CAPRIOLI & Associés, Cabinet d'Avocats à Nice et Paris

Le droit au service de la confiance digitale

Mardi 20 Février 2018

RGPD/GDPR : Le chemin vers la conformité

RGPD/GDPR : Le chemin vers la conformité
Le Règlement Général sur la Protection des Données n° 2016/679 du 27 avril 2016 entrera en application le 25 mai 2018. En attendant, le projet de loi « Informatique et libertés 3 » (renvoyant au RGPD) va bientôt être adopté, mais ce texte devrait être modifié par ordonnance afin d’apporter la clarté et la lisibilité à ce texte fondamental pour la protection de la vie privée en France. Tous les responsables de traitements devront y être conformes, de la PME à la multinationale, de la petite commune aux grandes administrations. La CNIL propose une démarche en 6 étapes, d’autres en 7, 8 ou 10, peu importe le flacon pourvu que l’on parvienne à la conformité !On observera en liminaire que la conformité au règlement doit être entendue au regard du « juridico-tech système » tant la réalité documentaire est plurielle. En effet, nonobstant le RGPD, il conviendra de prendre en compte la future loi « Informatique et Libertés - 3 » (en projet), le futur règlement e-privacy, la jurisprudence judiciaire et administrative, sans oublier celle de la Cour de justice de l’Union européenne, mais aussi les délibérations des autorités de contrôle du pays, (v. missions : art. 57 du RGPD,) les décisions du Comité européen de la protection des données (v. missions : art. 70 du RGPD), et enfin les normes telles que l’ISO 27001 étendue à la vie privé (en préparation). C’est dire si la documentation est riche et complexe, a fortiori si l’on est confronté à des implantations internationales. Il n’empêche que la démarche vers la conformité doit être rigoureuse pour arriver à bon port. Nous proposerons de baliser le chemin en cinq points.1°) Désignation d’un pilote du projet de mise en conformitéLa première des choses à faire : désigner un chef de projet de la mise en conformité au RGPD/GDPR. Cette personne aura pour mission de piloter le projet : entendons-nous, une gestion de la mise en conformité en mode projet. Cette personne peut être le Correspondant Informatique et libertés (CIL), s’il a été désigné ou s’il en exerce les fonctions. Elle devra faire appel à des compétences internes diverses ce qui le rapprochera de la sécurité des systèmes d’information, du juridique et des métiers. Cette personne aura également pour mission d’étudier la désignation du Délégué à la Protection des Données (DPD/DPO) et d’établir sa fiche de poste.2°) Cartographie des traitements de données personnellesIl s’agira d’identifier et d’analyser l’ensemble des traitements de données à caractère personnel mis en œuvre par l’organisation dans le cadre de ses activités en fonction de la nature des traitements (finalité, fondement juridique,…) et des catégories de données collectées et traitées.Le but de cette première étape est de déterminer le contexte dans lequel s’inscrivent les traitements : contexte interne (métiers concernés, niveau de maturité des intervenants sur les traitements, mesures de protections mises en œuvre, …), contexte externe (secteur d’activités clients, rôle des partenaires,…) ainsi que les opérations réalisées dans le cadre des traitements tels que notamment les interconnexions, sous-traitance et transferts internationaux de données.Cette étape nécessite la transmission de tous les documents utiles relatifs aux traitements  de données (ex : description, processus). 3°) Cartographie des responsabilités respectives des parties prenantes  La détermination du rôle des intervenants sur les traitements constituera le point de départ de cette étape. Pour ce faire, il conviendra de s’appuyer sur les opérations réalisées telles que par exemple : la fourniture de données (« Data provider ») ou l’hébergement du Système d’Information.Dans ce contexte, il conviendra d’analyser la qualité des parties (Responsable de traitement/clients/partenaires/sous-traitants) afin de situer le statut respectif des intervenants (responsable de traitement / sous-traitant) et les responsabilités qui seront imparties à chacun d’eux. D’importantes conséquences juridiques en découleront ne fut-ce qu’en terme de sanctions de l’autorité de contrôle, pénales voire civiles.4°) Evaluation de la conformité légaleLes mesures et les moyens adoptés pour la mise en œuvre de la gestion des traitements de données personnelles devront être analysées. Il sera tout particulièrement tenu compte des facteurs suivants : du respect des principes de protection (sécurité, confidentialité, respect des droits …) ; de l’organisation de la gouvernance de traitement (circulation de l’information sur le traitement de données, informations des personnes concernées, points de contact,…) ;et des Labels / certifications (normes ISO, labellisation CNIL).5°) Recommandations et plan d’action stratégique pour la mise en conformité légaleAu vu du cadre légal et réglementaire applicable au responsable de traitement pour la protection des données à caractère personnel (France, Union européenne et international), cette dernière étape consistera à présenter les actions stratégiques à mettre en œuvre ainsi que la définition d’un ordre de priorité. A toutes fins utiles, en fonction des résultats des analyses issues des points 1, 2 et surtout 3, il sera envisagé de prioriser les actions suivantes : Sensibilisation à la réglementation applicable des métiers concernés (formation, guide, jeux vidéos, …);Implémentation des nouveaux outils de gouvernance : désignation d’un Délégué à la protection des données avec le bon niveau hiérarchique avec le cas échéant les points de contacts associés.Intégration des nouvelles obligations :Accountability (documentation de la conformité)Privacy by design / Privacy by defaultAnalyse d’impact sur la vie privée pour les traitements à risques (ex...

Baromètre du CESIN 3ème édition (2018)

Baromètre du CESIN 3ème édition (2018)
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) est un lieu d’échanges dédié aux experts de la sécurité et du numérique au sein de grandes entreprises. Alors que les cyber-attaques continuent d’augmenter (ransomware et autres malwares, déni de service, usurpation d’identité, piratage de données personnelles, etc.), il est impératif de faire face aux cyber-risques avec des solutions techniques qui gagnent en efficacité mais qui restent perfectibles.Cela est d’autant plus vrai que la transformation digitale multiplie les risques cyber. La gestion des risques cyber se complique par la mise en conformité au RGPD/GDPR. Il s’agit également d’accompagner l’élan impulsé par le RGPD/GDPR pour refonder la gouvernance des données.La première grande enquête auprès de ses membres sur la cybersécurité a été lancée en 2015 par le  CESIN, avec OpinionWay ,a lancé en 2015 afin de connaître:l’état de l’art et la perception de la cyber-sécurité et de ses enjeux au sein des entreprises membres du CESINla réalité concrète de la sécurité informatique des grandes entreprises en apportant de nouvelles données sur l’impact de la transformation digitale des entreprisesQuatre grandes thématiques sont étudiées : Contexte et objectifs de l’étude Méthodologie de l’étudeMessages clés RésultatsEric A. CAPRIOLI est Vice-Président du CESIN.

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket
Les menaces cyber en croissance exponentielle. La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. Les attaques prennent des contours très variés et en constante évolution. La société Symantec dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde a souligné l’augmentation de plus de 36% des logiciels malveillants (ou malwares) par rapport à 2014 (en 10 ans, on serait passé d’environ 22.000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles, comme par exemple Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) ou le fabricant de jouets connectés VTech (soit 6,3 millions de profils d’enfants dont 1,2 million d’enfants français). OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque les deux dernières années. Pour la France, le baromètre de la cyber-sécurité des entreprises de Janvier 2016 du Club des Experts de la Sécurité de l’Information et du Numérique constate que 61% des entreprises  interrogées ont été victimes de demandes de rançons. On a recensé 391.000 attaques de ce type en France ! Tout récemment, le malware Wanacry en mai 2017 a affecté de nombreuses entreprises industrielle dont Renault et des établissements publics comme des hôpitaux dans une centaine de pays dans le monde. Quelques semaines plus tard, ce fût au tour du ransomware Petya de se propager en Europe et aux Etats-Unis, dont en France l’industriel Saint Gobain. Selon les experts en sécurité, ce dernier cacherait en fait un « wiper », c’est-à-dire un malware visant à effacer les données des postes visées, sans qu’il soit possible de les récupérer. C’est dire si les risques et les dommages potentiels liés aux ransomwares sont importants !Qu’est-ce que le Ransomware ? Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives avec le ransomware Locky qu’elle a déjoué sans payer la rançon. A côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés sans utilisation de produits cryptographiques qui par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais de  Team Viewer. Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss ou encore Wanacry et Pethya. Quels risques juridiques ? Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données afin notamment qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 de la loi Informatique et Libertés du 6 janvier 1978) sous peine de sanctions de la CNIL ou de sanctions pénales (art. 226-17 du code pénal : 300.000 euros d’amende et 5 ans de prison). Cependant, avec le nouveau Règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données, applicable à compter du 25 mai 2018, toutes les entreprises petites et grandes, ainsi que les collectivités publiques auront l’obligation de notifier les violations de données à caractère personnel à leur autorité de contrôle (la CNIL pour la France), contrairement à la loi « Informatique et libertés » du 6 janvier 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 Bis. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du RGDP). Il convient de souligner que les sous-traitants, tels que les prestataires de services dans le cloud computing ou de services de confiance auront également l’obligation de notifier sans délai au responsable de traitement (le client) dès qu’ils ont connaissance de la violation. Les fondements juridiques des poursuites judiciaires. Le droit n’est pas sans réponse. En effet, le code pénal dispose d’un arsenal apte à répondre à ces menaces. A ce titre, le dispositif légal consiste à réprimer les atteintes aux systèmes d’information prévues aux articles 323-1 et 323-2 du code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 et 150.000 euros d’amende (sauf si c’est un SI de l’Etat, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d'extraire, de détenir,...