Rencontre avec Maître Bonavia, une experte en droit numérique et cybersécurité, qui partage son parcours et ses perspectives sur des enjeux juridiques contemporains tels que le RGPD et la cyber résilience. Découvrez comment elle aborde ces défis critiques dans un monde de plus en plus digitalisé.
- Bonjour Maître Bonavia. Pouvez-vous nous parler de votre parcours et expliquer pourquoi vous avez choisi de vous spécialiser dans le numérique ?
Mon parcours académique suit une trajectoire classique : j’ai obtenu une Licence générale, un Master 1 en droit des affaires, suivi d’un Master 2 en propriété intellectuelle et nouvelles technologies, ainsi qu’un DJCE, le tout à l’Université d’Aix Marseille.
J’ai opté pour la propriété intellectuelle (PI) et les nouvelles technologies car, en 2012, ces domaines étaient encore émergents et peu prisés par les étudiants. Ce qui captivait mon intérêt, c’était, d’une part, la technicité juridique nécessaire pour explorer diverses branches du droit. En particulier, le secteur du numérique se distinguait par l’absence d’un « droit du numérique » clairement établi, me poussant souvent à consulter le code civil, le code pénal, le code de la consommation, entre autres. D’autre part, je percevais déjà le potentiel significatif de ces matières pour l’avenir.
Après avoir passé le CRFPA et suivi ma formation à l’HEDAC, l’école d’avocat de Versailles, j’ai obtenu mon CAPA.
J’ai collaboré avec trois cabinets différents en trois ans, avant de m’installer à mon compte en juillet 2019, après avoir prêté serment en octobre 2015.
- Le RGPD a désormais 5 ans. Quel bilan faites-vous de l’efficacité de ce règlement de protection des données ?
Le bilan que je dresse concernant les structures que j’accompagne est mitigé.
D’une part, il est réjouissant de voir des TPE-PME prendre l’initiative de me contacter pour se mettre en conformité avec la réglementation. D’autre part, il est décevant de constater que trop nombreuses sont encore celles qui ne respectent pas ces normes.
Cinq ans après l’entrée en vigueur du RGPD, le nombre de demandes de mise en conformité a significativement augmenté. Cette évolution est sans doute due à l’effort de sensibilisation de la CNIL, qui, par ses publications et sanctions, a contribué à éveiller une prise de conscience chez certains dirigeants. Les cyberattaques quotidiennes, même mineures, jouent également un rôle dans ce changement de perspective. De plus, les exigences de conformité imposées par les marchés publics et certains partenaires, sous-traitants ou clients, rendent cette conformité incontournable pour pouvoir collaborer avec ces entités.
Toutefois, de nombreux dirigeants d’entreprise perçoivent encore le RGPD comme une contrainte plutôt que comme un avantage compétitif. Ils aspirent souvent à une conformité minimale, juste suffisante pour démontrer lors d’un contrôle qu’ils respectent les critères de base. De plus, beaucoup se sentent à l’abri des sanctions, comme s’ils étaient intouchables. Par exemple, un dirigeant d’une PME du Val-d’Oise pourrait penser : “Je suis une petite entreprise locale, la CNIL ne va pas s’intéresser à moi, elle cible les grandes entreprises.”
- Pourquoi la cybersécurité devient-elle un enjeu urgent pour les entreprises et les citoyens ?
La cybersécurité représente à mes yeux un enjeu urgent : les attaques informatiques, avec leurs lourdes conséquences comme le vol de données, l’usurpation d’identité, le vol financier, et les atteintes à l’image et à la vie privée, sont de plus en plus sophistiquées et donc difficiles à détecter. En effet, avec l’essor de technologies avancées, notamment l’intelligence artificielle, ces attaques sont mieux conçues et présentent moins de failles évidentes, telles que les fautes d’orthographe qui étaient autrefois un indicateur commun. Cela rend d’autant plus impérative la nécessité de renforcer la sensibilisation et la protection.
En matière de cybersécurité, la question n’est plus de savoir si une attaque se produira, mais plutôt quand elle surviendra.
- Que pensez-vous de la loi sur la cyber-résilience, ou Cyber Resilience Act, qui a été adoptée par les députés européens le 12 mars dernier ?
Cette loi mérite d’être saluée pour son objectif de protéger les utilisateurs et de prévenir autant que possible les cyberattaques. Elle confère aux opérateurs économiques, tels que les distributeurs et les importateurs, une responsabilité accrue. Bien que cela impose des contraintes supplémentaires, similaires à celles du RGPD, ces mesures sont essentielles pour limiter les attaques et protéger les utilisateurs des outils numériques.
Pour résumer les points positifs : cette loi renforce la cybersécurité grâce à des exigences claires visant à réduire les vulnérabilités, elle favorise l’harmonisation des normes à travers l’Union européenne et insiste sur l’application particulière des règlements. Elle augmente également la réactivité face aux incidents grâce à l’obligation de notifier les vulnérabilités et les incidents.
Concernant les aspects critiques : la loi impose des obligations lourdes, particulièrement pour les TPE et PME, créant ainsi une disparité avec les grands groupes. Cela pourrait potentiellement ralentir l’innovation en raison des coûts élevés liés au développement de produits conformes. De plus, face à ces nouvelles responsabilités, les fabricants pourraient être réticents à apporter des modifications substantielles à leurs produits, craignant d’engager leur responsabilité.
- Pouvez-vous nous parler de la directive NIS2 ?
La directive NIS2 élargit considérablement son champ d’application pour englober une diversité plus large de secteurs critiques tels que l’énergie, les transports et la santé, et instaure un classement des entités en deux catégories : essentielles et importantes.
Toutes les entités concernées doivent adopter des mesures de sécurité de base. Cependant, celles classées comme essentielles sont soumises à des exigences de sécurité plus strictes. Elles sont également tenues de signaler les incidents de sécurité aux autorités nationales compétentes, renforçant ainsi la réponse globale aux menaces.
- Votre cabinet d’avocats est également spécialisé en intelligence artificielle. Pouvez-vous nous parler de votre rôle en tant qu’avocat spécialisé en intelligence artificielle ?
Dans le domaine de l’intelligence artificielle, je suis régulièrement sollicitée pour diriger des formations qui abordent le cadre juridique encore embryonnaire, tel que l’IA ACT, ainsi que les implications de l’IA en matière de propriété intellectuelle et de protection des données personnelles.
Je suis également consultée pour des conseils juridiques lorsque des individus ou des entreprises emploient l’IA dans leurs projets et s’interrogent sur les droits associés à leurs créations et aux résultats obtenus.
Par ailleurs, j’accompagne les entreprises dans le développement d’intelligences artificielles destinées à la vente, en veillant à la conformité avec toute la réglementation pertinente, notamment l’IA ACT, et en gérant les aspects contractuels, tels que les Conditions Générales de Vente (CGV) et les Conditions Générales d’Utilisation (CGU).
Je tiens à exprimer ma profonde gratitude à Maître Bonavia pour sa disponibilité et la richesse des éclairages qu’elle a bien voulu partager avec moi et les lecteurs de LexWeb sur ces sujets d’actualité.
Vincent Gorlier
LW