Le cloud computing : un nuage d'enjeux juridiques

Magazine
Marque
MISC
Numéro
59
Mois de parution
janvier 2012
Domaines


Résumé
Du fait de l'apparition de l'infogérance, de l'externalisation dans les années 1980, puis de l'accessibilité de l'informatique dans les années 1990, et durant la dernière décennie, de la généralisation de l'Internet ; nous assistons aujourd’hui à l’explosion du cloud computing. Ce concept fait référence à l’utilisation des capacités de mémoire et de calcul des ordinateurs et des serveurs répartis dans le monde entier et liés par un réseau. L’accès aux données et aux applications peut ainsi se faire à partir de n’importe quel périphérique connecté. En d’autres termes, le cloud computing permet de s’affranchir des contraintes traditionnelles et d’avoir une approche modulaire selon le besoin. Dans ce contexte international mutualisé, ces services nécessitent donc la rédaction de contrats afin d'appréhender les responsabilités de chacun des intervenants ainsi que la prise en compte des formalités imposées par la CNIL.

Body

Le cloud computing ou traduction littérale, l'informatique dans les nuages [1], est une nouvelle forme dématérialisée de fourniture de services et de ressources informatiques. L'accès aux données et aux applications est réalisé entre l'utilisateur et la multiplicité de serveurs distants, ce qui permet à celui-ci de générer des fichiers, de communiquer en ligne avec d'autres utilisateurs. Toutefois, la mutualisation et la délocalisation des serveurs multiplient les risques juridiques. Le cloud computing peut donc se définir comme une accessibilité à des « services » qui permettent d'accéder à des applications, une puissance de calcul, des moyens de stockage, etc.

De manière générale, les solutions cloud computing reposent sur des technologies de virtualisation et d’automatisation. Ainsi, le cloud computing peut être représenté en trois composantes principales dont il est indifféremment l’une, les deux ou encore les trois combinées :

- SaaS (Sofware as a Service) : il s'agit de la mise à disposition d'un logiciel, non pas sous la forme d'un produit que le client installe en interne sur ses serveurs, mais en tant qu'application accessible à distance comme un service, par le biais d'Internet et du Web. Les clients payent pour utiliser ces applications. L'utilisation reste transparente pour les utilisateurs qui ne se soucient ni de la plate-forme, ni du matériel qui sont mutualisés avec d'autres entreprises. Les principales applications actuelles de ce modèle sont la relation client (CRM), la vidéoconférence, la gestion des Ressources Humaines, etc.

- PaaS (Plateform as a Service) :il s'agit de la mise à disposition pour une entreprise d'environnements techniques pour développer des applications qui fonctionneront à distance comme pour le Saas. Toutefois, cet environnement inclura des outils de personnalisation et une intégration à d'autres programmes hébergés. L'objectif est ainsi de proposer un environnement modulaire capable de combiner plusieurs fonctions et processus métiers, voire plusieurs technologies en provenance de divers éditeurs.

- IaaS (Infrastructure as a Service) : il s'agit de la mise à disposition, à la demande, de ressources d'infrastructures dont la plus grande partie est localisée à distance dans des data centers. Les serveurs, postes de travail et imprimantes peuvent être facturés en fonction de leur utilisation.

En outre, il peut également coexister différents modèles de cloud :

- Cloud privé : il s’agit d’un cloud entièrement dédié et accessible via des réseaux sécurisés, hébergés chez un tiers. Ce cloud peut être interne à l’entreprise ou externalisé chez un prestataire.

- Cloud public : il est externe à l’organisation accessible via Internet, géré par un prestataire externe, propriétaire des infrastructures avec des ressources partagées entre plusieurs sociétés.

Pour résumer, trois caractéristiques clés du cloud le différencient des solutions informatiques traditionnelles, à savoir :

- des services à la place de produits technologiques avec mise à jour en continu et automatique ;

- un self-service et un paiement à l’usage (en fonction de ce que l’on consomme), ce qui induit des économies budgétaires conséquentes ;

- une mutualisation et une allocation dynamique de capacité (indépendant de toutes contingences matérielles, logicielles).

Le cloud computing constitue donc globalement une nouvelle forme d'informatique à la demande, à géométrie variable, que l'on pourrait placer d'un point de vue juridique à la croisée des services d'externalisation et des services d'ASP. Les utilisateurs des solutions de cloud computing restent propriétaires des données qui y sont hébergées, mais non des applications ou de l’architecture qui permettent leur utilisation ou leur hébergement.

Ainsi, le cloud computing pose de nombreux enjeux, notamment ceux du contrôle, de la sécurité et de la traçabilité des données. Dès lors, il s'agit de bien mettre en place des procédures d'habilitation et de contrôle d'accès aux données. En effet, on peut voir de nombreux exemples dans l'actualité faisant état de véritables défaillances des processus de sécurité, des fuites de données, comme pour Sony ou Amazon Web Services. Les entreprises doivent donc définir clairement leur rôle et responsabilité, tout en recherchant des solutions leur permettant de sécuriser l'externalisation de leurs données. Comme on le verra, ce conflit entre les responsabilités et le partage des tâches en ce qui concerne notamment la sécurité ne se résume pas à une simple relecture des contrats d'externalisation.

Le contrat cloud doit aborder la responsabilité de chaque partie et définir le périmètre de la prestation. Faute de contrat formalisant les partages de responsabilité, les procédures en cas de litige peuvent être longues et laborieuses dans un domaine où la jurisprudence est rare. En outre, le marché du cloud computing représente un enjeu économique majeur du secteur informatique : 6 milliards d’euros au niveau européen avec une croissance annuelle de l’ordre de 20 % [2].

Dans ce contexte, il convient de mieux cerner les risques juridiques, pour ensuite appréhender les principales clauses contractuelles dans le cadre d'un projet cloud.

1. Les risques juridiques

Comme nous l'avons exposé, l’externalisation est un choix stratégique de l’entreprise. Ce choix doit prendre en compte les règles juridiques applicables, notamment celles concernant les données à caractère personnel [3].

En effet, cette problématique des données personnelles est d'autant plus importante que les nouvelles dispositions issues de l'ordonnance du 24 août 2011 transposant le paquet télécoms impliquent une protection renforcée de la vie privée et, plus précisément, de ces données personnelles. Désormais, l'article 38 de l'ordonnance prévoit une procédure spécifique de notification à la CNIL et à l'utilisateur en cas de « faille de sécurité » [4].

De prime abord, il est indispensable d'identifier les parties et de les qualifier en termes de responsabilité, à savoir le prestataire de cloud computing doit-il être considéré comme un sous-traitant ou comme le responsable du traitement [5] ? En effet, cette qualification complexe va entraîner un engagement de responsabilité différent pour le prestataire ou pour l'utilisateur. Si des services supplémentaires sont fournis par l'hébergeur, lui donnant ainsi la faculté de contrôler la manière dont les données personnelles sont traitées, cela pourrait avoir pour conséquence de modifier son statut de sous-traitant au profit de celui de responsable de traitement.

La responsabilité première en matière de données personnelles (sécurité, confidentialité, etc.) pèse sur le responsable du traitement et non sur le sous-traitant. Le sous-traitant, en application de l'article 35 de la loi n°78-17 du 6 janvier 1978 [6], n'est tenu que par des obligations contractuelles de confidentialité et de sécurité visant à protéger les données personnelles contre la destruction accidentelle ou illicite, l'altération, la diffusion ou l'accès non autorisés.

Le droit français [7], à l'instar de la majorité des lois nationales relatives à la protection des données personnelles au sens de la directive n°95/46/CE du 24 octobre 1995 [8], considère en principe ce prestataire tiers (hébergeur du système de cloud computing) comme un sous-traitant des données agissant conformément aux instructions d'un responsable des données.

Cependant, compte tenu des difficultés de qualification, plusieurs critères ont été dégagés par le groupe de travail de la CNIL [9] afin de faciliter l'appréciation de la fonction de prestataire. Le faisceau d'indices élaboré par la CNIL repose sur les critères suivants :

- le niveau des instructions préalables données par le responsable du traitement. Il s'agit d'apprécier si le niveau d'instructions donné par le client au prestataire dans le cadre du contrat d'externalisation est général ou précis.

- le niveau du contrôle de l'exécution des prestations. Il s'agit de vérifier le degré de supervision du client en tant que responsable de traitement sur la prestation de son prestataire.

- la transparence. Il s'agit d'apprécier le degré de transparence du responsable de traitement au niveau de la prestation de service.

- l'expertise. Il s'agit d'apprécier le degré d'expertise du prestataire par rapport au client.

Ces critères doivent être appréciés dans leur ensemble : seule la réalisation de plusieurs de ces critères permettra de qualifier le prestataire.

Il convient d'aborder plus particulièrement la question du transfert des données personnelles dans le cloud. En effet, l'article 5 [10] de la loi de 1978 modifiée soumet à la loi française les traitements de données à caractère personnel dont le responsable du traitement est établi sur le territoire français ou dont les moyens de traitement sont situés sur le territoire français.

Dans le cadre de l'externalisation, le responsable du traitement devra donc s'assurer que le transfert de ses données dans ou via un pays s'effectue dans un pays ayant un niveau de protection adéquat. Ce transfert doit s’opérer dans le cadre des grands principes prévus par la loi Informatique et Libertés :

- Les transferts en dehors de l’Union européenne sont interdits [11].

- Les exceptions à cette interdiction sont prévues par l’article 69 de la loi : ainsi, les transferts en dehors de l’Union européenne sont autorisés si le pays ou l’entreprise destinataire assure un niveau de protection adéquat aux données transférées. Cette protection adéquate peut être apportée de plusieurs manières :

- légalement, si le pays destinataire des données personnelles a une législation reconnue par la commission européenne comme offrant une protection adéquate ;

- de manière contractuelle, par la signature de Clauses Contractuelles Types, adoptées par la Commission européenne, entre l’entité exportatrice et l’entité importatrice de données personnelles, ou par l’adoption de Règles Internes d’entreprises (Binding Corporates Rules), qui constituent un code de conduite en matière de transferts de données personnelles depuis l’Union européenne vers des pays tiers ;

- lorsque l’entité importatrice est basée aux États-Unis et qu’elle adhère aux principes du Safe Harbor [12].

L’article 69 [13]permet également d’opérer des transferts dans des situations exceptionnelles. Ces autres dérogations s’opèrent néanmoins avec un contrôle strict de la CNIL qui délivre, le cas échéant, une autorisation. À titre d’illustration, l’exception en cas de consentement exprès de la personne est prévue dans le cadre de l’article 69. Toutefois, la CNIL, se fondant sur la définition posée par la directive, rappelle que ce consentement exprès doit être une manifestation positive de volonté (ce qui exclut, par exemple, de recueillir le consentement des personnes sur un site avec une case pré-cochée). Ce consentement doit également être donné et pouvoir être retiré librement, ce qui a pour conséquence d’invalider, en principe, le consentement de salariés donné à l’employeur, compte tenu de la dépendance hiérarchique dans laquelle ils se trouvent.

Le consentement de la personne doit enfin être spécifique. Ainsi seront considérés comme non valables les consentements donnés par anticipation à des transferts futurs non définis. Par ailleurs, l’intégralité des informations disponibles concernant le niveau de protection assuré par le pays destinataire devra être communiquée aux personnes concernées.

Étant précisé que ces procédures de transfert doivent préalablement recueillir l'autorisation de la CNIL et être soumises pour information aux institutions représentatives du personnel.

Toutefois, indépendamment de respecter les procédures, des réglementations sectorielles peuvent permettre à des autorités nationales locales d'accéder aux données. Ainsi, aux États-Unis, le Patriot Act permet au gouvernement américain d'accéder à toute donnée stockée sur son territoire, en cas d'urgence ou en cas de nécessité pour la sécurité nationale.

En outre, citons l'article 97 du Code de Procédure Pénale [14] qui indique que l'hébergeur doit être en mesure d'extraire de son cloud les éléments recherchés ou l'ensemble des informations concernant un client particulier.

Nonobstant le respect de normes techniques telles que l'ISO 27001 à l'ISO 27005, fixant les méthodes et pratiques en matière de système de management et de sécurité d'information, la rédaction du contrat est la clé pour une bonne gestion d'un projet de cloud afin de créer un climat de confiance entre les différents acteurs y contribuant.

2. Une solution : la contractualisation

Le contrat de cloud devra avant tout fixer les frontières de la responsabilité de chacun. Cette répartition sera définie notamment au regard des documents réalisés en amont du projet comme le cahier des charges ou l'expression des besoins tant fonctionnels que techniques du client (responsable du traitement).

En outre, des contrats dits « miroirs » devront être mis en place avec les sous-traitants. Au sein de ses contrats, les contraintes et les engagements assumés par le prestataire devront être repris dans leur intégralité. Les sous-traitants devront également assister aux réunions des différents comités pilotant le projet cloud.

De prime abord, l'engagement de disponibilité et de performance du prestataire est un enjeu conséquent en termes de responsabilité. Plus précisément, cet engagement permet de mettre en place des niveaux de service (délais d'intervention, garantie de service, etc.) avec des éventuelles pénalités à la charge du prestataire en cas de manquement à son obligation. Ces niveaux de service sont également considérés comme des outils permettant, au fil de la relation contractuelle, d'améliorer le service fourni par le prestataire.

De même, l'entreprise (responsable du traitement) devra mettre en place des outils nécessaires au bon suivi du projet afin de ne pas perdre le contrôle des données dont elle demeure responsable. Dans ce cadre, il est nécessaire d'insister sur le fait que le prestataire (hébergeur) est soumis à une obligation de conseil envers son client et doit l'informer de tout manquement par rapport au projet initialement défini. Cette obligation de transparence doit se retrouver quant à l'information sur la localisation des données.

La sécurité et la confidentialité des données, comme on a pu le constater précédemment, emportent des enjeux considérables. Il s'avère donc nécessaire de les aborder dans le contrat, notamment pour ce qui est de la confidentialité des données personnelles et du secret médical ou bancaire, puisque dans ces hypothèses particulières, il s'agit d'obligations imposées par la loi. Le responsable du traitement devra donc s'assurer via les clauses contractuelles – et il en va de sa responsabilité – que le prestataire de cloud respectera son obligation de confidentialité et de sécurité. Il sera également nécessaire de délimiter strictement les cas de force majeure (à titre d'illustration, un prestataire peut souhaiter inclure les pannes de réseaux, d'électricité, etc.). De même, une clause prévoyant l'obligation pour le prestataire de cloud de contracter une assurance pourra s'avérer intéressante en cas de pertes d'exploitation pour le responsable du traitement.

La propriété intellectuelle occupe également une place importante. En effet, la titularité des droits de propriété devra être clairement précisée dans le contrat. De même, il sera nécessaire d'intégrer une clause de cession des droits de propriété sur les développements spécifiques réalisés par le prestataire pour les besoins de l'entreprise décidant de recourir au cloud. Cette cession pourra également concerner les modalités effectives d'accès par le responsable du traitement aux codes sources des applications mises en place par le prestataire à l'occasion d'éventuelles défaillances de ce dernier.

Un autre aspect fondamental de ce type de contrat est la réversibilité. Cette clause de réversibilité doit organiser la possibilité de revenir à une situation antérieure si celle-ci est toujours viable. La conception de la réversibilité doit être envisagée largement, notamment en prévoyant, le cas échéant, le transfert du système chez un autre prestataire. De manière usuelle, la clause de réversibilité est fonction de la durée du contrat ou de ses modes de résiliation. À titre d'illustration, cette clause peut être définie sur le plan technique dans le cadre d'une annexe qui précisera, indépendamment du coût, le format des données et applications qui seront restituées.

Enfin, le droit choisi et le tribunal compétent doivent être expressément mentionnés au contrat. À défaut, en cas de litige, la juridiction compétente et le droit applicable seront déterminés par application des règles de droit international privé. Ces règles sont d'une grande complexité et leur application peut difficilement être anticipée, ce qui génère une insécurité juridique.

Le droit applicable au contrat revêt en effet une grande importance, souvent non prise en compte par les opérateurs chargés de négocier le fond du contrat. Même si le bloc européen tend à s'harmoniser, pour autant, chaque système de droit conserve ses spécificités. En effet, les lois impératives, c'est-à-dire celles qui se superposent aux dispositions du contrat, sont différentes d'un pays à l'autre. Aussi, une disposition valable par exemple en droit anglo-saxon comme une exclusion de responsabilité se révélera non conforme au droit français. En outre, la jurisprudence varie d'un pays à l'autre et sa prise en compte permet de mieux appréhender l'interprétation du contrat.

Quant à la juridiction compétente, dès lors que les parties n'optent pas pour l'arbitrage, il est indispensable de la mettre en cohérence avec le droit choisi. Le choix du droit et de la juridiction résulte d'une véritable réflexion stratégique, qui commande de prendre en compte la taille respective des contractants, l'existence ou non d'implantations de l'un ou de l'autre dans le pays où la décision sera rendue et la facilité d'obtention de l'exequatur de la décision dans le pays de l'autre partie.

En conclusion, la négociation contractuelle est impérative et requiert l'intervention du juriste dès la phase de conception du projet cloud, et ce, afin de circonscrire le périmètre de responsabilité. Néanmoins, compte tenu de la complexité de ces projets, de l'évolution des menaces, de la dissémination des données et des informations, il convient d'anticiper sur ces nouveaux risques. En effet, les menaces sur les infrastructures sont déjà bien connues et l'entreprise est actuellement confrontée à la protection de ses informations qui constituent une valeur patrimoniale et donc la convoitise de ses concurrents. La nouvelle menace vise également l'intégrité et l'authentification de l'identité [15]. Dans ce contexte, outre la négociation du contrat, l'entreprise doit sensibiliser son personnel à ces nouveaux risques. Le cloud computing devenant une solution incontournable au sein de l'entreprise, la protection des données, de quelque nature qu'elles soient, passe obligatoirement par une responsabilisation et une formation des utilisateurs. En effet, dans ce domaine, la prévention s’avérera beaucoup plus constructive pour l'entreprise que des éventuels contentieux.

Notes

[1] Selon la traduction qui a été donnée par la Commission Nationale de terminologie et de néologie, JO du 6 juin 2010

[2] http:www.cnil.fr, Le cloud computing : la Cnil engage le débat – 17 octobre 2011

[3] La loi n°78-17 du 6 janvier 1978 dispose en son article 2 que « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ».

[4] Il est inséré, après l'article 34 de la loi du 6 janvier 1978, un article 34 bis ainsi rédigé :

«  Art. 34 bis.- I. ― Le présent article s'applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d'identification. Pour l'application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données à caractère personnel faisant l'objet d'un traitement dans le cadre de la fourniture au public de services de communications électroniques.

II. ― En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé. La notification d'une violation des données à caractère personnel à l'intéressé n'est toutefois pas nécessaire si la Commission nationale de l'informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation. À défaut, la Commission nationale de l'informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d'informer également les intéressés.

III. ― Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission. »

[5] Le responsable du traitement se caractérise par son autonomie dans la mise en place et la gestion du traitement, c'est la personne qui détermine les finalités et les moyens du traitement et ce conformément à l'article 3 de la loi du 6 janvier 1978.

[6] Article 35 de la loi du 6 janvier 1978 : « (...) Le contrat liant le sous-traitant au responsable du traitement comporte l'indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement. »

[7] La loi dite Informatique et Libertés du 6 janvier 1978, modifiée par la loi n°2004-801 du 6 août 2004

[8] JOCE n°L281

[9] www.cnil.fr en date du 11.10.2010 et intitulé « Les questions posées pour la protection des données personnelles par l'externalisation hors de l'Union européenne des traitements informatiques »

[10] Article 5 modifié par la loi n°2004-801 du 6 août 2004 : « I - Sont soumis à la présente loi les traitements de données à caractère personnel : 1° Dont le responsable est établi sur le territoire français. Le responsable d'un traitement qui exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique, y est considéré comme établi ; 2° Dont le responsable, sans être établi sur le territoire français ou sur celui d'un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre État membre de la Communauté européenne. II - Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l'informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l'accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui. »

[11] Article 68 de la loi Informatiques et Libertés : « Le responsable d'un traitement ne peut transférer des données à caractère personnel vers un État n'appartenant pas à la Communauté européenne que si cet État assure un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.

Le caractère suffisant du niveau de protection assuré par un État s'apprécie en fonction notamment des dispositions en vigueur dans cet État, des mesures de sécurité qui y sont appliquées, des caractéristiques propres du traitement, telles que ses fins et sa durée, ainsi que de la nature, de l'origine et de la destination des données traitées. »

[12] Il s'agit d'un ensemble de principes de protection des données personnelles, publié par le Département du Commerce Américain, auxquels des entreprises établies aux États-Unis adhèrent afin de pouvoir recevoir des données en provenance de l'Union européenne. Le Safe Harbor permet donc d'assurer une protection adéquate pour les transferts de données en provenance de l'Union européenne vers des entreprises établies aux États-Unis.

[13] L'article 69 dispose que « Toutefois, le responsable d'un traitement peut transférer des données à caractère personnel vers un État ne répondant pas aux conditions prévues à l'article 68 si la personne à laquelle se rapportent les données a consenti expressément à leur transfert ou si le transfert est nécessaire à l'une des conditions suivantes : (…) 5° À l'exécution d'un contrat entre le responsable du traitement et l'intéressé, ou de mesures précontractuelles prises à la demande de celui-ci ; 6° À la conclusion ou à l'exécution d'un contrat conclu ou à conclure, dans l'intérêt de la personne concernée, entre le responsable du traitement et un tiers. (...) »

[14] Article 97 du Code de procédure pénale : « Lorsqu'il y a lieu, en cours d'information, de rechercher des documents ou des données informatiques et sous réserve des nécessités de l'information et du respect, le cas échéant, de l'obligation stipulée par l'alinéa 3 de l'article précédent, le juge d'instruction ou l'officier de police judiciaire par lui commis a seul le droit d'en prendre connaissance avant de procéder à la saisie. (…) Il est procédé à la saisie des données informatiques nécessaires à la manifestation de la vérité en plaçant sous main de justice soit le support physique de ces données, soit une copie réalisée en présence des personnes qui assistent à la perquisition. »

[15] Le délit d'usurpation d'identité est défini à l'article 226-4-1 du Code pénal : « Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende. Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne. »




Articles qui pourraient vous intéresser...

Un œil technique sur les sanctions de la CNIL

Magazine
Marque
MISC
Numéro
108
Mois de parution
mars 2020
Domaines
Résumé

Près de trois quarts des sanctions prononcées par la Commission Nationale de l’Informatique et des Libertés (CNIL) ont parmi leurs causes des vulnérabilités techniques de sécurité. À partir de ce constat, et au prisme de notre expérience à la fois en cybersécurité technique et en protection des données à caractère personnel, nous avons analysé les sanctions de la CNIL publiées sur le site https://www.legifrance.gouv.fr/. Nous avons notamment établi une correspondance avec les catégories de vulnérabilités techniques identifiées dans la nomenclature du top 10 de l'OWASP 2017 (Open Web Application Security Project). Nous avons également étudié les fuites de données majeures survenues en Europe et dans le monde. Il en ressort que les vulnérabilités les plus communes sont liées à l’authentification, au contrôle d’accès et à la protection des données au repos et en transit.

ISO 27701 : le Système de Management des Informations Privées (SMIP)

Magazine
Marque
MISC
Numéro
107
Mois de parution
janvier 2020
Domaines
Résumé

L’article 32 du RGPD formalise clairement non seulement les exigences organisationnelles et techniques de sécurité à apporter aux traitements de données à caractère personnel afin de limiter les risques sur la vie privée pour les personnes concernées, mais aussi les exigences d’évaluation et d’amélioration continue permettant de tester et de contrôler régulièrement la conformité et l’efficacité des mesures juridiques et de sécurité. Nous nous intéresserons à synthétiser la nouvelle norme ISO 27701 (août) 2019) formalisant les exigences d’un Système de Management des Informations Privées (SMIP) dans un but d’amélioration continue des mesures organisationnelles et techniques pour assurer la sécurité des traitements de données à caractère personnel. Nous montrerons comment l’implémentation du SMIP permettra aux organismes d’assurer leurs devoirs de conformité au RGPD, d’amélioration continue voire de certification.

L’intégration du « Privacy by Design » et de la SSI dans la gestion de projets en mode V ou Agile

Magazine
Marque
MISC
Numéro
106
Mois de parution
novembre 2019
Domaines
Résumé

L’analyse de l’actualité ne cesse de nous alerter sur la très faible prise en compte de la sécurité native dans un grand nombre de projets et plus particulièrement sur la sous-estimation de l’intégration des exigences de protection de la vie privée.Les articles 25 du RGPD « Protection des données dès la conception et protection des données par défaut » et 32 « Sécurité du traitement », formalisent l’obligation pour le responsable du traitement de prendre en compte les exigences juridiques et techniques pendant toutes les phases des projets de la conception jusqu’à la fin de vie du système cible.Nous nous attacherons à identifier les principaux acteurs concernés et leurs modes de concertation dans les gestions de projets en V ou Agile.Nous chercherons à souligner les points d’attention et d’amélioration dans les deux méthodes.

Écologie en entreprise : comment s’en sortir

Magazine
Marque
Linux Pratique
Numéro
115
Mois de parution
septembre 2019
Domaines
Résumé
Il ne se passe pas un jour sans que les questions de l’écologie, du recyclage et du changement climatique n’apparaissent dans les médias ou dans le monde politique. Pourtant, s’il existe beaucoup de dispositifs pour réutiliser le plastique, recycler le papier ou végétaliser les villes ultra-bétonnées, il reste au moins un domaine inexploré : l’informatique.  

La gestion des incidents de sécurité : un cadre de gouvernance globale

Magazine
Marque
MISC
Numéro
104
Mois de parution
juillet 2019
Domaines
Résumé

Une chaîne d’alerte doit s’articuler de façon à ce que le traitement d'un incident de sécurité puisse être effectué efficacement et être signalé simplement et rapidement aux autorités compétentes, y compris dans son aspect de traçabilité. Pour cela, il est possible de définir un processus de gestion des incidents à partir de la norme ISO 27035 (« Information Security Incident Management »). Dans le cadre d'un processus de gestion des incidents, la remontée d’une alerte traitée doit suivre une procédure la plus claire et la plus simple possible, connue par le plus grand nombre d’acteurs en lien direct ou indirect avec l’organisation (IT, chaîne sécurité du système d'information, responsables métiers, opérateurs, partenaires, etc.).