CAPRIOLI & Associés, Cabinet d'Avocats à Nice et Paris

Le droit au service de la confiance digitale

Dimanche 22 Juillet 2018

Data War : l’Europe a-t-elle perdu d’avance ?

Data War : l’Europe a-t-elle perdu d’avance ?
Le Cloud Act : trop c’est trop ?Le 26 mars 2018, Donald Trump signe le Clarifying Overseas Use of Data (désigné par Cloud Act)voté par le Congrès américain, noyé au milieu de la loi sur les dépenses américaines (présentant plus de 2232 pages !). Désormais, les USA disposent d’un cadre légal pour que les agences gouvernementales américaines et certaines autorités fédérales de police aient accès aux données, messages électroniques, documents et communications électroniques, stockés dans des datacenters de sociétés américaines, même si ces derniers sont localisés à l'étranger dans le cadre d’une procédure judiciaire mais sans avoir à recourir à l’US Patriot Act pour des affaires de terrorisme ou d’espionnage international, à l'ECPA pour demander des perquisitions et des saisies de droit commun ou encore à l’accord d’entraide judiciaire conclu en 2003 entre l’Union européenne et les État Unis d’Amérique qui précise que les États membres ne peuvent refuser leur assistance pour des motifs tenant au respect du secret bancaire ou aux règles applicables en matière de protection des données personnelles (art. 9. 2 b). Soulignons tout de même que l’accès aux données s’effectue sans passer devant un juge.Sont ainsi concernés les datacenters situés sur le territoire de l’Union européenne des sociétés comme Microsoft, Google, IBM, AWS, Salesforce, Oracle... qui ont pourtant fait d’énormes efforts financiers pour paraître plus vertueuses et plus soucieuses de la protection des données de leurs clients européens. Certaines d’entre elles comme Microsoft ont défendu leurs positions en faveur du non accès aux données situées en dehors du territoire américain devant les tribunaux et Cour américaines jusqu’à la signature du Cloud act.Le patriotisme numérique américain Bien sûr, des gardes fous existent comme cette faculté offerte aux prestataires de Cloud US de contester la démarche diligentée par l’Administration américaine :« COMITY ANALYSIS OF LEGAL PROCESS SEEKING CONTENTS OF WIRE OR ELECTRONIC COMMUNICA-TION.—Section 2703 of title 18, United States CodeSection 2703 of title 18 :« A provider of electronic communication service to the public or remote computing service, that is being required to disclose pursuant to legal process issued under this section the contents of a wire or electronic communication of a subscriber or customer, may file a motion to modify or quash the legal process where the provider reasonably believes— ‘‘(i) that the customer or subscriber is not a United States person and does not reside in the United States; and (ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government ».La demande d’opposition d’un prestataire fondée sur ces points devra être portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Cependant, on ne sait pas si le recours aura un caractère public ou pas. Pour éviter d’enfreindre les lois étrangères (par ex. le RGPD) les États-Unis pourront conclure des accords bilatéraux avec les Etats concernés et, en contrepartie négocier l’accès aux données sur le territoire américain.Suite à la promulgation de cette loi, la Cour Suprême américaine a abandonné les poursuites dans l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès à des courriers électroniques stockés en Irlande. Microsoft s’est même félicité du vote de cette loi en permettant à l’Administration d’accéder aux données si longtemps défendues : « We welcome the Supreme Court’s ruling ending our case in light of the CLOUD Act being signed into to law. Our goal has always been a new law and international agreements with strong privacy protections that govern how law enforcement gathers digital evidence across borders. As the governments of the UK and Australia have recognized, the CLOUD Act encourages these types of agreements, and we urge the US government to move quickly to negotiate them ».De manière plus large, que se passerait-il si les intérêts nationaux (lutte contre le terrorisme, perte de marché) étaient mis à mal par l’opposition d’un prestataire américain ? Le patriotisme numérique ne jouerait-il pas à plein ?Besoin d’une position européenne commune  et cohérenteBien sûr, les questions de protection des données à caractère personnel posées dans le cadre du RGPD militent en faveur d’une souveraineté numérique européenne, les membres du G29 doutant fortement de l’efficacité du Privacy Shield. Il n’est pas douteux que cette réglementation ait fait bouger les Etats Unis en faveur du vote du Cloud Act. D’ailleurs, les Etats membres de l’Union européenne n’ont rien trouvé à redire au Cloud Act. Bien au contraire. Ils réfléchissent à comment disposer des données concernant leurs ressortissants nationaux stockées sur le sol américain ou par des providers US. A ce titre, la proposition de Règlement relative au cadre applicable en matière de liberté des flux de données non personnelles dans l’Union Européenne tend à bannir toute « exigence de localisation des données » entendue comme « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives des États membres, qui impose la localisation du stockage ou du traitement des données sur le territoire d’un État membre donné ou qui entrave le stockage ou le traitement des données dans un autre État membre » sans préciser les règles qu’ils entendent appliquer à des prestataires étrangers situés sur le sol européen.Là où les Etats Unis se sont dotés d’un moyen d’accéder aux données situées hors...

Validation du système d’identification par reconnaissance faciale de Boursorama par la CNIL

Validation du système d’identification par reconnaissance faciale de Boursorama par la CNIL
L’utilisation de procédés innovants ne cesse de croître. Objectif affiché : faciliter les démarches quotidiennes, fiabiliser les procédures de souscription ou d’inscription diverses et variées, gagner du temps ...  et dans cette course aux innovations impactant le marché, le secteur bancaire n’est pas en reste …UNE OUVERTURE DE COMPTE SOUS 24 HEURESBoursorama a souhaité lancer un parcours « flash » pour souscrire un compte à distance via une application téléchargeable dédiée et à usage unique reposant sur un système d’identification par reconnaissance faciale des prospects.Première étape de l’ouverture de compte : la communication des renseignements et justificatifs nécessaires (titre d’identité, coordonnées, résidence fiscale). Deuxième étape : l’identification du prospect qui s’appuie sur une comparaison opérée par l’application entre la photographie officielle de la pièce d’identité qu’il a fourni et l’autoportrait qu’il réalise sur son terminal au moment de l’entrée en relation. Dans ce contexte, l’ouverture d’un compte bancaire pourra être réalisée dans un délai de 24 h, contrairement à la procédure classique (10 à 20 jours).SECOND FEU VERT DE LA CNILCe n’est pas la première fois qu’une banque recourt à la biométrie comme nouveau procédé d’identification de ses prospects. De fait, la Société Générale, société mère de Boursorama, avait déjà obtenu de la CNIL l’autorisation de mettre en œuvre un système d’identification par reconnaissance faciale à partir d’une application mobile [délibération du 14 septembre 2017]. Ce dispositif reposait sur la vérification de l’authenticité des documents transmis par le prospect (score de vraisemblance), la comparaison entre le « selfie dynamique » réalisé par le prospect sur son portable et la photographie figurant sur la pièce d’identité communiquée (premier score de probabilité de correspondance), et, dans un troisième temps, une nouvelle comparaison entre la photographie figurant sur la pièce d’identité communiquée et les photographies issues de l’entretien vidéo du prospect avec le conseiller de la banque (second score de probabilité de correspondance). L’ouverture de compte était in fine validée par le conseiller bancaire en fonction des trois scores, de la vérification des pièces et de son impression générale liée à l’entretien vidéo.QUID DE BOURSORAMA ? Boursorama a décidé de soumettre à la CNIL son système d’identification par reconnaissance faciale des prospects en ligne. La CNIL a répondu positivement à la demande d’autorisation dans une délibération n°2018-051 du 15 février 2018. Concrètement, le dispositif validé s’appuie sur la communication des diverses informations requises pour ouvrir un compte, dont la pièce d’identité du prospect. Ce dernier est alors invité à réaliser un autoportrait qui fera l’objet d’une comparaison biométrique avec la photographie officielle, l’objectif étant de produire un score de ressemblance entre 0 et 1. En cas de validation de l’identité du prospect, le prospect pourra donc choisir le produit bancaire qu’il souhaite, procédera à la signature électronique de sa demande d’ouverture de compte et recevra dans les 24 heures une URL le dirigeant vers son espace client. Ce qui est donc novateur et différent du système proposé par la Société générale est que la décision est ici entièrement automatisée. A ce titre, et conformément à l’article 22 du Règlement général sur la protection des données (RGPD), la CNIL relève que les prospects doivent donner leur consentement avant toute utilisation du service et qu’ils peuvent le retirer à tout moment du processus et s’orienter vers un parcours de souscription en ligne classique.QUELLES GARANTIES ? La mise en œuvre d’un tel système d’identification par reconnaissance faciale nécessite l’adoption de garanties appropriées pour la sécurité et la confidentialité des données concernées. A titre principal, la CNIL relève que les gabarits générés afin de procéder à la comparaison des deux photographies sont conservés en mémoire vive, « uniquement le temps du traitement du dispositif de comparaison, soit 3 secondes en moyenne ». Seul le score sur la validité de l’authentification est conservé pour permettre la poursuite du parcours. De plus, en cas d’interruption du processus d’entrée en relation, la purge des données est automatique. Par ailleurs, l’accès aux données est strictement encadré pour le personnel de Boursorama et celui de ses sous-traitants. Enfin, Boursorama s’est engagée à prendre plusieurs mesures de sécurité compte tenu de la spécificité du traitement mis en œuvre dont la mise en place d’une mesure de « détection de vie » permettant de s’assurer que l’autoportrait réalisée est celui d’une personne vivante et le chiffrement des données sensibles lors des échanges avec les sous-traitants. UNE ANTICIPATION DU RGPD Pour rappel, « les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes » sont soumis à autorisation spécifique de la CNIL en vertu de l’art. 25-I-8° de la Loi « Informatique et Libertés » modifiée. Si cette formalité disparaît avec le RGPD, il n’en reste pas moins que le Règlement confirme le principe d’interdiction de traiter librement des données biométriques (art. 9 du RGPD), principe également repris par l’actuel projet de loi sur la protection des données personnelles. Sésames de la mise en œuvre de ce type de traitement : la nécessité de recueillir le consentement de la personne concernée (art. 9-2-a) du RGPD) et l’obligation faite au responsable de traitement de réaliser une analyse d’impact (art. 35 du RGPD). C’est ce qu’a fait Boursorama.Boursorama...

Les obligations du fournisseur de solutions informatiques : de la rigueur technique au rigorisme juridique

Les obligations du fournisseur de solutions informatiques : de la rigueur technique au rigorisme juridique
Les faits de l’arrêt : un litige entre « initiés » ? La décision rendue par la Cour d’Appel de Paris portait sur la mise en place d’une suite logicielle relative à des prestations de services de sécurité. Elle a condamné le fournisseur pour manquement à ses obligations dans un litige qui opposait pourtant deux sociétés du domaine informatique. Le fournisseur, spécialisé dans l’édition de logiciels de sécurité de gestion d’identité numérique et de signature électronique avait développé un logiciel spécifique. Le contrat portait sur l’utilisation et la maintenance du logiciel contre redevances au profit d’une société opératrice de services de certification électronique qui développe et commercialise des solutions de sécurité des flux numériques. Or, la société cliente avait cessé de régler ses factures à la fin de la première année et demi du contrat après avoir notifié à sa cocontractante que la suite logicielle proposée ne remplissait pas ses fonctions et qu’elle avait entraîné des coûts et des retards. Cela a conduit le fournisseur à assigner en paiement sa cliente en vue du règlement de ses factures. Elle fut déboutée de sa demande en première instance au motif que le fournisseur d’une prestation informatique a un devoir de conseil, de renseignement et de mise en garde, que la délivrance est à la charge du fournisseur de solutions informatiques et que les dysfonctionnements sont apparus dès le début de l’exécution du contrat. Le fournisseur de prestations informatiques a donc fait appel. La qualité du client est indifférente pour l’exigence du devoir de conseilLa Cour d’appel de Paris confirme le jugement : « Ces sociétés ont certes chacune une activité dans le domaine informatique mais il n'est pas pour autant établi par l'appelante que la société intimée dispose d'une compétence lui donnant les moyens d'apprécier la portée exacte des caractéristiques techniques du dispositif en cause ». La société prestataire est condamnée à des dommages et intérêts au titre du préjudice financier subi par sa cliente. La société cliente a été condamnée à la destruction ou à la restitution du logiciel, sans astreinte. On observera que la société cliente était tenue contractuellement à ladite destruction ou restitution. Ce n’est pas parce que la cliente était dans le domaine informatique, que le fournisseur n’était pas tenu à une obligation de conseil et de mise en garde dans la mesure où les technologies en cause étaient très spécifiques et complexes ; elles nécessitaient des compétences techniques dont la cliente ne disposait pas. Dans un arrêt du 6 mai 2003, la Cour de Cassation a jugé que le fait « que l'UGMR était dotée d'un service informatique interne actif et compétent dès lors que les informaticiens de l'UGMR ne disposaient pas de toutes les compétences nécessaires, s'agissant de l'installation de logiciels spécifiques, ce qui justifiait le recours par l'UGMR à une société prestataire externe ». C’est donc la nature du contrat qui génère l’obligation de conseil qui engage le fournisseur (ou le prestataire de service informatique), charge à ce dernier de rapporter la preuve de la compétence spécifique du client pour s’exonérer ou atténuer de cette obligation.Les obligations en triptyque du fournisseur Selon l’arrêt de la Cour de cassation précité, « en sa qualité de prestataire informatique et de professionnelle avertie, la société Promatec était tenue d'un devoir de conseil, qu'elle se devait notamment, connaissant l'activité de l'UGMR et son environnement particulier, d'envisager les risques de l'absence de définition précise des besoins pour le projet concerné et de s’enquérir des informations nécessaires ».L’obligation de conseil s’applique pendant toute la durée des pourparlers et du contrat. Elle se manifeste par un exposé précis des éléments qui permettent au client de choisir la meilleure solution en fonction de ses besoins. Le fournisseur s’informe des besoins de son co-contractant et il est toujours débiteur d’une obligation de conseil. L’obligation de conseil se matérialise par le fait de se renseigner préalablement sur les besoins du client et notamment de l’informer sur les diverses contraintes techniques que le prestataire va mettre en place. Elle nécessite une plus grande rigueur à l’égard des clients non-professionnels.L’obligation de mise en garde est une déclinaison du devoir de conseil. Son manquement se caractérise notamment lorsque le prestataire informatique manque à son obligation d’informer le client des erreurs, incompatibilités matérielles ou logicielles, risques et difficultés de fonctionnement du système envisagé quant à la mise en œuvre des prestations. Il peut s’agir par exemple d’une méprise de conception ou d’erreurs ou de manques figurant dans le cahier des charges. L’obligation de délivrance conforme correspond à la délivrance de la chose expressément stipulée par les parties dans le contrat. L’acquéreur doit dénoncer le défaut de conformité dans un délai raisonnable, qui varie selon la nature de la chose. Le document contenant la description des fonctionnalités attendues prend la forme d’un cahier des charges dont la rédaction est vivement recommandée. S’agissant de la réparation du préjudice du client, les juges ont pris en compte : le temps passé sur le projet, la perte de chiffre d'affaire, les frais exposés pour la mise en œuvre par un client du client, le remboursement des prestations payées d'avance mais pas correctement exécutées (total : 179.526 €).Le contrat, outil de pilotage du projet…et voûte-parapluie en cas de litigeLe contrat informatique est également un outil de pilotage du projet et à ce titre, les précisions et informations sur les prestations, le système cible,...

Fisc : peut-on détruire les factures papier une fois numérisées ?

Fisc : peut-on détruire les factures papier une fois numérisées ?
Cela signifie que les entreprises n’auront plus à conserver le « double original » des factures de vente créées sous forme informatique et transmises sur support papier :soit en conservant un double papier de la facture transmise, ce qui suppose l’impression de deux documents : l’original de la facture destiné au client et son double papier qui doit être archivé par le fournisseur ;soit en conservant un « double électronique » de cette facture (§ 10 jusqu’au 30 juin 2018).Du double original au transfert de la facture émise sous forme papierMais la fin de cette tolérance ne signifie pas pour autant la fin de la numérisation des factures émises sous forme papier. Bien au contraire. Le BOFIP précise : « Ainsi, à compter du 1er juillet 2018, les factures papier émises (de vente) pourront être conservées sur support informatique en respectant les conditions mentionnées à l'article A. 102 B-2 du LPF ». Cet article doit être perçu comme une aubaine pour les entreprises puisqu’il indique : « I. – Le transfert des factures établies originairement sur support papier vers un support informatique est réalisé dans des conditions garantissant leur reproduction à l'identique. Le résultat de cette numérisation est la copie conforme à l'original en image et en contenu.Les couleurs sont reproduites à l'identique en cas de mise en place d'un code couleur. Les dispositifs de traitements sur l'image sont interdits.En cas de recours à la compression de fichier, cette dernière doit s'opérer sans perte ».Il est fait état d’un transfert et non d’une duplication de la facture, ce qui semble induire la possibilité de destruction des factures papier !Peut-on détruire les factures d’origine sous forme papier ?Tout d’abord, une précision : A aucun endroit du BOFIP du 7 février 2018, il n’est fait état de destruction des factures d’origine sous forme papier. Pourtant le titre de cette chronique est loin d’être un simple moyen d’attirer l’attention de l’internaute mais traduit une réelle interrogation issue de la lecture du BOFIP et de son § 107 « La facture d'origine c'est à dire celle émise et transmise dans son format initial reste la pièce justificative pour la déduction de la TVA.L'archivage numérique de cette facture est considéré comme la copie identique de cette facture et peut dès lors être considéré comme une pièce justificative valable pour la déduction de la TVA à la condition que les modalités de numérisation des factures papier fixées à l'article A. 102 B-2 du LPF sont respectées. Ainsi, en application du 3° du I de l'article 286 du CGI et du troisième alinéa du I de l'article L. 102 B du LPF, la facture papier ainsi numérisée dans les conditions fixées à l'article A. 102 B-2 du LPF […] constitue une pièce justificative relative à des opérations ouvrant droit, d'un point de vue fiscal, à une déduction en matière de taxes sur le chiffre d'affaires.Dans l'hypothèse où le contribuable présente à l'administration une facture numérisée qui ne remplit pas ces conditions, ce dernier est alors tenu de la présenter sous forme papier.Si le contribuable n'est plus en possession de la facture papier, l'administration n'est pas en mesure de s'assurer de l'authenticité de la facture conformément à l'article 289 du CGI. Concernant les conséquences de l'absence de facture, il convient de se reporter au I-A § 55 et suivants du BOI-TVADED-40-10-10 ».Ce texte reconnaît donc expressément que la facture papier numérisée conformément à l’article A.102-B-2 du LPF constitue une pièce justificative au même titre que la facture d’origine. Mais attention, la facture en question doit être numérisée selon les modalités visées par cet article. Ainsi un simple scan de facture non scellé au sens de cet article et dont le processus de numérisation n’est pas documenté ne saurait valoir comme pièce justificative. A défaut, l’entreprise devrait produire la facture papier.Concernant le cas où le contribuable n’est plus en possession de la facture papier, notamment s’il l’a détruit, le dernier paragraphe du § 107 est sujet à deux interprétations :Soit, c’est uniquement pour les factures mal numérisées du § précédent et dans ce cas-là, le scan de la facture n’est pas une pièce justificative et il est normal que l’Administration fiscale sanctionne le contribuable ;Soit, c’est pour toutes les factures numérisées et dans ce cas-là, quelle serait l’utilité de la fin de la tolérance du « double original » ?Nous gageons que c’est la première interprétation – la plus cohérente avec les intérêts de la transformation digitale appelée des vœux par le  législateur et le pouvoir normatif avec la norme Z 42-026– qui devrait être retenue et ainsi permettre – sous conditions (et documentations) – la destruction des factures papier. Il reste à voir comment mettre en œuvre ces procédés, notamment par rapport au traitement des couleurs des factures numérisées, comment les documenter et comment faire en sorte que l’Administration fiscale en reconnaisse la valeur.Pascal AGOSTIAvocat associéDocteur en droitCaprioli & Associés, Société d’avocats membre de JURISDEFI

RGPD/GDPR : Le chemin vers la conformité

RGPD/GDPR : Le chemin vers la conformité
Le Règlement Général sur la Protection des Données n° 2016/679 du 27 avril 2016 entrera en application le 25 mai 2018. En attendant, le projet de loi « Informatique et libertés 3 » (renvoyant au RGPD) va bientôt être adopté, mais ce texte devrait être modifié par ordonnance afin d’apporter la clarté et la lisibilité à ce texte fondamental pour la protection de la vie privée en France. Tous les responsables de traitements devront y être conformes, de la PME à la multinationale, de la petite commune aux grandes administrations. La CNIL propose une démarche en 6 étapes, d’autres en 7, 8 ou 10, peu importe le flacon pourvu que l’on parvienne à la conformité !On observera en liminaire que la conformité au règlement doit être entendue au regard du « juridico-tech système » tant la réalité documentaire est plurielle. En effet, nonobstant le RGPD, il conviendra de prendre en compte la future loi « Informatique et Libertés - 3 » (en projet), le futur règlement e-privacy, la jurisprudence judiciaire et administrative, sans oublier celle de la Cour de justice de l’Union européenne, mais aussi les délibérations des autorités de contrôle du pays, (v. missions : art. 57 du RGPD,) les décisions du Comité européen de la protection des données (v. missions : art. 70 du RGPD), et enfin les normes telles que l’ISO 27001 étendue à la vie privé (en préparation). C’est dire si la documentation est riche et complexe, a fortiori si l’on est confronté à des implantations internationales. Il n’empêche que la démarche vers la conformité doit être rigoureuse pour arriver à bon port. Nous proposerons de baliser le chemin en cinq points.1°) Désignation d’un pilote du projet de mise en conformitéLa première des choses à faire : désigner un chef de projet de la mise en conformité au RGPD/GDPR. Cette personne aura pour mission de piloter le projet : entendons-nous, une gestion de la mise en conformité en mode projet. Cette personne peut être le Correspondant Informatique et libertés (CIL), s’il a été désigné ou s’il en exerce les fonctions. Elle devra faire appel à des compétences internes diverses ce qui le rapprochera de la sécurité des systèmes d’information, du juridique et des métiers. Cette personne aura également pour mission d’étudier la désignation du Délégué à la Protection des Données (DPD/DPO) et d’établir sa fiche de poste.2°) Cartographie des traitements de données personnellesIl s’agira d’identifier et d’analyser l’ensemble des traitements de données à caractère personnel mis en œuvre par l’organisation dans le cadre de ses activités en fonction de la nature des traitements (finalité, fondement juridique,…) et des catégories de données collectées et traitées.Le but de cette première étape est de déterminer le contexte dans lequel s’inscrivent les traitements : contexte interne (métiers concernés, niveau de maturité des intervenants sur les traitements, mesures de protections mises en œuvre, …), contexte externe (secteur d’activités clients, rôle des partenaires,…) ainsi que les opérations réalisées dans le cadre des traitements tels que notamment les interconnexions, sous-traitance et transferts internationaux de données.Cette étape nécessite la transmission de tous les documents utiles relatifs aux traitements  de données (ex : description, processus). 3°) Cartographie des responsabilités respectives des parties prenantes  La détermination du rôle des intervenants sur les traitements constituera le point de départ de cette étape. Pour ce faire, il conviendra de s’appuyer sur les opérations réalisées telles que par exemple : la fourniture de données (« Data provider ») ou l’hébergement du Système d’Information.Dans ce contexte, il conviendra d’analyser la qualité des parties (Responsable de traitement/clients/partenaires/sous-traitants) afin de situer le statut respectif des intervenants (responsable de traitement / sous-traitant) et les responsabilités qui seront imparties à chacun d’eux. D’importantes conséquences juridiques en découleront ne fut-ce qu’en terme de sanctions de l’autorité de contrôle, pénales voire civiles.4°) Evaluation de la conformité légaleLes mesures et les moyens adoptés pour la mise en œuvre de la gestion des traitements de données personnelles devront être analysées. Il sera tout particulièrement tenu compte des facteurs suivants : du respect des principes de protection (sécurité, confidentialité, respect des droits …) ; de l’organisation de la gouvernance de traitement (circulation de l’information sur le traitement de données, informations des personnes concernées, points de contact,…) ;et des Labels / certifications (normes ISO, labellisation CNIL).5°) Recommandations et plan d’action stratégique pour la mise en conformité légaleAu vu du cadre légal et réglementaire applicable au responsable de traitement pour la protection des données à caractère personnel (France, Union européenne et international), cette dernière étape consistera à présenter les actions stratégiques à mettre en œuvre ainsi que la définition d’un ordre de priorité. A toutes fins utiles, en fonction des résultats des analyses issues des points 1, 2 et surtout 3, il sera envisagé de prioriser les actions suivantes : Sensibilisation à la réglementation applicable des métiers concernés (formation, guide, jeux vidéos, …);Implémentation des nouveaux outils de gouvernance : désignation d’un Délégué à la protection des données avec le bon niveau hiérarchique avec le cas échéant les points de contacts associés.Intégration des nouvelles obligations :Accountability (documentation de la conformité)Privacy by design / Privacy by defaultAnalyse d’impact sur la vie privée pour les traitements à risques (ex...
Baromètre du CESIN 3ème édition (2018)

Baromètre du CESIN 3ème édition (2018)

Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) est un lieu d’échanges dédié aux experts de la sécurité et du numérique au sein de grandes entreprises. Alors que les cyber-attaques continuent d’augmenter (ransomware et autres malwares, déni de service, usurpation d’identité, piratage de données personnelles, etc.), il est impératif de faire face aux cyber-risques avec des solutions techniques qui gagnent en efficacité mais qui restent perfectibles.Cela est d’autant plus vrai que la transformation digitale multiplie les risques cyber. La gestion des risques cyber se complique par la mise en conformité au RGPD/GDPR. Il s’agit également d’accompagner l’élan impulsé par le RGPD/GDPR pour refonder la gouvernance des données.La première grande enquête auprès de ses membres sur la cybersécurité a été lancée en 2015 par le  CESIN, avec OpinionWay ,a lancé en 2015 afin de connaître:l’état de l’art et la perception de la cyber-sécurité et de ses enjeux au sein des entreprises membres du CESINla réalité concrète de la sécurité informatique des grandes entreprises en apportant de nouvelles données sur l’impact de la transformation digitale des entreprisesQuatre grandes thématiques sont étudiées : Contexte et objectifs de l’étude Méthodologie de l’étudeMessages clés RésultatsEric A. CAPRIOLI est Vice-Président du CESIN.

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket
Les menaces cyber en croissance exponentielle. La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. Les attaques prennent des contours très variés et en constante évolution. La société Symantec dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde a souligné l’augmentation de plus de 36% des logiciels malveillants (ou malwares) par rapport à 2014 (en 10 ans, on serait passé d’environ 22.000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles, comme par exemple Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) ou le fabricant de jouets connectés VTech (soit 6,3 millions de profils d’enfants dont 1,2 million d’enfants français). OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque les deux dernières années. Pour la France, le baromètre de la cyber-sécurité des entreprises de Janvier 2016 du Club des Experts de la Sécurité de l’Information et du Numérique constate que 61% des entreprises  interrogées ont été victimes de demandes de rançons. On a recensé 391.000 attaques de ce type en France ! Tout récemment, le malware Wanacry en mai 2017 a affecté de nombreuses entreprises industrielle dont Renault et des établissements publics comme des hôpitaux dans une centaine de pays dans le monde. Quelques semaines plus tard, ce fût au tour du ransomware Petya de se propager en Europe et aux Etats-Unis, dont en France l’industriel Saint Gobain. Selon les experts en sécurité, ce dernier cacherait en fait un « wiper », c’est-à-dire un malware visant à effacer les données des postes visées, sans qu’il soit possible de les récupérer. C’est dire si les risques et les dommages potentiels liés aux ransomwares sont importants !Qu’est-ce que le Ransomware ? Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives avec le ransomware Locky qu’elle a déjoué sans payer la rançon. A côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés sans utilisation de produits cryptographiques qui par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais de  Team Viewer. Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss ou encore Wanacry et Pethya. Quels risques juridiques ? Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données afin notamment qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 de la loi Informatique et Libertés du 6 janvier 1978) sous peine de sanctions de la CNIL ou de sanctions pénales (art. 226-17 du code pénal : 300.000 euros d’amende et 5 ans de prison). Cependant, avec le nouveau Règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données, applicable à compter du 25 mai 2018, toutes les entreprises petites et grandes, ainsi que les collectivités publiques auront l’obligation de notifier les violations de données à caractère personnel à leur autorité de contrôle (la CNIL pour la France), contrairement à la loi « Informatique et libertés » du 6 janvier 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 Bis. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du RGDP). Il convient de souligner que les sous-traitants, tels que les prestataires de services dans le cloud computing ou de services de confiance auront également l’obligation de notifier sans délai au responsable de traitement (le client) dès qu’ils ont connaissance de la violation. Les fondements juridiques des poursuites judiciaires. Le droit n’est pas sans réponse. En effet, le code pénal dispose d’un arsenal apte à répondre à ces menaces. A ce titre, le dispositif légal consiste à réprimer les atteintes aux systèmes d’information prévues aux articles 323-1 et 323-2 du code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 et 150.000 euros d’amende (sauf si c’est un SI de l’Etat, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d'extraire, de détenir,...

Transposition de la Directive Services de Paiement : quelles nouveautés en Droit français ?

Transposition de la Directive Services de Paiement : quelles nouveautés en Droit français ?
Qu’apporte cette Ordonnance pour les agréments des prestataires et la supervision du marché ?  Transposant la DSP 2 en droit français, l’Ordonnance complète les conditions d’octroi de l’agrément des établissements de paiement, à savoir des personnes morales autres que les établissements de crédit et de monnaie électronique qui fournissent à titre de profession habituelle des services de paiement, tels que les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements, ou les transmissions de fonds. En outre, pour les établissements dont la moyenne mensuelle de la valeur totale des opérations de paiement ne dépasse pas 3 millions d'euros, un agrément simplifié est ouvert. Les dispositions relatives aux établissements de monnaie électronique sont également adaptées, et ce dans les mêmes conditions.En matière de supervision des activités transfrontalières, les pouvoirs de l'Autorité de contrôle prudentiel et de résolution (ACPR) sont renforcés, cette dernière pouvant désormais prendre des mesures conservatoires en cas d'urgence à l'égard des établissements agréés dans un autre Etat membre de l'Union européenne et exerçant leur activité en France, lorsqu'une action immédiate est nécessaire pour contrer une menace grave pour les intérêts collectifs des utilisateurs de services de paiement.En matière de nouveaux services ? Deux nouveaux services de paiement sont intégrés dans le Code monétaire et financier, à savoir :les services d'information sur les comptes, qui permettent à l'utilisateur de services de paiement d'avoir une vue d'ensemble de sa situation financière à tout moment et de gérer au mieux ses finances personnelles, et les services d'initiation de paiement, qui permettent aux consommateurs de payer leurs achats en ligne par simple virement, tout en donnant aux commerçants l'assurance que le paiement a été initié de sorte que les biens peuvent être livrés ou les services fournis sans délai. La fourniture de chacun de ces services représentant un risque modéré en raison de l'absence de détention de fonds par leurs prestataires, ces activités bénéficient d'un régime prudentiel dérogatoire - absence de capital initial et, pour les prestataires de services d'information sur les comptes, absence de fonds propres. Les dispositions relatives à leur régime quant aux obligations relatives à la lutte contre le blanchiment et le financement du terrorisme sont également précisées dans le cadre de cette ordonnance.On notera en parallèle que les prestataires de ces nouveaux services disposant d’un régime juridique légal sont souvent considérés comme des fintech. D’autres types de services émergent qui sont désormais objets de l’attention de l’Autorité Bancaire Européenne. Un renforcement des droits et obligations des utilisateurs. Désormais, les utilisateurs de moyens de paiement voient leur responsabilité réduite de 150 euros à 50 euros en cas de paiements non autorisés, c'est-à-dire de paiements consécutifs à un vol, une perte ou un détournement de l'instrument de paiement. Les utilisateurs doivent également être informés sans délai des incidents opérationnels et de sécurité majeurs - c'est-à-dire des incidents affectant le fonctionnement de l'établissement ou la sécurité de l'opération de paiement - lorsque l'incident est susceptible d'avoir des répercussions sur leurs intérêts financiers. Enfin les utilisateurs de services de paiement doivent être informés des procédures de réclamation existantes, ainsi que des procédures de règlement extrajudiciaire en cas de litige.Un dernier point et non des moindres : l’authentification forte. Pour renforcer la sécurité pour les paiements électroniques et la protection des données financières des consommateurs, le Code monétaire et financier intègre désormais des dispositions sur l'authentification forte du client. Elle consiste à vérifier l'identité du payeur lors de l'opération de paiement, suivant des conditions précisées par l'Autorité bancaire européenne. Pour l’heure, les standards techniques relatifs à l’authentification forte ne devraient pas tarder à être publiés. On retiendra ainsi que l’authentification forte repose sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.De plus, certaines des méthodes actuelles d’authentification à double facteur comme l’OTP SMS sont en train d’être battus en brèche pour des raisons de sécurité technique, mettant ainsi en valeur les facteurs d’authentification biométriques comme les reconnaissances vocale ou faciale, reconnues plus fiables. L’entrée en vigueur des nouvelles dispositions du Code monétaire et financier est prévue le 13 janvier 2018, à l'exception de dispositions transitoires prises conformément à la directive eu égard à l'entrée en vigueur différée de normes techniques de réglementation.Aux établissements bancaires, financiers et aux compagnies d’assurance maintenant de prévoir les évolutions requises par cette nouvelle législation en conjonction avec les exigences de privacy by design prévues dans le RGPD. Pascal AGOSTI, avocat au Barreau de Nice, Docteur en droit

Identité numérique sous « emprise » : le code pénal en force !

Identité numérique sous « emprise » : le code pénal en force !
S’il est vrai que certains donnent mandat à un tiers professionnel (exemple : un webmaster d’un site dédié à la communication d’une personne) pour gérer leur image virtuelle, l’usage indu et non autorisé des attributs de notre identité sur le net - qui plus est à mauvais escient - relève de l’offense et de l’atteinte inacceptables. C’est l’expérience amère et parfois hautement préjudiciable qu’ont pu faire un nombre inexorablement croissant de personnes à travers le monde au gré de toutes les formes d’usurpation d’identité : usage détourné du nom, de l’état civil, des titres, des données personnelles, de l’image, etc. Plus près de nous, en 2014, l’affaire Rachida Dati avait mis un coup de projecteur intéressant sur la problématique en portant sur les fonts baptismaux des prétoires, l’article 226-4-1 du Code Pénal réprimant expressément l’infraction d’usurpation d’identité numérique.En novembre 2016, la Cour de Cassation a clôturé cette affaire de référence en ouvrant la porte à d’autres questionnements. Rappel du baptême du feu de l’article 226-4-1 du Code pénal. L’espèce concernait un informaticien ayant créé une réplique du site officiel de la Député-Maire du VII arrondissement de Paris (reprise de la photographie, mise en page et des éléments graphiques propres au site officiel) et ayant profité d’une faille de sécurité de type XSS pour permettre la navigation des internautes du site officiel vers son avatar sans s’en rendre compte, comme s’il s’agissait du même et unique site. Or, ledit faux site permettait précisément à tout internaute plus ou moins bien intentionné à l’endroit de la victime de « rédiger un texte court  et de l’afficher sous la forme d’un communiqué de presse présentant l’aspect du site officiel », le tout étant enrichi par la possibilité de publier « via les réseaux sociaux Twitter et Facebook un lien affichant les faux communiqués de presse de la députée-maire présentant l’apparence d’être hébergés sur son site officiel ». La promotion du site factice avait été assurée, notamment, par l’envoi d’un lien auprès des 4.000 contacts Twitter du prévenu. Résultat : en apparence, le site officiel de Madame Rachida Dati charriait des messages apocryphes, à caractère obscène, injurieux, diffamatoire ou bien politiquement compromettant pour la victime. L’affaire « Dati » confirme l’extension du domaine de la lutte contre l’usurpation d’identité. Si le Tribunal de Grande Instance de Paris a retenu aussi bien l’usurpation d’identité numérique que l’introduction frauduleuse de données dans un STAD, la Cour d’Appel de Paris, en novembre 2015, a réformé partiellement la décision en écartant ce dernier fondement. Il est vrai que la faille de sécurité offrait un argument de repli opportun puisque l’accès frauduleux est hypothéqué par la négligence du concepteur du site.Il n’en demeure pas moins que sur les critères constitutifs de l’infraction telle que définie par l’article 226-4-1 du code pénal, tout y est !L’élément matériel prend sa consistance, notamment, dans la reprise de la photographie de la victime et de la charte graphique d’origine du site officiel, c’est-à-dire dans la reprise de données permettant d’identifier la personne. Il n’est donc pas forcément nécessaire que les éléments « primaires » de l’identité (le nom et le prénom) soient concernés, corroborant ainsi le caractère extensif de la notion d’identité numérique au sens du code pénal français. L’élément moral, quant à lui, était cristallisé par de multiples indices dont la tolérance et la favorisation de la publication de faux communiqués de presse aux contenus explicitement attentatoires à l’honneur et à la dignité de la victime. Quand bien même le principal prévenu ne serait pas l’auteur, son intention de nuire ne faisait aucun doute. L’usurpation d’identité exclusive de la liberté d’expression ? Par un arrêt relativement lapidaire en date du 16 novembre 2016, la Cour de Cassation vient donc de clore cette affaire par la confirmation de la condamnation de l’informaticien « indélicat » sur le fondement de l’usurpation d’identité numérique. Au-delà de la concision du libellé de l’arrêt, il convient de relever que la Cour de Cassation retient que l’infraction est « exclusive de l’application de l’article 10 de la Convention européenne des droits de l’homme ». Peut-on en déduire que le fait d’usurper l’identité numérique d’une personne par quelque biais que ce soit – éléments d’identité ou données d’identification - vicie nécessairement tout acte ou démarche fondée sur la sacro-sainte liberté d’expression ?Il faudra certainement plus de recul pour pouvoir être aussi tranché. Mais, en tout état de cause, en l’espèce, rien n’aura donc résisté à la qualification de l’article 226-4-1 du code pénal, pas même les ressorts pourtant éprouvés de la liberté d’expression. La défense n’avait pas lésiné sur l’argument de l’humour et de la parodie satirique pour convaincre les différentes instances. En vain !Les juges mobilisés face à des risques de démembrement et de perversion de l’identité. Depuis les premiers « actes » de cette affaire « Dati », la jurisprudence s’est richement étoffée sur la base de la seule qualification de l’article 226-4-1 du code pénal. Ainsi, même en référé, les juges reçoivent désormais volontiers le caractère manifeste des infractions sur le fondement de l‘usurpation d’identité numérique. Ainsi en est-il de l’ordonnance de référé du Tribunal de Grande instance de Paris en date du 12 août 2016 reconnaissant le trouble manifestement illicite causé par l’usurpation de l’identité...