Archives de catégorie : loi

Bitcoin, Cybersécurité, loi

Les autorités japonaises renforcent le contrôle du blanchiment d’argent via les cryptomonnaies

Le parlement japonais met en place des mesures plus strictes contre le blanchiment d’argent par le biais des cryptomonnaies. Les nouvelles procédures AML (Anti-Money Laundering) entrent en vigueur ce 1er juin 2023.

Selon le média local Kyodo News, ces nouvelles procédures AML permettront à la législation japonaise de rattraper les principales nations mondiales en la matière. Les parlementaires ont commencé à modifier les mesures existantes contre le blanchiment d’argent en décembre dernier. À l’époque, le Groupe d’action financière internationale (FATF) avait déclaré que les procédures en vigueur au Japon étaient insuffisantes.

L’une des principales innovations sera la « règle de transfert« , qui permettra un meilleur suivi des transactions en cryptomonnaies. Tout établissement financier effectuant une transaction d’un montant supérieur à 3 000 dollars devra transmettre des informations sur la transaction au régulateur. La liste des données doit inclure les noms et adresses de l’expéditeur et du destinataire, ainsi que toutes les informations concernant les comptes.

article partenaire, loi, RGPD

La Protection des Données et le RGPD : Un Renforcement Incontournable de la Confidentialité en France et en Europe

Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.

Le RGPD : Une Révolution pour la Protection des Données

Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.

Exemples de Protection des Données en France

En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.

Impacts du RGPD dans l’Union européenne

Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.

Les Avantages du RGPD pour les Individus

Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.

Les Défis et les Perspectives Futures

Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.

Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.

Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.

Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.

Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.

Assurance cyber sécurité, Entreprise, loi

Cyber-assurance : découvrez la nouvelle obligation de dépôt de plainte sous 72h

La loi LOPMI, promulguée en janvier 2023, impose désormais une obligation légale aux victimes de cyberattaques de déposer plainte dans un délai de 72 heures si elles souhaitent être indemnisées par leur assurance. Cette nouvelle disposition, entrée en vigueur le lundi 24 avril, a des conséquences significatives et nécessite d’adopter les bons réflexes en cas de sinistre.

La loi LOPMI constitue une avancée majeure dans la lutte contre la cybercriminalité en France en permettant aux autorités d’avoir une meilleure visibilité sur les attaques subies par les professionnels et les entreprises. Elle apporte également des éclaircissements sur les conditions de prise en charge des risques liés à la cybersécurité, offrant ainsi un cadre législatif plus clair aux assureurs. Cependant, cette loi introduit également de nouvelles contraintes, notamment l’obligation de dépôt de plainte, qu’il est essentiel de comprendre afin d’agir de manière sereine et efficace en cas de cyberattaque.

Les changements apportés par la loi LOPMI sont les suivants : depuis le 24 avril 2023, tout professionnel ou entreprise victime d’une attaque doit déposer plainte dans un délai maximum de 72 heures à partir du moment où il a connaissance de l’incident. Ce dépôt de plainte est obligatoire pour pouvoir prétendre à une éventuelle indemnisation dans le cadre d’un contrat d’assurance Cyber en vigueur. Si la plainte n’est pas déposée dans ce délai, le professionnel ou l’entreprise ne pourra pas être indemnisé par son assureur. Cette disposition, d’ordre public, s’applique à tous les contrats d’assurance en cours, même si cette obligation n’est pas spécifiée dans les contrats.

Actions, réactions et garanties d’assistance

Il est important de noter que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises, ainsi que pour proposer des solutions initiales visant à limiter les conséquences de l’attaque et à constituer un dossier de recours. Toutefois, le dépôt de plainte reste obligatoire dans un délai de 72 heures.

Cette obligation concerne toutes les personnes morales (entreprises, associations, administrations publiques) et toutes les personnes physiques (professions libérales, travailleurs indépendants, etc.) qui subissent une cyberattaque dans le cadre de leurs activités professionnelles. Il est nécessaire que le professionnel ou l’entreprise soit immatriculé en France et soit assuré par un contrat d’assurance français. Les particuliers victimes d’une attaque à titre personnel ne sont donc pas concernés par cette obligation. Toutefois, il est recommandé de déposer plainte afin de faciliter l’identification des suspects et de favoriser la reconnaissance du préjudice subi par la victime.

Toutes les formes de cyberattaques sont concernées par cette loi, notamment les attaques par logiciels malveillants tels que les ransomwares, les vols de données, les attaques par déni de service (DoS/DDoS), le phishing, la modification non sollicitée d’un site Internet, les interceptions de communication, l’exploitation de vulnérabilités logicielles, etc.

En cas de cyberattaque, il est essentiel de savoir comment réagir afin de réagir de manière efficace et de protéger au mieux son entreprise. Voici les consignes à suivre : éteindre les équipements et les accès réseau, déconnecter les sauvegardes ; informer les collaborateurs des consignes à suivre ; contacter immédiatement son assureur pour limiter au plus vite les conséquences de l’incident ; alerter les forces de l’ordre sans attendre ; il est important de noter que cette alerte ne dispense pas du dépôt de plainte, qui reste obligatoire ; déposer plainte dans un délai maximum de 72 heures à partir de la prise de connaissance de l’incident ; en cas de violation de données à caractère personnel, conformément à l’article 33 du RGPD, il convient de notifier l’incident à la CNIL dans un délai de 72 heures via le site dédié de la CNIL ; mettre en place le plan de gestion de crise, y compris les mesures de continuité d’activité prévues dans le Plan de continuité d’activité (PCA) ; déclarer le sinistre à l’assureur par courrier ; faire appel au service de veille ZATAZ pour effectuer des recherches dans le darkweb et le darknet afin de détecter toute fuite d’informations susceptible d’être entre les mains de groupes de pirates.

Déposer plainte, toujours !

Pour déposer plainte, il est nécessaire de préparer sa plainte en documentant tous les éléments utiles à l’enquête : conserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.) ; dresser une liste chronologique des actions entreprises après l’attaque ; fournir ou mettre à disposition le plus de preuves possible (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.). Ensuite, la victime doit porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72 heures à partir de la prise de connaissance de l’incident. Si l’entreprise est victime d’une cyberattaque à l’étranger, deux options s’offrent à elle : déposer plainte en France dans les 72 heures ou déposer plainte dans le pays où l’attaque s’est produite, également dans les 72 heures. Il est important de souligner que l’obligation de dépôt de plainte doit être respectée, à condition que l’attaque cybernétique constitue également une infraction dans ce pays.

Il est crucial de garder à l’esprit que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises.

En conclusion, avec l’obligation de dépôt de plainte sous 72 heures, la loi LOPMI renforce la protection des victimes de cyberattaques et contribue à une meilleure lutte contre la cybercriminalité. Il est primordial de bien comprendre cette obligation et de suivre les procédures recommandées en cas d’incident afin de maximiser les chances de récupérer les dommages subis et de garantir une indemnisation adéquate de la part de l’assureur. En adoptant une approche proactive et en restant vigilant face aux cybermenaces, les entreprises peuvent renforcer leur résilience et leur capacité à faire face aux attaques.

Il est également important de souligner que la prévention reste la meilleure stratégie contre les cyberattaques. Les entreprises doivent mettre en place des mesures de sécurité solides, telles que des pare-feu, des antivirus et des programmes de sensibilisation à la cybersécurité pour former leur personnel à reconnaître les menaces potentielles et à adopter des pratiques sécuritaires en ligne.

En définitive, la nouvelle obligation de dépôt de plainte sous 72 heures introduite par la loi LOPMI constitue une avancée significative dans la protection des victimes de cyberattaques et renforce la responsabilité des entreprises dans la sécurisation de leurs systèmes informatiques. En agissant rapidement et en suivant les procédures recommandées, les entreprises peuvent minimiser les dommages causés par les attaques et assurer une meilleure collaboration avec les autorités et les assureurs pour faire face à ces situations complexes.

Cybersécurité, Entreprise, loi

Le décret français sur la réutilisation des équipements informatiques réformés et ses implications

Le 12 avril 2023, un tournant significatif a eu lieu en France en matière de gestion des déchets électroniques. Un décret a été adopté fixant les objectifs et les modalités de réutilisation des équipements informatiques réformés par l’État et les collectivités territoriales. Cette nouvelle réglementation a des implications considérables, à la fois pour les organisations privées et les autorités publiques du pays.

L’une des principales préoccupations liées à la réutilisation des équipements informatiques est la nécessité de garantir l’effacement sécurisé des données. Par exemple, si une entreprise publique met hors service un serveur contenant des informations sensibles sur les citoyens, il est crucial de s’assurer que ces données ne peuvent pas être récupérées après la réutilisation de cet équipement. Dans ce contexte, des entreprises spécialisées proposent des solutions. Assurez-vous qu’elles soient à la norme NIST 800-88.

Cette réglementation intervient à un moment où la conscience environnementale atteint un niveau sans précédent, notamment en ce qui concerne la gestion des déchets électroniques. Selon l’ONU et l’APCE, les déchets électroniques sont la catégorie de déchets connaissant la croissance la plus rapide à l’échelle mondiale, avec une valeur estimée à plus de 62,5 milliards de dollars par an. Des initiatives comme celle du gouvernement français sont donc de plus en plus importantes pour réduire l’impact environnemental de ces déchets.

Il est aussi à noter que la suppression sécurisée des données est un élément crucial de la protection contre les cyberattaques. En effet, si les données sensibles ne sont pas correctement effacées avant la réforme ou la réutilisation d’un équipement informatique, elles peuvent être récupérées par des acteurs malveillants, posant un risque significatif de violation de la sécurité. Par exemple, si un vieux disque dur contenant des informations sensibles n’est pas correctement effacé avant d’être vendu ou réutilisé, ces données pourraient tomber entre de mauvaises mains.

En résumé, la nouvelle réglementation française sur la réutilisation des équipements informatiques réformés souligne la nécessité de garantir une suppression sécurisée et responsable des données, tout en minimisant l’impact environnemental des déchets électroniques. Des entreprises offrent une solution unique pour répondre à ces exigences, permettant aux organisations et aux autorités publiques de bénéficier d’une gestion des actifs informatiques complète et fiable. Ces efforts contribuent à la protection contre les cybermenaces, garantissant une meilleure sécurité pour les données et l’environnement.

C’est un grand pas en avant dans la gestion responsable des déchets électroniques. En effet, la réutilisation des équipements informatiques réformés présente des avantages significatifs, non seulement pour l’environnement mais aussi pour l’économie. En prolongeant la durée de vie utile des équipements informatiques, les organisations peuvent réduire les coûts associés à l’achat de nouveau matériel. De plus, la réutilisation des équipements informatiques peut créer des opportunités économiques, par exemple en fournissant du matériel informatique réformé à des prix réduits pour les écoles, les organismes à but non lucratif, ou les petites entreprises.

Il est clair que la mise en œuvre effective de cette réglementation nécessitera une coopération étroite entre le gouvernement, les entreprises privées, et les organisations à but non lucratif. Il est essentiel de développer des programmes de formation pour aider les organisations à comprendre et à respecter les nouvelles exigences en matière de suppression de données sécurisée. De plus, des efforts sont nécessaires pour sensibiliser le public à l’importance de la gestion responsable des déchets électroniques.

En conclusion, le décret du 12 avril 2023 marque une avancée significative dans la gestion responsable des équipements informatiques en France. Non seulement il souligne l’importance de la suppression sécurisée des données, mais il met également en évidence l’importance de la réutilisation des équipements informatiques dans la lutte contre la pollution électronique. Les organisations et les autorités publiques ont maintenant un rôle clé à jouer pour garantir le respect de ces nouvelles normes et pour promouvoir une économie plus durable et plus sécurisée.

famille, ID, Identité numérique, loi, Particuliers

Identité numérique européenne : Le futur de la vie privée en ligne

En 2024, tous les pays européens devront mettre à la disposition de leurs citoyens un Digital ID Wallet. Grace à ce portefeuille électronique, ils pourront, depuis leurs terminaux électroniques, stocker et gérer leur identité numérique, et partager leurs attributs personnels vérifiés. Utilisable partout en Europe, il placera les citoyens au centre du contrôle de leurs données personnelles et garantira un très haut niveau de sécurité.

Louer un appartement, acheter une voiture, ouvrir un compte en banque, contracter un prêt bancaire, donner son consentement pour un acte médical, s’inscrire dans une université… Des démarches aujourd’hui dématérialisées qui nécessitent de renseigner des dizaines de formulaires, de prouver son identité, de s’authentifier sur une multitude de services numériques (site e-commerce, services publics…) et parfois de transmettre des captures de justificatifs papier par email, sans sécurité particulière, lors de la transmission puis du stockage, et contenant souvent beaucoup plus d’informations que nécessaire. Autant d’opérations complexes et chronophages pour tous les usagers, notamment ceux pour qui la protection des droits et données personnelles et la maitrise des outils numériques et solutions de sécurité ne coulent pas de source.

C’est pourquoi l’Union européenne, dans sa politique de la « Décennie numérique« , a notamment demandé aux États membres de proposer un Digital ID Wallet. Elle souhaite offrir à tous les citoyens les moyens de stocker et gérer leurs identité numérique, identifiants et attributs personnels depuis un portefeuille électronique hébergé sur leurs terminaux personnels (smartphone, tablette, portable).

Disponible à partir de 2024, ce portefeuille électronique pourra contenir les éléments vérifiés de la carte d’identité nationale biométrique (empreintes digitales, photographies, informations textuelles), des attributs personnels authentifiés et certifiés (permis de conduire, acte de naissance, carte bancaire, justificatif de domicile, fiche d’imposition, diplômes, feuilles de paie, documents de santé…).

Reprendre le contrôle de ses données personnelles

En deux décennies, nos usages se sont profondément numérisés. Les données personnelles qui permettent d’identifier tout ou partie d’une personne – données d’état civil, adresse email ou postale, mots de passe, fiches d’impôt, salaire, facture EDF, sans oublier la transmission de données personnelles qui ne sont pas encore numérisées, telles que diplômes, factures et justificatifs en tout genre – sont communiquées à des tiers (services publics, entreprises privées) et stockées dans d’immenses et innombrables bases de données. Une centralisation de données personnelles qui présente des risques de cyberattaques, des risques d’utilisation peu scrupuleuse de données personnelles à des fins commerciales mais aussi des problématiques énergétiques de stockage.

En demandant aux États membres de proposer à leurs résidents un tel portefeuille numérique, l’UE permet à chaque citoyen de reprendre le contrôle et l’utilisation de son identité. Ainsi, il pourra, grâce aux technologies du wallet, circonscrire le partage de ses données aux seules nécessaires à la délivrance du service. Il pourra par exemple donner accès à son revenu d’imposition sans être contraint, comme c’est le cas actuellement, de délivrer l’intégralité de sa feuille d’impôts. Le citoyen pourra aussi récupérer ses données créées et vérifiées par des tiers sous forme d’attestations (Qualified Electronic Attribute Attestation – QEAA), les stocker dans son wallet, et les communiquer lorsque nécessaire. Via ce dispositif « zero knowledge proof », il pourra par exemple prouver sa majorité sans pour autant fournir sa date de naissance, car l’utilisation de son wallet garantira que l’information a été vérifiée par ailleurs.

Faire des citoyens les maîtres de leurs données d’identité

A l’heure actuelle, toutes les données personnelles de chaque citoyen sont stockées dans des bases de données privées et publiques. Elles seront, grâce à ce wallet, décentralisées et gérées individuellement par chaque citoyen européen. En devenant souverain de ses données, il pourra donc consciemment choisir de les partager sans peur et en toute sécurité. Il reprendra ainsi le contrôle de sa vie numérique, maitrisera ses données personnelles et la manière dont elles circuleront.

Prévu pour 2024, ce wallet sera fourni aux citoyens par leurs pays de domiciliation. Proposé par chaque État membre, il pourra être délivré par des établissements publics ou privés. Simple d’utilisation et interopérable, ce wallet devra répondre à des normes et spécifications techniques garantissant un haut niveau de sécurité. Si aucune obligation d’utilisation de ce portefeuille électronique européen n’est exigée, l’UE mise sur la fluidité et la simplicité d’un tel dispositif pour convertir tous les européens. (Par Stéphane Mavel, en charge de la stratégie Identité Numérique d’IDnow)

Cybersécurité, loi

Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities

Les Etats-Unis et l’Union européenne bientôt au diapason concernant le transfert des données personnelles ?

Le décret signé le 7 octobre dernier par le président américain, Joe Biden, concernant le transfert des données personnelles permet de renforcer les mesures garantissant la confidentialité et la protection des libertés civiles et des données personnelles de résidents européens transférées vers les États-Unis (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities).

Pour mémoire, le dispositif du Privacy Shield avait été invalidé en 2020 par la justice européenne (CJUE 16 juillet 2020 arrêt dit « Schrems II »), qui avait jugé que les atteintes portées à la vie privée des personnes dont les données personnelles sont traitées par les entreprises et opérateurs soumis à la législation américaine étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux de l’Union européenne.

Il s’agissait ni plus ni moins de restaurer la confiance entre l’Union européenne et les Etats-Unis concernant leurs flux transfrontaliers de données personnelles. Ce décret devrait permettre à la Commission européenne d’initier la procédure menant à une décision d’adéquation, dont l’objectif à terme serait de reconnaître l’adéquation de la législation américaine avec les exigences de législation européenne en matière de protection des données personnelles. (Réactions de Corinne Khayat et Anne-Marie Pecoraro, Avocate associée au cabinet UGGC).

Entreprise, loi

Recours collectif contre Playstation par des gamers Russes

Vingt-huit gamers Russes lancent une action collective devant les tribunaux, ils ne peuvent plus jouer !

Des utilisateurs Russes de PlayStation ont déposé un recours collectif pour un montant de 280 millions de roubles, soit un peu plus de 450 000€. 28 plaignants qui ne peuvent plus, depuis l’entrée en guerre de leur pays contre l’Ukraine, accéder et acheter sur le PlayStation Store. Les conditions d’utilisation des programmes Sony et la législation russe ne prévoient pas de refus de fournir un service « en rapport avec la politique intérieure et étrangère de l’État de localisation et de résidence des utilisateurs« , déclarent les plaignants. En mars 2022, Sony a suspendu les livraisons de jeux et d’appareils en Russie. Le jeu japonais a également fermé le PlayStation Store.

loi, Mise à jour

Droit au déréférencement

Le 6 décembre 2019, le Conseil d’État a rendu d’importantes décisions relatives à des demandes de déréférencement de résultats faisant apparaître des données sensibles.

Le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite sur ses nom et prénom. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source.

Le 24 septembre 2019, la Cour de justice de l’Union européenne (CJUE) avait rendu un arrêt apportant des précisions sur les conditions dans lesquelles les personnes peuvent obtenir le déréférencement d’un lien apparaissant dans un résultat de recherche lorsque la page auquel le lien renvoie contient des informations relatives à des données sensibles (par exemple, leur religion, leur opinion politique) ou à une condamnation pénale.

Sur cette base, le Conseil d’État a, par 13 décisions rendues le 6 décembre 2019, apporté d’importantes précisions sur la mise en œuvre du droit au déréférencement. Le Conseil d’État indique que pour chaque demande de déréférencement, l’intérêt du public à avoir accès à cette information doit être mis en balance avec trois grandes catégories de critères :

les caractéristiques des données en cause : contenu des informations, leur date de mise en ligne, leur source, etc. ;
la notoriété et la fonction de la personne concernée ;

les conditions d’accès à l’information en cause : la possibilité pour le public d’y accéder par d’autres recherches, le fait que l’information ait été manifestement rendue publique par la personne concernée, etc.

Si les informations publiées sont des données dites « sensibles » (religion, orientation sexuelle, santé, etc.), elles doivent faire l’objet d’une protection particulière et donc, dans la mise en balance, d’une pondération plus importante. Le déréférencement ne pourra être refusé que si ces informations sont « strictement nécessaires » à l’information du public. En revanche, si ces données ont été manifestement rendues publiques par la personne concernée, leur protection particulière disparaît.

Par ailleurs, s’agissant des données relatives à une procédure pénale, comme la CJUE, le Conseil d’État indique que l’exploitant d’un moteur de recherche peut être tenu d’aménager la liste des résultats en vue d’assurer que le premier de ces résultats au moins mène à des informations à jour pour tenir compte de l’évolution de la procédure (par exemple, dans l’hypothèse où, après avoir été condamnée en première instance, une personne bénéficie d’une relaxe en appel).

La CNIL prend acte de ces précisions dans les informations publiées sur son site internet, notamment dans la FAQ décrivant les conséquences pratiques de ces décisions sur les personnes concernées, ainsi que dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans.

Les textes de référence
Arrêt de la Cour de justice de l’Union européenne du 24 septembre 2019 dans l’affaire C-136/17
13 décisions relatives au droit à l’oubli prises par le Conseil d’État le 6 décembre 2019

Communiqué de presse, Cybersécurité, Justice, loi

L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des .fr

L’Afnic renforce et facilite le traitement des plaintes pour usurpation d’identité des noms de domaine en .fr. Des démarches simples, en 2 clics, directement depuis le site de l’Afnic.

Depuis 2017, l’Afnic a recensé 102 plaintes d’usurpation d’identité de personnes physiques relatives à l’enregistrement d’un nom de domaine en .fr. L’usurpation d’identité survient lorsqu’une personne enregistre un ou des noms de domaine sous l’identité d’un tiers (personne physique). Dans la majorité des cas, il s’agit là d’un acte de malveillance à des fins de cybercriminalité : escroquerie, vente de produits contrefaits, arnaques aux entreprises, diffamation, etc.

Si le nombre de plaintes recensées est relativement faible au regard des 3,4 millions de noms de domaine enregistrés en .fr, ces pratiques peuvent avoir des impacts lourds de conséquences pour les victimes. Malheureusement, ces faits sont portés à leur connaissance de manière souvent brutale, par lettre recommandée émanant d’un cabinet d’avocat, une plainte ou une assignation signifiée par un huissier de justice…

Pour lutter contre ces usurpations d’identité, l’Afnic a édité une fiche pratique « Lutter contre l’usurpation d’identité » et a mis en place une procédure simple en deux étapes :

  • 1ère étape « La demande d’accès à ses informations dans la base Whois », qui recense l’ensemble des noms de domaine gérés par l’Afnic (.fr, .pm, .re, .tf, .wf et .yt.).
    Si cette étape est facultative, elle est vivement conseillée : elle permet en effet de connaître le ou les nom(s) de domaine enregistré(s) avec les informations personnelles des victimes.

Fort de ces informations, il faudra alors déposer une plainte auprès du commissariat de police ou de la gendarmerie les plus proches.

Dès réception de cette demande, l’Afnic agit dans les meilleurs délais pour que le bureau d’enregistrement en charge du ou des nom(s) de domaine concerné(s) supprime les informations personnelles ainsi que le nom de domaine frauduleusement enregistré. Ces deux démarches sont directement accessibles depuis le site de l’Afnic, à la rubrique « Actions et procédures ».

Rappelons que l’usurpation d’identité est un délit pénalement sanctionné par un an d’emprisonnement et d’une amende de 15 000 euros.

Base de données, Chiffrement, Cybersécurité, Entreprise, Justice, loi, Securite informatique

Amende CNIL pour vidéosurveillance excessive

Mardi 18 juin 2019, la CNIL annonce une amende à l’encontre d’une entreprise. Motif : vidéosurveillance excessive des salariés.

La formation restreinte de la CNIL a prononcé en ce mois de juin 2019 une sanction de 20 000 euros à l’encontre de la société UNIONTRAD COMPANY. Motif ? L’entreprise a mis en place un dispositif de vidéosurveillance qui plaçait ses salariés sous surveillance constante.

La Commission Nationale Informatique et des Libertés a également prononcé une injonction afin que la société prenne des mesures pour assurer la traçabilité des accès à la messagerie professionnelle partagée.

Contrôle mené dans les locaux de la société en février 2018

Un contrôle effectué par les agents assermentés de la CNIL a permis de constater que la caméra présente dans le bureau des six traducteurs les filmait à leur poste de travail sans interruption ; aucune information satisfaisante n’avait été délivrée aux salariés ; les postes informatiques n’étaient pas sécurisés par un mot de passe et les traducteurs accédaient à une messagerie professionnelle partagée avec un mot de passe unique (sic!).

En juillet 2018, la Présidente de la CNIL mettait en demeure la société de se mettre en conformité à la loi Informatique et Libertés, en lui demandant de : déplacer la caméra pour ne plus filmer les salariés de manière constante ; procéder à l’information des salariés sur la présence des caméras ; mettre en œuvre des mesures de sécurité pour l’accès aux postes informatiques et pour la traçabilité des accès à la messagerie professionnelle.

20 000€

En l’absence de mesures satisfaisantes à l’issue du délai fixé dans la mise en demeure, la CNIL a effectué un second contrôle en octobre 2018 qui a confirmé la persistance des manquements malgré les affirmations contraires de la société. Une procédure de sanction a donc été engagée par la Présidente de la CNIL.

Bilan, amende de 20 000€ !