dimanche 1 décembre 2013

Google versus le droit français d'Internet : and the winner is...




 La réglementation de l’Internet est un sujet délicat en droit français car il faut trouver le juste équilibre entre la garantie d’un espace libre protégeant les libertés fondamentales et la lutte contre des cyberattaques et la cybercriminalité. L’analyse d’affaires concernant exclusivement Google met en exergue la fragilité de cet équilibre.


     

vendredi 1 novembre 2013

Le cloud computing, véritable nébuleuse juridique


Quelle agréable surprise que de découvrir un discours du vice-président du Conseil d’État [1] sur un sujet qui intéresse, une fois n’est pas coutume, la communauté de la cybersécurité : le cloud computing [2]


mardi 1 octobre 2013

Le droit de la SSI : la solution européenne?


Riches sont les années 2012 et 2013 pour la réglementation de la SSI au niveau européen. Le dernier exemple en date est la directive du 12 août 2013 relative aux attaques contre les systèmes d’information [1]. Cette directive vise à harmoniser les législations en vigueur en matière de lutte contre la cybercriminalité et à instaurer une coopération renforcée dans l’Union européenne par la mise en place d’un système coordonné de suivi des infractions. La directive devra être transposée en droit national d’ici le 4 septembre 2015.
La directive n’apporte pas d’avancée majeure en matière de réglementation de la cybercriminalité. Toutefois, elle a le mérite d’uniformiser et de mieux définir les infractions pénales. Elle permet aussi de contraindre les entreprises à qui il revient d’apporter la preuve de leur diligence en matière de surveillance et de protection contre les cyberattaques commises par leurs propres salariés. Enfin, elle favorise le renforcement de la coopération entre les Etats membres toujours en matière de cybercriminalité.
Pourtant, ce nouvel acte législatif européen a le défaut de n’être seulement « qu’une » directive [2].

En effet, l’Union européenne a à sa disposition plusieurs outils règlementaires dont la directive et le règlement.  A la différence de la directive qui ne fixe seulement que des objectifs à tous les pays-membres de l'Union Européenne, en leur laissant à chacun le choix des moyens pour les atteindre, le règlement est lui, au contraire, un acte législatif contraignant qui doit être mis en œuvre dans son intégralité et dans toute l'Union européenne.  
Le règlement est également d’application directe et permet d’imposer à tous les Etats membres la même et unique réglementation sur un sujet précis. En matière de droit de la SSI qui a dû mal à contraindre [3], le règlement européen apparaît comme un outil efficace. 
Par exemple, le règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel [4] impose aux opérateurs de communications électroniques de notifier la CNIL dans les 24h de la violation puis dans les 4 jours lui adresser un ensemble d’informations à ce sujet [5]. Ces délais sont impératifs.
Souhaitons la même efficacité pour le projet de règlement européen sur la protection des données [6]  qui est prévu pour la fin de l’année 2013.
Mais, le règlement comporte également des inconvénients. Le principal s’illustre au travers du projet de règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur [7]. Ce règlement, par son manque de précision et par ses nombreux renvois aux actes délégués et d’exécution [8], présage un certain nivellement par le bas au niveau des exigences de sécurité [9]. En effet, l’objectif principal affiché du règlement est la restriction des obstacles au développement du marché européen en la matière.  La sécurité, souvent vue comme un centre de coûts, pourrait donc représenter un obstacle majeur.

Cette hypothèse mise à part, l’action européenne se voit plébiscitée dans le domaine de la fiscalité du numérique.
Dans son rapport d’information « l'Union européenne, colonie du monde numérique ? », la sénatrice Mme Catherine MORIN-DESAILLY  invite « la Commission européenne à proposer la création d’un impôt numérique européen destiné à contribuer au financement des réseaux de nouvelle génération et à celui de la création, neutre à l’égard des modèles d’affaires, visant une matière imposable qui soit au cœur de l’économie numérique et non délocalisable et enfin propice au développement du numérique et à l’innovation» [10].
Ce rapport insiste bien sur la création d’un impôt européen malgré le fait que la souveraineté fiscale est en principe nationale.
Cette proposition a été renforcée par l’avis du 10 septembre 2013 du Conseil national du numérique [11] qui rejette également l’idée d’une fiscalité nationale du numérique. En effet, il s’oppose à l’adoption d’une taxe nationale destinée aux entreprises du numérique calculée sur la base du volume des données personnelles qu’elles exploitent et collectent. Il conseille de « déployer, à l’initiative de la France et ses partenaires, une politique industrielle européenne du numérique qui permette de cultiver l’écosystème des entreprises ». Ces recommandations devraient prises en compte dans le cadre du projet de loi de finances pour 2014.
Cette volonté de pousser l’Union européenne à créer des impôts est significative de la période de crise économique dans lequel nous nous trouvons et où la création de nouveaux impôts est difficile à faire accepter à l’opinion publique.  Mais au-delà, il s’agit d’un exemple que l’action commune européenne est motrice et a toujours en bel avenir, notamment en droit de la SSI.


[1] La directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil.
[2] Le même regret peut être exprimé concernant le projet de la directive SRI (sécurité des réseaux et de l’information).
[3]Cf  article du 1er août 2013 « Le droit de la SSI, quelles sanctions ? ».
[4] Le règlement européen 611/2013 du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques est entré en vigueur le 25 août 2013.
[5] Dans les 4 jours, les opérateurs doivent adresser à la CNIL les informations suivantes : date et heure de l’incident et de sa constatation, circonstances de la violation, nature et teneur des données concernées, mesures techniques et organisationnelles appliquées, recours à d’autres fournisseurs pour fournir le service, résumé de l’incident à l’origine de la violation, nombre d’abonnés ou de particuliers concernés, conséquences et préjudices potentiels pour les abonnés ou particulier, mesures techniques et organisationnelles prises par le fournisseur pour atténuer les préjudices potentiels, contenu de l’information des personnes concernées, moyens de communication utilisés, nombre d’abonnés ou de particuliers informés, violation de données à caractère personnel concernant des abonnés ou des particuliers dans d’autres Etats membres, notification à d’autres autorités nationales compétentes.
[6] Proposition 2012/0011 du 25 janvier 2012 de règlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.
[7] Cette proposition de règlement date du 4 juin 2013.
[8] Les actes délégués et d’exécution sont des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l'acte législatif mais sont maîtrisés uniquement par la Commission européenne.
[9] En matière d’identification électronique et de services e confiance pour les transactions électroniques, les exigences de sécurité françaises sont celles du Référentiel Général de Sécurité.
[10] Proposition n°15 du rapport d’information fait au nom de la commission des affaires européennes sur l'Union européenne, colonie du monde numérique? par Mme Catherine MORIN-DESAILLY, Sénatrice, enregistré à la présidence du Sénat le 20mars 2013.
[11] Concertation sur la fiscalité du numérique-Avis n° 2013-3 du Conseil national du numérique remis à Bercy le 10 septembre 2013.

dimanche 1 septembre 2013

Les chartes de bonne pratique, une réglementation alternative ?

La difficulté principale de toute réglementation réside dans l’équilibre entre l’acceptation et l’application des règles par les destinataires de la réglementation et les sanctions en cas de violation des règles.
Une bonne réglementation est une réglementation qui est effectivement appliquée et qui sanctionne réellement son non-respect. L’absence de sanction n’incite pas à l’application car rien n’y contraint tandis que l’existence de sanctions peut être rendue inefficace par crainte justement de la sanction.

Quelles solutions peuvent-elles être envisagées ?

Un code de bonnes pratiques relatif à l’utilisation des caméras de surveillance par les autorités locales et les forces de police vient d’être mis en œuvre en Angleterre et au Pays de Galles le 12 août dernier [1]. Ce code de bonnes pratiques met l’accent sur le fait que les caméras doivent être uniquement utilisées dans la poursuite d’un but légitime et en cas de besoin urgent. Cette précision apparaît explicitement afin de rassurer les citoyens que ce dispositif est uniquement installé pour leur sécurité et non pour les espionner.
Ce code a été introduit suite à la publication du «  Protection of Freedoms Act 2012 » qui a également créé le poste de commissaire des caméras de surveillance et restreint l’accès aux informations et la rétention des informations.
Il est intéressant de noter que cette initiative vient renforcer un premier acte normatif contraignant pour rassurer les individus même si aucune sanction n’est prévue en cas de violation de ce code de bonnes pratiques.
Cette initiative fait doublement écho à la réglementation française. D’une part, cette dernière a également autorisé les systèmes de vidéosurveillance tant publics que privés avec la loi Informatique et Libertés de 1978 [2]. Depuis la loi LOPPSI 2 [3], ils sont regroupés sous l'expression de vidéo-protection. L’installation de caméras de vidéo-protection doit faire l'objet d'une autorisation préalable et est limitée par un cadre juridique [4] qui garantit notamment un droit d'information, d'accès et de recours aux particuliers.
D’autre part, une charte relative aux conditions de mise en œuvre des dispositifs de vidéo-protection a, également été signée le 5 avril 2013 entre la CNIL et la SNCF concernant les dispositifs déployés dans les gares, les boutiques SNCF et les trains de la vie quotidienne (TER, RER et tramways) [5]. Afin de vérifier le respect des engagements de la charte, la SNCF va systématiser la réalisation d'audits réguliers dont les résultats et les préconisations seront communiqués à la CNIL à l'occasion d'un rendez-vous annuel.
Le constat est donc similaire de part et d’autre de la Manche, la législation contraignante se voit accompagnée de chartes de bonnes pratiques dans le but de tranquilliser les concitoyens mais sans pour autant assurer l’efficacité de tels documents. 

De la « marteauthérapie » à la « calinothérapie » ?

Les chartes ont pour objectif de rajouter une couche réglementaire à des sujets déjà réglementés mais dont la dimension contraignante n’est pas satisfaisante.
Les chartes sont initialement associées à l’énoncé de grands principes de bonne conduite. Cet instrument de gouvernance régissant principa

jeudi 1 août 2013

Le droit de la SSI, quelles sanctions ?

Précédemment,  nous évoquions que le droit de la SSI n’existait pas en tant que tel mais qu’il existait plutôt une multitude de dispositions légales relatives à la SSI, éparpillées dans le vaste corpus juridique français[1].
Toutefois, peut importe de l’existence d’un droit sanctifié de la SSI tant que celui-ci arrive à s’imposer. Ainsi, il s’agit surtout de s‘interroger sur l’applicabilité réelle des aspects légaux de la SSI et, notamment, de l’efficacité des éventuelles sanctions existantes.
L’actualité des derniers mois souligne que certaines de ces sanctions SSI semblent un peu malmenées.

Tout d’abord, dans un arrêt du 5 juillet 2013, le Conseil Constitutionnel saisi d’une question prioritaire de constitutionnalité (QPC) a déclaré inconstitutionnels les 12 premiers alinéas de l’article L36-11 du code des postes et des communications électroniques (CPCE) relatifs aux modalités de sanction par l’ARCEP d’exploitants de réseaux ou de fournisseurs de services de communications électroniques en cas de manquements de ces derniers. Le Conseil Constitutionnel a déclaré que ces dispositions violaient le principe d’impartialité garanti par la Constitution en n’assurant pas « la séparation au sein de l’Autorité entre, d’une part, les fonctions de poursuite et d’instruction des éventuels manquements et, d’autre part, les fonctions de jugement des mêmes manquements »[2].
Cette décision est d’effet immédiat et est donc applicable à toutes les procédures en cours devant l'ARCEP ainsi qu'à toutes les instances non définitivement jugées à cette date. Ainsi, un vide juridique est apparu et l’ARCEP se retrouve, en partie, démunie pour sanctionner les opérateurs.  
Un autre exemple emblématique est la suppression de la sanction phare du dispositif HADOPI à savoir la coupure d’accès à Internet d’un abonné suite à des téléchargements illégaux réitérés. En cause, le décret du 8 juillet 2013[3] qui supprime la peine contraventionnelle complémentaire de suspension de l’accès Internet.  Le texte stipule donc que « seule une peine d'amende [...] pourra désormais être prononcée pour l'infraction de négligence caractérisée. » Officiellement, en quatre ans d’existence de la Haute autorité, seules quatre procédures ont fait l'objet de décisions judiciaires définitives dont une seule avait prononcé, en juin 2013, une suspension de 15 jours de la connexion internet[4].
L’HADOPI ne se retrouve pas, sans cette menace, désarmée dans sa lutte contre le téléchargement illégal mais le symbole de la suppression reste fort. D'autant plus que l’avenir de l’HADOPI apparaît de plus en plus incertain[5].

Ces deux exemples spécifiques ne font que souligner le constat évident que le droit de la SSI est difficilement applicable en raison du manque de sanctions efficaces.
Pourtant, les efforts en matière de cybersécurité sont de plus en plus mis en avant. En témoigne, entre autres, la montée en puissance de l’ANSSI. Sauf que, l’ANSSI, autorité nationale, ne dispose pas de pouvoir de sanction. Or, dans un domaine voisin, celui de la protection des données à caractère personnel, la CNIL, Autorité Administrative Indépendante (AAI) le possède.
En effet, la CNIL a, notamment, recours aux sanctions pécuniaires et pour des motifs de plus en plus large : par exemple, la délibération du 30 mai 2013, a sanctionné, en partie, la présence de mots de passe trop simples (suites de 5 caractères)[6].
Cependant, les contrôles de la CNIL, augmentent mais restent toujours une goutte d’eau dans un océan : 458 contrôles en 2012 soit une augmentation de 19 % par rapport à 2011 avec 173 contrôles relatif au dispositif de vidéosurveillance parmi 8946 déclarations relatives à ce même dispositif de vidéosurveillance soit un pourcentage de contrôle de 2%[7]. C’est déjà ça !
Le Livre blanc de la défense et de la sécurité nationale paru le 29 avril 2013 met en avant le renforcement législatif et réglementaire du domaine cyber et notamment concernant les opérateurs d’importance vitale (OIV) qui devront respecter des standards de sécurité mais surtout, prendre des mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes d’information sensibles.
Les fondements de ce nouveau dispositif devraient être mis en place dans la prochaine loi de programmation militaire (LPM) dont le vote est prévu pour la fin de l’été. Souhaitons que ce dispositif prévoit des sanctions réalistes, justes et efficaces.

Enfin, dernière proposition : agir sur l’humain.
La bonne application de toute loi s’effectue par une bonne compréhension des dispositions législatives par les juges et avocats, premiers destinataires des lois. Or, force est de constater que les dispositions pénales relatives à la SSI[8] qui devraient être, par principe, assorties de sanctions efficaces sont rarement utilisées. Les jurisprudences sont quasiment absentes et les peines maximales indiquées ne sont que partiellement appliquées.
Ainsi, le levier de la formation et la sensibilisation des professions judicaires à la SSI et à ses problématiques doit être rapidement actionné. Dans un premier temps, la vulgarisation et une bonne pédagogie devront permettre une meilleure compréhension des enjeux stratégiques de la SSI.


[1]Cf article du 1er juillet « le droit de la sécurité des systèmes d’information (SSI) n’existe pas »
[2]Décision n° 2013-331 QPC du 05 juillet 2013 Société Numéricâble SAS et autre-JORF du 7 juillet 2013 page 11356
[3]Décret n° 2013-596 du 8 juillet 2013 supprimant la peine contraventionnelle complémentaire de suspension de l'accès à un service de communication au public en ligne et relatif aux modalités de transmission des informations prévue à l'article L. 331-21 du code de la propriété intellectuelle.
[4]Les trois autres procédures ont abouti à une amende de 150 euros, une  relaxe et une condamnation, assortie d'une dispense de peine.
[5]Le 9 juillet 2013, Madame Fillippetti, ministre de la Culture et de la Communication, aurait déclaré que l’HADOPI allait être supprimée.
[6]Délibération de la formation restreinte n° 2013-139 du 30 mai 2013 SAS PROFESSIONAL SERVICE CONSULTING dite PS Consulting
[7]Rapport annuel 2012 de la CNIL.
[8]Articles 321-1 à 321-4 du code pénal

lundi 1 juillet 2013

Le droit de la sécurité des systèmes d’informations (SSI) n’existe pas...



En tout cas, il n’existe pas en tant que tel, il n’est notamment pas encore codifié.
Actuellement, il est seulement possible de dire que le droit de la SSI vit au travers des autres droits. Il est composé de l’agrégation de plusieurs droits, il est formé des parties spécifiques des droits plus « classiques » tels que le droit pénal, le droit de la défense ou encore le droit des postes et des télécommunications électroniques.
Il en résulte qu’il est difficile d’exposer un panorama exhaustif de tous les aspects juridiques de la SSI ; toutefois, il est au moins possible de circonscrire son périmètre.

Le droit de la SSI concerne, d’une part et de façon stricte, la protection des réseaux et des systèmes matériels et, d’autre part et plus largement, la protection des informations en tant que telles et leurs qualités intrinsèques qui circulent sur les réseaux précités.  .

Ainsi, le droit de la SSI est marqué par la relation spécifique du contenant avec le contenu.

L’intrusion frauduleuse dans le contenant à savoir dans un système de traitement automatisé de données (STAD)[1] est punie par le code pénal. Ces infractions ont été créés par la loi Godfrain du 5 janvier 1988[2] sur la fraude informatique modifiée par la loi de 2004 sur la confiance dans l’économie numérique[3] (LCEN) qui a principalement augmenté les peines. 
Les quatre principaux comportements punis lors d’une intrusion frauduleuse dans un STAD sont les suivants :
-          Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un STAD est puni d'un an d'emprisonnement et de 15 000 euros d'amende[4] à savoir, par exemple, l’installation de programmes espions (sniffer)ou l’administration à distance frauduleuse du poste.
-          Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de trois ans d'emprisonnement et de 45 000 euros d'amende[5] à savoir, par exemple, fausser le fonctionnement d’une messagerie électronique.
-          Le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de trois ans d'emprisonnement et de 45 000 euros d'amende[6] à savoir, par exemple, modifier les données d’une offre commerciale publiée sur Internet.
-          La participation à un groupement formé ou à une entente établie en vue de la préparation, caractérisée par un ou plusieurs faits matériels, d'une ou de plusieurs des infractions prévues par les articles 323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée[7] à savoir, par exemple, posséder un logiciel malveillant.

L’intrusion frauduleuse dans un système d’informations est punie car cette intrusion porte préjudice au contenu informationnel du système.
En effet, certaines informations sont précieuses car ce sont des données à caractère personnel, des informations relevant du secret de la défense nationale, des informations stratégiques d’un point de vue économique, etc. Il est donc important que la protection de ces informations intègre les mesures de sécurité relatives aux systèmes traitant, stockant et diffusant ces informations.
Prenons, par exemple, des données de santé à caractère personnel hébergées par un organisme distinct du professionnel ou de l’établissement de santé qui soigne le malade, c’est à dire chez un hébergeur de données. La loi relative aux droits des malades et à la qualité du système de santé[8] a instauré une procédure d’agrément des hébergeurs qui vise à garantir la sécurité de ces données. Selon l’article L.1111-8 du code de la santé publique, ils doivent respecter des règles de sécurité et de confidentialité très précises sous les conditions et sous les peines définies par l’article 226-13 du code pénal[9]

L’interpénétration de la protection du réseau avec la protection des informations particulières qui y circulent élargit considérablement le champ d’application du droit de la SSI. Ce large périmètre est d’autant plus diffus que de nombreux dispositifs particuliers fleurissent pour la protection de catégories particulières d’informations (dispositifs CNIL, HADOPI, opérateurs d’importance vitale (OIV), etc.).

Afin de rationaliser et de capitaliser le droit de la SSI, une réflexion sur la possibilité d’établir un code du droit de la SSI semble devoir s’imposer. Ces travaux permettraient de mettre à plat les différents aspects du droit de la SSI et de trouver un dénominateur commun formant le socle intangible du droit de la SSI. Un droit de la SSI qui se déclinerait ensuite en fonction des spécificités identifiées.


[1] La notion de STAD n’est pas définie dans la loi mais la jurisprudence l’assimile à un système d’information.
[2] Loi n°88-19 du 5 janvier 1988 sur la fraude informatique
[3] Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.
[4] Article 323-1 du code pénal. Lorsqu'il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de deux ans d'emprisonnement et de 30 000 euros d'amende.
[5] Article 323-2 du code pénal
[6] Article 323-3 du code pénal
[7] Article 323-4 du code pénal
[8] Loi n°2002-303 du 4mars 2002 relative aux droits des malades et à la qualité du système de santé.
[9] Article 226-13 : « La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15000 euros d'amende ».