Archives de catégorie : loi

Base de données, Chiffrement, Cybersécurité, Entreprise, Fuite de données, Justice, loi

RGPD – Seconde consultation de la CNIL au sujet du règlement européen de protection des données personnelles

RGPD, c’est bientôt ! La CNIL (Commission nationale de l’informatique et des libertés) vient de lancer une 2e consultation nationale auprès des professionnels sur le règlement européen de protection des données personnelles (entrée en vigueur : mai 2018 pour les 28 Etats membres).

Les sujets abordés sont le profilage (« Comment intégrer les principes de privacy by design and by default ? », « Le profilage appliqué à votre secteur d’activité »), le consentement (« Qu’est ce que le consentement ? », « Le retrait du consentement ? »)  et les notifications de violation de données personnelles (« qui a obligation de notifier ? », « à quel moment notifier ? », « comment informer ? »).

Cette consultation se tient jusqu’au 24 mars et viendra alimenter les travaux du G29 (groupe des CNIL européennes) qui se réunissent en avril.

L’année dernière, de juin à juillet 2016, 225 contributeurs avaient posté 540 contributions et émis 994 votes sur les 4 premiers thèmes qui font l’objet de lignes directrices : le délégué à la protection des données, portabilité, études d’impact sur la vie privée, certification).

Du 23 février au 23 mars 2017, la CNIL ouvre la consultation sur 3 nouveaux thèmes : Notification de violation de données personnelles ; profilage et consentement. Ces éléments permettront de clarifier et de rendre pleinement opératoires les nouvelles règles européennes et nourriront les lignes directrices que produira le G29.

La protection des données personnelles doit être pleinement intégrée à l’ensemble de vos activités dès lors qu’elles impliquent un traitement d’informations. En effet, l’entrée en vigueur en mai 2018 du Règlement général sur la protection des données (RGPD) requiert dès aujourd’hui la mise en conformité de votre organisation, vos processus et votre stratégie. La société iTrust et ZATAZ ont proposé, le 28 février, un rendez-vous dédié à la compréhension de la GRPD. Un Webinaire avec Damien Bancal (ZATAZ.COM) et par ITrust, société d’expertise en cybersécurité française.

Cybersécurité, Justice, loi

CITES tape « Ctrl, Alt, Suppr » sur la cybercriminalité

Les cybercriminels sont les derniers perdants de la 17ème Conférence des Parties (COP 17) de la CITES (Convention sur le commerce international des espèces de faune et de flore sauvages menacées d’extinction) suite à la décision de ratifier l’engagement pris par les 183 Parties d’éradiquer le commerce illégal de la faune en ligne.

La décision exige de toutes les Parties qu’elles prennent une série de mesures pour s’assurer de mettre un coup d’arrêt à la criminalité en ligne liée à la faune sauvage et rassembler gouvernements, responsables de l’application des lois et sociétés de technologie en ligne dans la mission commune de sauver la faune. IFAW (le Fonds international pour la protection des animaux – www.ifaw.org) se félicite de cette décision qui constitue un énorme progrès dans la lutte pour bousculer le monde souvent sombre et secret de la criminalité en ligne liée à la faune sauvage.

« Nous sommes ravis de cette décision et remercions particulièrement le Kenya qui a mis le sujet sur la table de la CoP à Johannesburg. La criminalité en ligne liée à la faune sauvage est une menace sérieuse pour les espèces en voie de disparition, comme nos recherches le montrent depuis 2004. Cette décision permettra aux gouvernements du monde entier de prendre les mesures les plus strictes pour lutter contre ce fléau », a déclaré Tania McCrea-Steele, Chef de projet international Criminalité en ligne liée à la faune sauvage d’IFAW.

La décision ratifiée au cours de la dernière séance plénière de la CITES permet aux gouvernements de:
Identifier et partager les meilleures pratiques en matière d’application de la loi, notamment en travaillant avec INTERPOL, pour établir des lignes directrices pour les enquêtes;

Permettre aux gouvernements de s’assurer qu’ils ont la législation la plus stricte possible et encourager un engagement accru et partagé du Secrétariat, des gouvernements et des plates-formes de commerce en ligne et de réseaux sociaux pour lutter contre la criminalité en ligne liée à la faune sauvage;

En outre, il appelle à la mise en place d’un atelier sur la criminalité en ligne liée à la faune sauvage qui rassemble à la fois les pays sources, les pays consommateurs, ceux qui hébergent les grandes entreprises du web, les organisations non-gouvernementales expertes, des avocats et tout autre expert compétent pour faire avancer cette question d’ici à la prochaine CoP.

« Cette décision va conduire à une contre-offensive beaucoup plus cohérente contre les criminels qui ciblent la faune sauvage en ligne en permettant une application plus efficace de la loi et une meilleure collaboration avec le secteur commercial, le tout soutenu par une législation plus stricte pour éradiquer cette forme de criminalité. » a déclaré Tania McCrea-Steele.

La proposition sur la lutte contre la criminalité en ligne liée à la faune sauvage a été soumise par le Kenya et a été soutenue à l’unanimité des 183 Parties à la CITES.

Cybersécurité, Justice, loi

Quand le digital défie l’Etat de droit

La révolution numérique bouleverse profondément la technique, les usages, nos modèles économiques mais aussi… le droit. Cette transformation oubliée n’est pas le fruit du hasard. Elle est le fait d’une alliance entre les libertariens californiens, les grandes entreprises de la Silicon Valley et le Gouvernement américain. Ensemble, ils imposent leurs valeurs et leur droit.

Avez-vous lu les CGU (Conditions générales d’utilisation) des services Google, Facebook, Twitter, WhatsApp et consorts ? Ces CGU désignent le plus souvent le droit de l’Etat de Californie comme applicable et le juge californien comme juge du contrat. Jamais le droit français n’est affiché en clair et de manière explicite. Pourtant, la Cour d’appel de Pau a jugé en 2012, dans une affaire impliquant Facebook, que ce genre de clause est illicite, contraire au droit de la consommation. Or, quatre ans plus tard, Facebook maintient cette clause abusive dans ses CGU au mépris du droit et en toute impunité. Car qui a les moyens d’affronter la puissance financière et juridique des géants américains du numérique ? Les États européens eux-mêmes abdiquent et, au mieux, cherchent à négocier plutôt qu’à faire appliquer la loi.

Mais l’auteur va plus loin. Il analyse quatre concepts fondamentaux du droit. Ces quatre concepts sont : la liberté d’expression, la vie privée, les droits d’auteur et la place de l’Etat et de la Loi. Il constate leur glissement vers le droit anglo-saxon.

Les symptômes de cette évolution non démocratique sont des paroles de haine qui se diffusent sans réponse judiciaire efficace dans une Europe en ébullition, un affaissement de la vie privée, des données personnelles sans contrôle, des citoyens épiés chaque seconde par le partenariat NSA et grandes entreprises de la Silicon Valley, l’affaiblissement de la Loi et la dérégulation au profit du contrat.

L’AUTEUR : Me Olivier Iteanu est avocat à la Cour d’Appel de Paris depuis décembre 1988 et est fondateur et dirigeant de la société Iteanu Avocats. Spécialisé dans le droit d’Internet dès l’origine, il a publié le premier livre de droit français sur ce sujet en 1996 chez Eyrolles (Internet et le droit). Il a été président du chapitre français de l’Internet Society de 2000 à 2003 et un des rares européens ayant eu un rôle actif au sein de l’ICANN (autorité mondiale de gestion des noms de domaines). Il est expert en noms de domaine auprès de l’Organisation mondiale de la propriété intellectuelle. 12,90 € / ISBN 978-2-212-11859-9 / Edition Eyrolles.

Base de données, Cybersécurité, Entreprise, Fuite de données, Justice, loi, Sauvegarde

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.
Cybersécurité, Facebook, ID, Justice, loi, Particuliers, Twitter

Réseaux sociaux : la police utilise une vieille loi obsolète pour arrêter des internautes

Un rapport publié récemment par le Bureau National Crime Records indien indique suggère que la police des différents états se moque ouvertement de la modification d’une loi. Bilan, Plus de 3.000 personnes arrêtées illégalement.

Le problème avec les lois c’est qu’elles changent souvent. Modifications, amendements… Bilan, se mettre à jour n’est pas chose aisée. Si en plus vous rajoutez de la mauvaise foi, vous voilà avec une constatation inquiétante du Bureau National Crime Records.

Cette entité Indienne explique ouvertement que les policiers en charge de L’internet et du Cybercrime font fi de la modification d’une loi « Section 66A of the Information Technology Act » qui permettait d’arrêter des internautes donnant un avis « contraire » que celui prôné, par exemple, par le gouvernement ou des politiques, sur les réseaux sociaux. Bref, râleurs, dissidents politiques… ne doivent plus être inquiétés.

Sauf que les autorités des différents états indiens ont du mal avec cette mise à jour. 3 133 personnes ont été arrêtées arbitrairement par la police pensant que la Section 66A of the Information Technology Act était toujours en activité. Un tribunal avait confirmé, en 2015, le droit de la liberté de parole et d’expression des citoyens indiquant même que « l’article 66A s’attaque de manière arbitraire, excessive et disproportionnée le droit de la liberté d’expression« . En 2015, sur les 3 133 personnes arrêtées, 64 avant moins de 18 ans. 2 avait plus de 60 ans. (BS)

Cybersécurité, IOT, loi

La FAA continue de mener la guerre aux utilisateurs de drones

La FAA met en place 107 obligations concernant les drones. Un test payant imposé aux pilotes.

La semaine dernière, les nouvelles règles fédérales pour les opérateurs de drones commerciaux ont pris effet. Pour la première fois, la Federal Aviation Administration ne demande pas d’examiner et d’approuver chaque utilisation commerciale unique dans le pays. Ce processus d’approbation par la renonciation a pris des mois, et a inutilement retardé le développement commercial et le déploiement de la technologie de ces petits engins volants. Cependant, 107 règles de la FAA fixent des limites strictes sur le type d’opérateurs.

Les pilotes de drones doivent, par exemple, passer un test de connaissance de la FAA, test qui coûte 150 $, et qui doit être renouvelé tous les deux ans.  Une fois le test validé, les pilotes ne peuvent pas voler avec des drones de plus de 55 livres (25 kilos), et ne pas voler à plus de 400 pieds d’altitude, soit 121m. Interdit aussi de voler de nuit ou dans des zones peuplées , ou voler directement au-dessus de personnes non impliquées dans le vol lui même. (DS)

Cybersécurité, loi

Terrorist Travel Prevention : vos identifiants aux réseaux sociaux pour vous rendre aux USA

Terrorist Travel Prevention – Le gouvernement Américain est en train de peaufiner des nouveautés pour se rendre sur son territoire comme la fourniture de ses identifiants aux réseaux sociaux.

Terrorist Travel Prevention – Ambiance sympathique à venir, au passage de la frontière américaine. Pour ceux qui ont la chance, comme votre serviteur, de se rendre souvent sur le sol de l’Oncle Sam, le passage devant les « souriants » et très pointilleux policiers des frontières américaines (Customs and Border Protection) peut en refroidir plus d’un. Questions à la tonne via le formulaire I-94 : « Quelqu’un dans votre famille était nazi durant la guerre ? » et les CBP : « Placez vos dix doigts sur le capteur » ; « Ne souriez pas à la caméra » …

Prochainement, du moins si le gouvernement fédéral d’Obama fait voter ce renforcement de la loi de 2015 « Terrorist Travel Prevention« , les voyageurs seront invités à fournir leurs identifiants aux réseaux sociaux. On ne parle pas, évidement, des mots de passe, mais au moins l’adresse de votre Twitter, Facebook, Google+, … Pour traduire, il sera demandé vos logins, userID, Username. Une invitation qui pourrait devenir rapidement une obligation si les « gardiens » décident de trouver bizarre que vous n’en possédiez pas. Seront concernés, les ressortissants de pays n’ayant pas obligation à posséder un Visa, soit 38 pays, dont la France. Bref, ça va être sympa si, comme moi, vous utilisez une quarantaine de comptes et réseaux sociaux.

Il faudra m’expliquer à quoi servira cette fourniture aux autorités fédérales. Déjà que pour avoir son ESTA, les informations demandées sont légions. Rien n’empêche de garder certains de ses comptes sociaux secrets. A moins que les sbires d’Obama souhaitent comparer les IP des comptes proposés avec les IP de comptes surveillés, mais non identifiés. Seulement 800 personnes ont répondu à la consultation lancée par la Maison Blanche. La grande majorité indique que cette nouveauté ESTA est « ridicule« , « inutile« , « Une proposition de Donald Trump ?« .

Chiffrement, cryptage, Cybersécurité, Justice, loi

Lutte anti-terrorisme et chiffrement : le Conseil national du numérique lance une réflexion à la rentrée 2016

Mardi 23 août, le ministre de l’Intérieur Bernard Cazeneuve a rencontré son homologue allemand pour soutenir une initiative européenne de lutte contre le terrorisme visant à limiter le chiffrement. En réaction, le Conseil national du numérique (CNNum) souhaite instruire les implications politiques, sociales et économiques d’une limitation du chiffrement. Le Conseil se saisira de cette question à la rentrée pour apporter sa contribution au débat.

A l’initiative du Président du CNNum Mounir MAHJOUBI, plusieurs membres du Conseil et experts extérieurs (dont Isabelle FALQUE-PIERROTIN – Présidente de la CNIL, Gilles BABINET – Digital Champion de la France auprès de l’Union européenne et Tristan NITOT – Fondateur de Mozilla Europe et Chief Product Officer de Cozy Cloud) se sont exprimés en faveur du chiffrement dans une tribune publiée dans “Le Monde” le 22 août. Ils alertent le gouvernement français sur les conséquences graves et non anticipées d’une limitation du chiffrement ou d’une généralisation des portes dérobées (backdoors). De telles mesures auraient pour conséquence d’affaiblir la sécurité des systèmes d’information dans leur ensemble” en ouvrant des failles de sécurité utilisables par tous, à des fins légitimes ou mal-intentionnées. De plus, elles auraient “une efficacité toute relative sur l’infime minorité d’utilisateurs ciblés”.

Accusé de faciliter la propagande et la préparation d’actes terroristes, le chiffrement est avant tout utilisé par les citoyens, entreprises et pouvoirs publics pour protéger des communications ou transactions. Il consiste à protéger des données en les rendant illisibles de l’extérieur et déverrouillables par une clé.

Mounir MAHJOUBI, Président du CNNum, résume ainsi les enjeux : “Il n’est pas question de nier les enjeux de sécurité et l’urgence d’agir. Le chiffrement peut être utilisé par des terroristes mais il constitue surtout un élément essentiel de notre sécurité en ligne et, partant, de celle de notre pays.

Afin d’apporter à ce débat un éclairage à la hauteur des enjeux liés au chiffrement, le Conseil national du numérique prévoit donc de lancer dès la rentrée des travaux dédiés à ce sujet, notamment sur les règles de coopération judiciaire internationale et la généralisation d’une culture du chiffrement.

Cybersécurité, Espionnae, Justice, loi, Particuliers, Vie privée

Drones pirates : 352% de plaintes en plus en 1 an

Les drones sont devenus des objets courants, aujourd’hui. A partir de quelques euros, il est possible d’acquérir un engin volant. Au Royaume-Uni, la crainte grimpe au sujet des drones pirates. 425 plaintes déposées en 2015.

Les drones pirates envahissent les commissariats. Les drones prennent de plus en plus de place dans le ciel. Amateurs de belles images, geek et autres amateurs d’objets high-tech se jettent sur ces objets volants. Il semble que les criminels aussi ! Il n’y a malheureusement pas de raison que ce genre d’engin ne soit pas utilisé, par exemple, pour filmer une zone à cambrioler.

Au Royaume-Uni, les autorités viennent de tirer la sonnette d’alarme. Une méthode pour attirer le regard bien veillant du législateur. Un rapport de la police britannique indique que les plaintes, concernant des drones, ont augmenté de 352 % en un an. En 2014, la police avait reçu 94 plaintes de particuliers et entreprises. En 2015, le chiffre est passé à 425. Pour 2016, semble-t-il, un chiffre encore plus élevé. Depuis mois de mai 2016, déjà 272 dossiers ont été enregistrés par les autorités. A noter que de nombreuses complaintes concernent aussi des drones appartenant à la police.

Des chiffres collectés par le journal The Independent. 21 postes de police du Royaume-Uni, sur 45, ont répondu. Autant dire que le chiffre global de 352% est très certainement en dessous de la réalité. Les chiffres comprennent également des drones ayant mis en danger des avions commerciaux, des transports de drogue vers des cellules de prison. 257 rapports ont été répertoriés comme étant une préoccupation sérieuse pour la sécurité publique… sept faisaient état de drones appartenant à de jeunes enfants.

Chiffrement, cryptage, Cybersécurité, Facebook, Justice, loi, Particuliers

Facebook a répondu à une demande sur deux de la Justice Française

Le portail communautaire sollicité par la justice ne répond pas toujours positivement aux autorités. Une demande sur deux en France trouve écoute.

Les autorités judiciaires souhaiteraient que Facebook répondent plus souvent, positivement, à leurs demandes d’informations sur des utilisateurs ciblés par une enquête policière. Facebook ne répond pas en cas de demande vague ou non correctement formulée.

En 2015, Facebook a fourni des données d’internautes [lire quels types de données Facebook possède sur ses utilisateurs] dans 54% des cas, en France ; 82 % en Grande Bretagne et 42 % en Allemagne. La semaine dernière, les autorités Allemandes avaient montré du doigt Facebook en indiquant que le portail communautaire était réticent à collaborer avec la justice locale. Facebook a rejeté l’accusation en expliquant qu’un grand nombre de demandes reçues d’Allemagne avait été mal formulé.

Facebook a confirmé avoir aidé les services de renseignements Allemands en ouvrant les vannes après les attaques de Munich, Wuerzburg et Ansbach. L’un des terroristes, Ansbach, avait six comptes Facebook, y compris un compte sous une fausse identité. « Les réseaux sociaux sont une méthode de communication pour les djihadistes. Par conséquent, une coopération plus étroite entre les agences de sécurité et les opérateurs de réseaux sociaux est nécessaire » souligne Hans-Georg Maassen, le chef de l’agence de renseignement intérieur Allemande BfV.