lire notre dossier consacré

Enfants influenceurs - YouTuber, Twitcher, Streamer - Code et contrat de travail

Responsabilité de l’éditeur et modération des contenus

En France, la Loi pour la Confiance dans l’Economie Numérique (LCEN) rappelle la stricte responsabilité des influenceurs sur les contenus qu’ils publient, que ces derniers soient réalisés à la demande de tiers ou non.

En effet, ce dernier est juridiquement qualifié d’éditeur de contenus en ligne et demeure le premier responsable de ses publications au regard des différentes règlementations applicables : droit de la presse, droit à l’image et respect de la vie privée, propriété intellectuelle et droits d’auteur, contenus diffamants, injurieux ou constituant d’autres délits de presse, etc.

La LCEN rappelle sur ce point les thèmes pouvant limiter la liberté d’expression des influenceurs notamment que ces derniers impliquent « le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère plurialiste de l’expression des courants de pensée et d’opinion, la sauvegarde de l’ordre public, les besoins de la défense nationale, les exigences de service public, les contraintes techniques inhérentes aux moyens de communication ou encore la nécessité, pour les services audiovisuels, de développer la production audiovisuelle ».

Régi par un contrat, la responsabilité des créateurs de contenus peut ètre atténuée ou limitée, mais il apparait très difficile de la supprimer stricto sensu.

Certains réseaux sociaux et plateformes d’hébergements de contenus en ligne proposent des outils facilitant l’interaction et la participation des abonnés, notamment sur Twitch et Youtube. L’influenceur, responsable de l’ensemble des publications sur sa chaine a le devoir de veiller à la modération des contenus y compris ceux publiés par un tiers.

A défaut d’ètre l’auteur direct de la publication, l’influenceur par un jeu de responsabilité dite en cascade sera co-responsable de sa publication sauf à justifier qu’il n’avait connaissance du contenu et qu’il l’a retiré dans un délai rapide au sens de l’article 6 de la LCEN :

«  Les personnes physiques ou morales qui assurent, mème à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère manifestement illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible ».

Cyberharcèlement, harcèlement de meute & raid numériques 

De nombreuses pratiques récentes d’influenceurs encourageant leurs communautés à dénigrer ou troller des personnes sur les réseaux sociaux ou IRL (in real life) ont poussé le législateur à créer de nouvelles infractions pénales spécifiques. Certaines déclarations d’influenceurs ont pu ètre qualifiées de cyberharcèlement ou harcèlement de masse aboutissant à des peines de prison et d’amende.

Les premières décisions de justice en la matière ont été marqué par une sévérité surprenante de la part des juges pour protéger les atteintes aux vies privées des personnes victimes de cyberharcèlement : Affaires Nadia Daam, Marvel Fitness

Jeux vidéo, Esport & réalité virtuelle
Réalité virtuelle appliquée aux jeux vidéo

De plus en plus de sociétés font aujourd’hui appellent aux nouvelles technologies pour promouvoir leurs marques et activités ou proposer directement leurs produits et services. Dans ce contexte, les technologies de réalité virtuelle et autres formes de techniques immersives sont aujourd’hui arrivées à un stade de stabilité et performance qui séduisent de nombreux professionnels.

La France se démarque par la multiplication des sociétés d’édition et de commercialisation de ce nouveau type d’audiovisuel, parfaitement intégrées aujourd’hui aux acteurs des médias et vidéo ludiques.

Les solutions de réalité virtuelle (VR) sont composées d’un amas d’éléments de codes sources, logiciels, fonctions Saas, interphase graphiques, capteurs techniques et objets connectés, chacun protégé par des règles de propriété intellectuelle voire industrielle.

Il n’existe à ce jour pas de textes législatifs encadrant spécifiquement l’utilisation de logiciels générant une forme de réalité augmentée ou virtuelle. Compte tenu en réalité de la grande diversité de textes légaux pouvant s’appliquer et des obligations en découlant, il est une importance capitale que les professionnels encadrent contractuellement leurs relations depuis la réalisation des contenus VR quant à leur exploitation et licences.

L’enjeu pour les studios de développement porte nécessairement sur l’encadrement des licences et franchise de réalité virtuelle afin de protéger leur savoir-faire et propriété intellectuelle.

Pour les exploitants de salles de VR ou de solution de réalité virtuelle ou augmentée, l’enjeu porte sur la sécurité et fiabilité à la fois des éléments logiciels et éléments matériels, support de l’expérience utilisateur VR.

Réalité virtuelle / Réalité mixte / Réalité augmentée / Metavers

Capture décran 2021 12 22 à 17.04.29

Il est fréquent que ces termes soient utilisés pour identifier des solutions technologiques similaires voire identiques. En synthèse, l’ensemble de ces notions fait référence à une forme altérée numérique de la réalité physique.

La réalité virtuelle renvoie à tous les outils technologiques permettant une immersion de l’utilisateur au sein d’un environnement numérique alternatif s’inspirant du monde réel ou non. Les espaces au sein de jeux vidéo, les images et vidéos 360°, ou des réseaux sociaux intégralement en ligne entrent ainsi dans une définition large de la réalité virtuelle.

La réalité mixte consiste en une combinaison d’éléments ou objets mèlant à la foi des objets numériques ou virtuels et des éléments du monde réel. 

La réalité augmentée intègre au sein du monde réel des éléments ou contenus numériques dans un environnement réel accessible à partir d’instruments numériques tels des casques, smartphones, lunettes, CAVE, etc. 

Cette dernière connaît un essor fulgurant comme point de convergence des technologies innovantes en matière de distribution (cornershop ou boutiques intégralement virtuelles), consommation (publicité, marques, ARsquatting, etc.) ou encore de distinction entre espace public et privé.

Enfin, le metavers englobe l’ensemble des technologies permettant de proposer un espaces virtuel intégrant des expériences immersives en 3D . Ils sont généralement rattachés à des services interconnectés en temps réel.

Réalité virtuelle & Espace VR – Franchise et Licence de droits

De nombreux studios et éditeurs de logiciels en réalité virtuelle proposent leurs contenus sous la forme de contrats de franchise et de distribution. 

Déployées via des partenaires spécialisés dans des salles indoor VR, arcades, parc de loisirs ou espaces VR adaptées pour la communication des entreprises, les solutions de réalité virtuelle se développent massivement à titre récréatif ou professionnel, notamment à travers des interfaces Saas facilitant la relation avec les franchisés, la mise à jour des contenus et l’évolution des offres. 

Plusieurs offres de financement d’Å“uvres en réalité virtuelle sont aujourd’hui envisageable au niveau national notamment à travers le CNC à travers le Fonds d’aide aux Expériences Numériques, des aides locales ou mème des fonds privés (Virtual Reality Venture Capital, Fondation Beaumarchais Orange XR, etc.).

Intégration d’un éditeur à une solution de réalité virtuelle

Afin de développer et consolider les contenus de leurs solutions de réalité virtuelle, il est fréquent que les studios de VR proposent l’intégration de contenus tiers sous la forme de contrats d’intégration.

Cela constitue un atout majeur pour les sociétés de développement et de distribution de logiciels profitant de l’expertise et savoir-faire des studios spécialement dans les logiciels et applications en réalité virtuelle.

Ces contrats d’intégration de contenus aux offres de réalité virtuelle existantes impliquent l’encadrement stricte de la propriété intellectuelle des produits notamment les éventuelles voire nécessaires adaptations des éléments logiciels pour leur portage sur les solutions VR.

De mème, les questions liées au marketing et publicité des produits intégrant les éléments protégés doivent ètre envisagés

Contrat de réalité virtuelle : les clauses essentielles

Réalité virtuelle, métaverse - Avocat spécialisé

Fort de la diversité des enjeux associées à l’utilisation et fonctionnement des outils de réalité virtuelle, les contrats de licence de réalité virtuelle peuvent comprendre une variété de clauses contractuelles.

Il s’agit pour les entreprises d’envisager les conditions de distribution et de souscription des solutions VR, les formes de franchise envisagées, les éléments financiers, rémunérations et royalties des ayants droits, les éventuels développements informatiques nécessaires pour intégrer leurs besoins, la publicité, les maintenances, corrections de bugs et mises à jour, les exclusivités et éventuelles non-concurrence liées à l’éditeur et plus généralement la propriété intellectuelle de l’ensemble de ces obligations.

Les problématiques liées aux données personnelles collectées et exploitées doivent également ètre prévues de manière à garantir la conformité au RGPD et identifier la responsabilité de chaque partenaire sur les traitements mis en place ainsi que, dans une moindre mesure, leur propriété.

D’autres clauses plus classiques en matière de droit des contrats seront également intégrées.

Réalité virtuelle, données collectées et RGPD

L’utilisation de solution de réalité virtuelle implique l’analyse et la collecte d’un nombre considérable de données pouvant constituer des données dites personnelles au sens du Règlement Général pour la Protection des Données (RGPD).

L’enregistrement de gestes et de mouvements –  micromouvements de la tète, du torse, des mains et des yeux, etc. -, la captation des visages et voix sont susceptible de constituer des enjeux très importants : en effet, elles peuvent permettre directement ou indirectement d’identifier ou établir de nombreuses informations personnelles sur la personne : son identité, sa profession, des éléments rattachés à sa condition médicale, ses comportements dans des situations déterminées, etc.

Plusieurs auteurs parlent de signature cognitive individuelle ou empreinte cinématique pour identifier la compilation de ces informations. Leur utilisation est strictement encadrée par différentes législations pouvant aboutir en cas de violation à des sanctions très fortes à la fois pour les éditeurs des solutions mais également les exploitants de systèmes de réalité virtuelle.

Jeux vidéo, Esport & Gaming 

Jeux vidéos, Réalité virtuelle, Esport - PCS Avocat

Le secteur du jeu vidéo et son pendant compétitif baptisé « esport » s’est très tôt intéressé aux techniques de réalité virtuelle repoussant les conceptions historiques du jeu vidéo pour le rapprocher de plus en plus d’activités physiques.

Dès 2016, trois sociétés ont lancé des solutions techniques de réalité virtuelle : HTC Vive (PC), Playstation VR (Sony) et Oculus Rift, soutenus par plusieurs studios d’éditeurs de jeu vidéo dédiés aux réalité virtuelle.

Plusieurs évènements esportifs ont été expérimentés ces dernières années afin de créer une première scène esportive VR : The Unspoken sur Oculus Rift lancé en mai 2017 par Microsoft, Oculus, Asus, Intel et Insomniac Games ; CES 2016, Virtuix a organisé un tournoi eSport VR.