mardi 31 mai 2016

Droit de la sécurité des systèmes d'information, trois ans plus tard

Trois ans après la création de ce blog, où en sommes nous dans la prise en compte du droit de la sécurité des systèmes d'information (SSI)? Quelles sont les avancées pour ce droit si particulier ?
Dressons un rapide bilan des années 2013-2016 à ce sujet.
Le droit de SSI ou droit-cyber se divise en deux principales catégories qui sont les suivantes :
  • la protection de la donnée ;
  • la protection du système d'information.

Examinons dans chacune de ces catégories quelles ont été les progrès en matière réglementaire.

samedi 30 avril 2016

Sans secret des affaires, comment protéger ses informations sensibles ?

La difficulté de légiférer au sujet du secret des affaires apparaît autant en France (échec à plusieurs reprises sur les propositions Carayon et Macron1) qu'au niveau européen. En effet, la directive "protection des secrets d'affaires contre l'obtention, l'utilisation et la divulgation illicites" adopté le 14 avril 2016 par le Parlement européen est loin d'être satisfaisante du fait de la vacuité de son contenu2.

Source de l'image : Fotolia.com



Sans disposition législative satisfaisante, comment les entreprises peuvent -elles protéger leur patrimoine informationnel ? 





Plusieurs solutions juridiques existent déjà pour réprimer l'espionnage économique :

I. L'abus de confiance , prévu par les articles 314-14 et suivants du code pénal, permet de sanctionner les salariés démissionnaires qui partent chez leur nouvel employeur avec les données de l'ancien3. L'abus de confiance peut donc se traduire par le détournement de fichiers de l'entreprise pour réprimer l'atteinte au patrimoine informationnel de l'entreprise.

mercredi 30 mars 2016

Montjoie ! Le bouclier de protection des données UE-États-Unis 

L'accord Privacy shield, traduit le bouclier de protection des données, est un accord entre l’Union européenne et les États-Unis dont le but est de permettre aux entreprises de transmettre et de transférer aux États-Unis des données concernant des citoyens européens. 
Pour rappel, en matière de protection des données à caractère personnel, le droit européen impose que le transfert des données à caractère personnel hors Union européenne n'est possible que si le pays assure un niveau de protection suffisant à l’égard de ce transfert1. Ainsi, les entreprises sont seulement autorisées à transférer des données personnelles à un pays qui garantit un niveau de protection des données adéquat. 
Le Privacy Shield est supposé fournir les règles juridiques du cadre garantissant la protection nécessaire et suffisante des données. 

dimanche 28 février 2016

Alice et Bob, hors la loi (du chiffre) ?

Le faux débat sur le refus d'Apple d'aider à déchiffrer les données des ordiphones des terroristes de l'attentat de San Bernardino aux autorités judiciaires américaines bat son plein.
Faux débat car il semble évident que les autorités américaines, cyberpuissance affirmée1, ont les moyens de déchiffrer les données chiffrées dudit téléphone mais évidemment cela demande plus de temps et d'argent que si Apple leur offrait les clés de déchiffrement.
Selon le blogueur Si vis pacem para bellum interrogé à ce sujet, « le problème n'étant pas tant la robustesse de tel ou tel chiffrement mais la façon dont est implémenté le dispositif permettant de générer, envoyer puis récupérer de la donnée que l'on cherche à protéger. Et comme en réalité peu de dispositifs sont à l'état de l'art c'est à dire assurant le plus haut niveau de protection de la source au destinataire, il existe une variété de moyens pour récupérer les infos cibles ». 



Ceci étant dit, il est intéressant de connaître les dispositions juridiques qui existent en France concernant le chiffrement.

lundi 25 janvier 2016

Cyberfraude : mode d'emploi

En cette période de soldes, quoi de plus normal que de rédiger un article sur la cyberfraude. Cette dernière inclut notamment les transactions en ligne illégales, la captation d'informations bancaires sur Internet, l'utilisation d'internautes pour blanchir de l'argent ("money mules") et les sites falsifiés.
Source image : lesaffaires.com

Entre 2010 et 2013, le nombre de familles victimes de fraudes bancaires est passé de 500 000 à 840 000, soit une hausse de 67 % !De plus, le montant frauduleux moyen a atteint 112 euros sur les 800 000 cartes piratées en 2014 alors que 88 millions sont en circulation. Ces chiffres ont été révélés par l'Observatoire national de la délinquance et des réponses pénales (ONDRP)  1.

samedi 19 décembre 2015

P(apa) N(ovember) R(oméo), atterrissage autorisé !

Depuis plus de dix ans, l'Union Européenne (UE) tente d'adopter une réglementation relative à un fichier européen de données sur les passagers aériens ou plus communément appelé « Passenger Name Record » (PNR).
Dès 2004 et sur demande des États-Unis qui souhaitaient recevoir les données des passagers issus d'Europe, l'Union européenne a tenté de mettre en place un PNR d'abord avec les États Unis puis propre à l'UE sans succès, échec qui a été reconduit avec le nouveau projet de 2011.
Source : theparliamentmagazine.eu

La principale critique résidait dans l'incompatibilité du projet de réglementation avec les droits fondamentaux et en particulier avec les droits à la protection de la vie privée et aux données personnelles de tous les voyageurs, tels que définis aux articles 7 et 8 de la Charte des Droits Fondamentaux de l’Union Européenne.
Relancée après les attentats de Paris en janvier 2015, il aura fallu attendre début décembre 2015 pour que les 28 États membres de l'UE adoptent une position commune, validée par la commission des libertés civiles du Parlement européen. Dans un second temps, le projet de directive sera mis au vote en séance plénière début 2016 puis devra être approuvé en Conseil des ministres de l'UE. Si elle est adoptée, cette directive devra ensuite être transposée dans les législatives nationales des États membres dans un délai de deux ans. .

dimanche 22 novembre 2015

Réseaux sociaux et règles juridiques

Avant de commencer mon article, je tenais à rendre hommage à toutes les victimes des terribles attentats de Paris mais également à toutes les victimes de tous les actes terroristes bien trop nombreux sur notre planète. Je tenais également à saluer toutes les forces de police, armées et de secours qui se sont mobilisées pour nous protéger et tout ceux qui se mobilisent encore.

 Source : fotomelia.com
Internet a d'ailleurs eu un rôle important dans cette mobilisation. En effet, nous pouvons saluer les initiatives constructives des réseaux sociaux qui ont permis, d'une part, de connaître si nos proches parisiens étaient en sécurité et, d'autre part, de lancer un mouvement de solidarité et de soutien aux victimes. Ces heureuses actions ont supplanté la campagne virulente de cyberattaques (défigurations des sites ou de dénis de service) ou même l'affichage public sur les réseaux sociaux de soutien à Daesh qui avaient lieu après les attentats de janvier 2015.

A ce sujet, il est important de rappeler que les réseaux sociaux sont des espaces où la liberté d'expression n'est pas absolue et peut connaître certaines limites.
Certes, la liberté d'expression est consacrée comme « l'un des droits les plus précieux de l'homme » par l'article 11 de la Déclaration des droits de l'homme et du citoyen de 1789 et sa valeur constitutionnelle est réaffirmée régulièrement par le Conseil constitutionnel qui y voit une « garantie essentielle du respect des autres droits et libertés » depuis sa décision du 11 octobre 19841.
Sur la toile, la loi du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)2 laisse toute sa place au droit commun de la liberté d'expression tout en y apportant des limites qui sont similaires à tout autre autre support d'expression ou tout autre média ordinaire.
En effet, un post sur Facebook ou un tweet sur Twitter peuvent comme tout support d’expression avoir un contenu illicite, contenu interdit et puni par la loi (propos racistes, diffamation, insulte, apologie du terrorisme, etc.) et son auteur peut donc être sanctionné pour ce propos.
L'exemple le plus parlant est celui de Dieudonné M’Bala M’Bala qui a été condamné pour apologie du terrorisme3, à la suite de son propos tenus sur Facebook « je me sens Charlie Coulibaly », ce qui marquait, selon le ministère public, sa sympathie à l’égard du terroriste antisémite.

En est-il de même concernant le simple retweet ? Le retweet du message illicite expose-t-il son auteur aux mêmes sanctions que le tweet initial ?
Retweeter une insulte ou une diffamation sans autre précision peut être interprété comme une reprise à votre compte de l’expression outrageante et vous exposer à commettre la même infraction4 ou à en être complice.
A la différence du « j'aime » sur Facebook, le retweet sur Twitter ne permet pas de connaître la position de l'internaute au sujet de ce qu'il relaie, approuve-t-il ou au contraire condamne-t-il les propos illicites ?
Cette question est d'autant plus complexe que l'internaute peut se prévaloir sur de son anonymat sur Twitter ou d'un propos tenu dans le cadre de sa sphère privée en fonction des paramètres de verrouillage sur Facebook.
Pour illustrer cette problématique, il faut savoir qu' en droit du travail, plusieurs juridictions du fond ont eu à connaître de messages très critiques, parfois même injurieux ou diffamatoires, tenus par des salariés à l’encontre de leur employeur. L’enjeu était le suivant, s’ils étaient analysés comme des correspondances privées, ils relevaient de la sphère de la vie personnelle et ne pouvaient donner lieu à aucune sanction ; s’ils étaient analysés comme des propos publics, ils pouvaient constituer la base de sanctions disciplinaires, allant jusqu’au licenciement.
En matière pénale, le TGI de Paris, dans une ordonnance du 24 janvier 2013, a ordonné à Twitter de donner les coordonnées d'auteurs de messages antisémites. En conclusion, le pseudonnyme n'est donc pas une protection absolue, et le juge peut facilement se faire communiquer le nom des intéressés, afin d'engager des poursuites à leur encontre.

De façon plus simple, en cas d'observation d'un contenu illicite sur les réseaux sociaux, il est important de le signaler à la plateforme officielle de signalement des infractions5  ou encore de le signaler directement aux réseaux sociaux qui ont l'obligation, sur le fondement de l'article 6-I-8 de la loi du 21 juin 2004 pour la confiance dans l'économie numérique de mettre en place un dispositif de signalement des contenus illicites conforme au droit français.

En dehors de toute sanction juridique, l'utilisation des réseaux sociaux doit rester mesurée et raisonnable pour notamment préserver son « e-reputation ». A ce sujet, la CNIL recommande sur Facebook de créer différentes listes correspondant aux membres de votre famille, à vos amis proches, à vos collègues, etc., puis adapter les paramètres de confidentialité en fonction des informations que l'internaute souhaite partager avec chaque catégorie de personnes. La CNIL rappelle également qu'il est possible de modifier ou de supprimer des données personnelles sur Internet, en cas de refus du moteur de recherche ou d'autres acteurs sur Internet, vous pouvez adresser une plainte en ligne à la CNIL car il s'agit d'un droit reconnu par la loi Informatique et Libertés6.
Maîtriser son e-reputation c'est aussi éviter de se faire pirater ses comptes sociaux7 et de se faire usurper son identité. L’infraction d’usurpation d’identité numérique est depuis la loi d’orientation et de programmation pour la performance de la sécurité intérieure dite LOPSI II8 passible d’un an de prison et de 15 000 euros d’amende9.

Internet est loin d'être un espace de liberté absolue, en dehors peut être des réseaux anonymes tels le réseau TOR, et cela vaut aussi bien pour tout réseau social qui peut être également soumis à des dispositions de propriété intellectuelle, de prescription, de protection des données à caractère personnel, des dispositions sur l’utilisation des données pouvant servir de preuve dans des poursuites judiciaires nationales et internationales.


Notes de bas de page :
1 Décision n° 84-181 DC du 11 octobre 1984 relative à la loi visant à limiter la concentration et à assurer la transparence financière et le pluralisme des entreprises de presse
2 Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.
3 http://www.lefigaro.fr/flash-actu/2015/03/25/97001-20150325FILWWW00241-apologie-du-terrorisme-dieudonne-fait-appel-de-sa-condamnation.php
4 L'insulte et la diffamation publiques se définissent comme des délits de presse, soumis au régime de la loi sur la liberté de la presse du 29 juillet 1881 et sont punies pénalement.
5 https://www.internet-signalement.gouv.fr/PortailWeb/planets/Accueil!input.action
6 Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés .