Archives quotidiennes :

Cybersécurité, Securite informatique

Protection des données personnelles : le Sénat a adopté le projet de loi en nouvelle lecture

Jeudi 19 avril 2018, le Sénat a adopté en nouvelle lecture, par 307 voix pour et 0 voix contre, le projet de loi relatif à la protection des données personnelles.

Nombre de votants : 343
Suffrages exprimés : 307
Pour : 307
Contre : 0

Ce projet de loi vise à :

  • mettre en conformité des dispositions nationales avec le droit de l’Union européenne en matière de protection des données personnelles, en particulier avec le règlement général sur la protection des données (RGPD) du 27 avril 2016 qui a pour objectifs de renforcer les droits des personnes physiques, de responsabiliser tous les acteurs traitant des données et de crédibiliser la régulation ;
  • tirer parti des marges de manœuvre ménagées par le droit de l’Union européenne, notamment en maintenant des régimes spécifiques ;
  • transposer la directive européenne relative aux traitements mis en œuvre en matière policière et judiciaire.

Sur le rapport de Mme Sophie JOISSAINS (Union centriste – Bouches-du-Rhône), la commission des lois a rétabli en nouvelle lecture les principales dispositions adoptées par le Sénat en première lecture, visant notamment à :

  • mieux accompagner les collectivités territoriales, en :
    • affectant le produit des amendes prononcées par la CNIL au financement de mesures d’accompagnement ;
    • créant une dotation communale et intercommunale pour la protection des données à caractère personnel ;
    • supprimant, comme pour l’État, la faculté pour la CNIL de leur imposer des amendes et astreintes administratives ;
  • renforcer les garanties pour les droits et libertés des citoyens, en :
    • prévoyant une autorisation préalable des traitements de données pénales ;
    • encourageant le recours au chiffrement des données personnelles ;
    • maintenant le droit général à la portabilité des données non personnelles ;
    • s’assurant que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée ;
    • encadrant plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup ») ;
    • maintenant à 16 ans l’âge du consentement autonome au traitement des données des mineurs.
Chiffrement, Cybersécurité, Mise à jour, santé, Securite informatique

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Justice, loi, Securite informatique

Données personnelles : le RGPD et les collectivité territoriales

Données personnelles : la commission des lois du Sénat reste ferme sur la défense des libertés publiques et des collectivités territoriales et s’inquiète pour l’équilibre de nos institution.

Après l’échec de la commission mixte paritaire et une nouvelle lecture à l’Assemblée nationale, la commission des lois du Sénat s’est réunie pour examiner à son tour, en nouvelle lecture, le projet de loi relatif à la protection des données personnelles qui doit mettre la loi Informatique et libertés en conformité avec un règlement et une directive de l’Union européenne.

Lors de cette discussion, tous les intervenants ont déploré l’attitude du groupe majoritaire de l’Assemblée nationale qui, malgré les efforts des présidents et des rapporteurs des commissions des lois des deux chambres, a refusé tout compromis avec le Sénat. Ils y ont vu un signe préoccupant dans la perspective de la révision constitutionnelle annoncée.

Le président Philippe BAS (Les Républicains – Manche) a exprimé sa surprise qu’aucun terrain d’entente n’ait pu être trouvé entre les deux assemblées sur un texte urgent d’adaptation du droit interne au droit européen, dont les principales orientations sont consensuelles et pour lequel le législateur national ne dispose que d’une marge de manœuvre limitée. « Alors que l’avant-projet de loi constitutionnelle soumis par le Gouvernement au Conseil d’État comporte des dispositions qui affaiblissent le Parlement et portent atteinte à la séparation des pouvoirs, la méconnaissance par la majorité présidentielle du fonctionnement normal du bicamérisme a de quoi inquiéter. »

Sur le fond, le rapporteur Sophie JOISSAINS (Union Centriste – Bouches-du-Rhône) a rappelé que le Sénat, fidèle à son rôle traditionnel de chambre des libertés, s’était attaché en première lecture à rééquilibrer le projet de loi afin de renforcer les garanties pour les droits et libertés des citoyens. Le Sénat a notamment prévu de rétablir l’autorisation préalable des traitements de données pénales et de ne pas étendre inconsidérément leur usage, d’encourager le recours au chiffrement des données personnelles, de maintenir le droit à la portabilité des données non personnelles, de s’assurer que les utilisateurs de terminaux électroniques aient le choix d’y installer des applications respectueuses de la vie privée, et d’encadrer plus strictement l’usage des algorithmes par l’administration pour prendre des décisions individuelles, tout en renforçant les garanties de transparence en la matière, par exemple pour les inscriptions à l’université (« Parcoursup »).

« Comment admettre que les lycéens qui seront sélectionnés par les universités sur la base d’un algorithme ne puissent en connaître les paramètres ? N’y a-t-il pas là une contradiction flagrante avec les promesses de transparence réitérées par le Président de la République lors de son discours du 28 mars au Collège de France ? » s’est interrogée Sophie JOISSAINS.

Le rapporteur a également rappelé que le Sénat avait souhaité prendre en compte les difficultés spécifiques rencontrées par les collectivités territoriales, en prévoyant des mesures adaptées. «  Une collectivité n’est pas une start-up ! » a insisté Sophie JOISSAINS. « Les collectivités territoriales sont soumises à des sujétions tout à fait particulières, qui sont le corollaire de leurs missions de service public et de leurs prérogatives de puissance publique. Si elles mettent en œuvre des traitements de données personnelles, ce n’est pas pour en tirer profit, mais parce qu’elles y sont obligées par la loi ou pour rendre un meilleur service à nos concitoyens ! »

La commission des lois, tout en acceptant en signe de bonne volonté certaines modifications apportées au projet de loi par l’Assemblée nationale, a estimé nécessaire de rester ferme sur les principes défendus en première lecture. Elle a donc rétabli les principales dispositions alors adoptées par le Sénat.

Le projet de loi doit être examiné par le Sénat en séance publique les jeudi 19 et vendredi 20 avril 2018.

Communiqué de presse, Cybersécurité, Securite informatique

Montée en puissance de l’ANSSI

Agence nationale de la sécurité des systèmes d’information (ANSSI) : michel canévet, rapporteur spécial de la commission des finances, fait le point sur la montée en puissance de l’agence.

Dans un contexte où les questions de cyber-sécurité prennent une importance croissante, M. Michel Canévet (Union Centriste – Finistère), rapporteur spécial de la commission des finances, a souhaité faire le point sur la montée en puissance de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et sur le suivi des recommandations qu’il avait formulées en 2015, lors d’un premier contrôle budgétaire consacré à ce sujet.

À l’issue de ce nouveau contrôle, M. Michel Canévet a pu constater qu’en dépit d’une montée en charge importante de l’ANSSI en termes de budget et d’effectifs (+153 ETP en trois ans), dont il se félicite, l’agence continue de ne bénéficier que d’une autonomie de gestion limitée par rapport au Secrétariat général de la défense et de la sécurité nationale (SGDSN), auquel elle est rattachée.

Il déplore en outre que malgré une prise de conscience des enjeux de cyber-sécurité par les acteurs publics, le niveau de sécurité des systèmes d’information de l’État demeure, selon l’agence, « inégal et souvent trop faible ». Cette situation est susceptible de causer de graves dysfonctionnements administratifs en cas d’attaque massive sur un ministère.

Le rapporteur spécial réitère donc sa proposition, formulée en 2015 et restée lettre morte, de créer un budget opérationnel de programme (BOP) ainsi que des indicateurs de performance propres à l’ANSSI. Cela procurerait à l’agence une marge de manœuvre plus importante dans la gestion de ses crédits et de son personnel, tout en permettant au Parlement d’assurer un meilleur suivi du budget et des actions menées par l’agence.

  1. Michel Canévet partage par ailleurs la préoccupation de l’ANSSI concernant la rémunération jugée insuffisante de ses agents contractuels qui, chaque année, sont 19 % à quitter l’agence, le plus souvent vers le secteur privé. Il encourage donc la mise en œuvre d’une politique indemnitaire volontariste visant à retenir les compétences numériques, très convoitées en dehors de l’agence.

Enfin, il se félicite du déploiement, depuis fin 2015, de référents ANSSI en régions. Afin de renforcer l’action de l’agence au niveau local, il appelle à la poursuite de ce déploiement dans l’ensemble des régions, en particulier en Outre-mer. Il encourage également le renforcement des relations entre l’ANSSI et les services interministériels départementaux des systèmes d’information et de communication (SIDSIC).