CAPRIOLI & Associés, Cabinet d'Avocats à Nice et Paris

Le droit au service de la confiance digitale

Jeudi 19 Septembre 2019

Coffre-fort numérique : les nouvelles conditions de récupération des données et des documents

Coffre-fort numérique : les nouvelles conditions de récupération des données et des documents
Les services de coffre-fort numérique (CFN) sont devenus des instruments très importants pour la conservation et l’archivage de documents de toute nature (textes, dessins, photos, relevés, justificatifs, bulletins de paie et autres documents RH, contrats, …). De même, les personnes concernées par les usages du coffre-fort sont les particuliers, ainsi que les salariés, les professionnels et les administrations. Usages universels donc, avec des finalités multiples ! On rappellera qu’il existe plusieurs offres performantes de CFN sur le marché, tels ceux de Cecurity.com, Docapost ou Coffreo.Cadre juridiqueL’article 87 de la loi du 7 octobre 2016 pour une République numérique avait défini la notion (ancien article L. 137 du CPCE). Désormais, c’est l’article L. 103 du CPCE, issu de l’ordonnance du 4 octobre 2017 qui modifie le texte précédent. Cet article définit les services du CFN.Ces services ont pour objet : la réception, le stockage, la suppression et la transmission de données ou documents garantissant leur intégrité et l’exactitude de leur origine ; la traçabilité des opérations réalisées ; l’identification de l’utilisateur lors de l’accès au service ; la garantie d’un l’accès exclusif aux documents électroniques ; offrir la possibilité à l’utilisateur de récupérer les documents et les données stockées dans un standard ouvert aisément réutilisable et exploitable par un système de traitement automatisé de données (L. 103, 5°du CPCE).Le Décret n° 2018-418 est intervenu le 30 mai 2018 (JO du 31 mai 2018) pour préciser les modalités de mise en œuvre du service de coffre-fort numérique. Ce décret précise les points fondamentaux suivants : information préalable (sécurité juridique), sécurité et traçabilité (sécurité technique).Conditions de récupérations des documents et documentsPris en application de l’art. L.103, 5° du CPCE, le Décret n° 2018-853 du 5 octobre 2018 relatif aux conditions de récupération des documents et données stockés par un service de coffre-fort numérique vient compléter le dispositif. La récupération peut s’effectuer de deux façons : « 1° par voie de communication électronique, et par une requête unique, de façon simple et sans manipulation complexe ou répétitive ; 2° Dans un format électronique ouvert, structuré, couramment utilisé, aisément réutilisable et exploitable par un système de traitement automatisé de données, sauf dans le cas des documents initialement déposés dans un format non ouvert qui peuvent être restitués dans leur format d'origine ». Des obligations sont mises à la charge du fournisseur de service de CFN : récupération intègre, complète et dans un délai raisonnable, ainsi que respect de la protection des données à caractère personnel, (art. D.537 CPCE, dernier alinéa). Il est nécessaire pour les dispositifs de récupération d’assurer un niveau d'intégrité et de confidentialité des documents et données au moins équivalent à celui des fonctions permettant la réception, le stockage, la suppression et la transmission de données prévues au 1° et au 4° de l'article L. 103 du CPCE.Information pré-contractuelleAvant de contracter, le fournisseur doit communiquer à l’utilisateur de manière lisible et compréhensible les modalités de récupérations des données et documents. Ces informations portent sur les opérations techniques à réaliser, les caractéristiques techniques du format du fichier de récupération et les délais. Il doit également préciser s’il (le fournisseur) a transformé le format dans lequel les documents ont été déposés. Il indique les frais éventuellement exigibles au titre de la récupération des documents et données, sans restriction sur le nombre d'opérations de récupération (art. D. 539 du CPCE). L’utilisateur doit consentir de façon « explicite » et les conditions doit être « mises en ligne de façon aisément accessible ».Exécution du contratPendant toute la durée du contrat l’utilisateur peut exercer à tout moment et à titre gratuit son droit à la récupération des données et documents, sans restriction quant au nombre d’opérations de récupération. Toutefois, en cas de demandes de récupération manifestement excessives de la part de l’utilisateur, le fournisseur peut d’une part, facturer le paiement de frais raisonnables tenant compte des coûts qu’il supporte pour organiser la récupération, ou refuser de donner suite aux demandes, d’autre part (art. D. 540 du CPCE).Fin ou suspension du contratEn cas de fermeture ou de suspension du service, le fournisseur doit informer l’utilisateur au moins trois mois avant de manière à ce que ce dernier soit en mesure de récupérer ses données. Si l’utilisateur ne peut accéder au service (y compris en l’absence d’information préalable sur un suspension ou une fermeture du service), quelle qu’en soit la raison, les dispositifs de récupération des données restent disponibles pendant une durée de douze mois à compter de la date de cessation d’accès.Quelles perspectives ? Ce décret est important, il complète utilement celui du 30 mai 2018 avec de nouvelles précisions sur la récupération des données, spécialement pour protéger les utilisateurs. Il faudra, cependant, attendre le 1er janvier 2019 pour son entrée en vigueur. Au final, ce service de CFN dispose d’un cadre juridique relativement complexe et qui, sur le plan technique sera complété par un cahier des charges (qui devrait être bientôt publié) élaboré par l’ANSSI après avis de la CNIL. C’est sur cette base juridico-technique que se fondera la Certification y associée, contribuant ainsi à la confiance numérique.Eric A. Caprioli, Docteur en droit, Avocat à la Cour de Paris, Membre de la délégation française aux Nations UniesCaprioli & Associés, Société d’avocats...

Batailles judiciaires sur le déréférencement : Google joue le registre de la carte et du territoire

Batailles judiciaires sur le déréférencement : Google joue le registre de la carte et du territoire
On ne compte plus les confrontations entre les GAFAs et les instances européennes autour de conceptions opposées des droits et des libertés. L’une des plus récentes s’est déroulée lors de l’audience du 11 septembre 2018 devant la CJUE, impliquant Google et son refus de déréférencer mondialement des liens reconnus illicites par les juridictions des Etats membres. Mais en la matière, et malgré la vaillance des instances européennes, la carte n’est résolument pas le territoire. Ainsi, dans le cadre d’une autre affaire outre-atlantique, Google a déjà démontré sa capacité à déployer des contre-feux judiciaires qui pourraient vider de sa substance toute décision qui lui serait défavorable. En matière de déréférencement de liens, ici veut-il dire ailleurs ?C’est en substance la question débattue lors de l’audience du 11 septembre 2018, faisant suite à un arrêt du 19 juillet 2017 du Conseil d’Etat français qui a saisi la CJUE pour l’éclairer sur la portée territoriale du droit au déréférencement. Pour rappel, le Conseil d’Etat devait se prononcer sur un recours de Google Inc. aux fins d’annulation de la délibération n° 2016-054 de la formation restreinte de la CNIL du 10 mars 2016 lui infligeant une sanction de 100.000 euros pour avoir refusé de mettre en œuvre des demandes bien fondées de déréférencement de personnes physique sur l'ensemble des extensions de noms de domaine de son moteur de recherche.En effet, Google se restreint à déréférencer les liens litigieux uniquement sur l’extension nationale du moteur de recherche et éventuelle sur l’extension européenne. La conséquence en est que les liens litigieux restent accessibles à partir de toutes les autres extensions non couvertes. Autant dire qu’en l’absence de système de "géoblocage", cette situation est susceptible de vider de sa substance ledit « droit à l’oubli » , pourtant consacré de manière retentissante par l’arrêt Google Spain en 2014. C’est bel et bien la maîtrise et l’effectivité de la protection de la vie privée qui est en jeu dans cette affaire.Google, défenseur des libertés ?Les arguments avancés par Google lors de l’audience reposent sur une critique du risque d’extraterritorialité d’une décision française en l’espèce, et d’une vision strictement européenne du droit au déréférencement. Et Google de rappeler qu’il n’appartient pas à la CJUE d’interagir sur le droit à l’information du public américain et de se substituer à la Cour Suprême des États-Unis. Google s’appuie également sur une certaine conception de la défense de la liberté d’expression, agitant le spectre d’une instrumentalisation du déréférencement mondial par des régimes autoritaires et dictatoriaux.L’éternel dilemme entre vie privée et liberté d’expression a trouvé un nouveau champ de bataille. La décision de la CJUE qui interviendra dans quelques mois offrira une réponse européenne harmonisée quant à la portée territoriale du droit au déréférencement opposable aux intermédiaires, fournisseurs de services. Cependant, le suspens n’est que relatif et quelle que soit l’issue de cette procédure, une autre affaire outre-atlantique semble avoir, pour le moment, scellé les choses à la faveur de Google. Le bouclier de la section 230 de la Communication Decency Act devant les juges américains : une protection absolue de l’intermédiaire Google ?Dans le cadre d’une autre espèce concernant des faits de contrefaçon et jugée en 2017, les juridictions canadiennes ont tenté d’imposer à Google une approche "plénière" du droit au déréférencement. En 2011, la société Equustek Solutions engage une action en contrefaçon devant les juridictions canadiennes contre la société Datalink.Malgré plusieurs procédures et ordonnances judiciaires condamnant Datalink – qui quitte le territoire de Colombie-Britannique -, cette dernière persiste à vendre les produits litigieux. Forte d’une ordonnance judiciaire interdisant à la société Datalink d’exercer ses activités de distribution sur internet, la Société Equustek Solutions demande à Google de déréférencer tous les liens renvoyant aux sites web de la société Datalink. Google donne suite à cette demande mais en limitant le déréférencement aux résultats depuis son moteur de recherche canadien.Concrètement, cela permet à Datalink de contourner les effets du déréférencement canadien en continuant à diffuser les contenus litigieux depuis les autres extensions géographiques du nom de domaine du moteur de recherche (.com ; .fr ; .ru ; .de, etc.). Equustek entame une procédure qui aboutit à une injonction interlocutoire, confirmée par la Cour suprême canadienne, portant l’interdiction à Google d’afficher les liens litigieux à l’échelle mondiale.Cependant, malgré l’audace des juridictions canadiennes, Google a d’ores et déjà posé ses contre-feux judiciaires en saisissant la Cour du district nord de Californie par le biais d’une procédure particulière, à savoir le dépôt d’une requête en injonction préliminaire afin de dénier, de manière anticipée, tout caractère exécutoire aux États-Unis de la décision canadienne. En date du 2 novembre 2017, les juges américains ont donné gain de cause à Google en refusant toute force exécutoire à la décision canadienne sur le fondement de l’immunité offerte par l’article 230 de la Communication Decency Act aux fournisseurs de services contre toute responsabilité du fait des contenus créé par des tiers.Selon eux, la décision canadienne « supprimerait l’immunité prévue à la section 230 pour les fournisseurs de services qui établissent des liens avec des sites web tiers. En forçant ainsi les intermédiaires à supprimer les liens vers des contenus de tiers, la décision canadienne porte atteinte aux objectifs...

Identité Numérique : la révolution invisible

Identité Numérique : la révolution invisible
Le 29 septembre 2018 fait partie de ces dates passées inaperçues et qui pourtant symbolise une révolution essentielle pour le Marché Unique du Numérique. Les schémas d’identification électronique notifiés par un Etat membre auprès de la Commission européenne sont désormais reconnus par les autres Etats membres.Reconnaissance mutuelle des moyens d’identificationEn effet, depuis cette date, lorsqu’une identification électronique à l’aide d’un moyen d’identification électronique et d’une authentification est exigée en vertu du droit national ou de pratiques administratives nationales pour accéder à un service en ligne fourni par un organisme du secteur public dans un État membre, le moyen d’identification électronique délivré dans un autre État membre est reconnu dans le premier État membre aux fins de l’authentification transfrontalière pour ce service en ligne sous réserve d’avoir été préalablement notifié et accepté au niveau européen (art. 6).Qu’est-ce que cela signifie dans la "vraie" vie ?Imaginons un téléservice français requérant un niveau de garantie d’identité élevé pour y accéder. Désormais, TOUS les moyens d’identification électronique notifiés disposant d’un niveau de garantie élevé dans chaque Etat membre peuvent être utilisés comme moyens d’accès ; ils seront de facto reconnus par l’organisme en charge du téléservice cible. Ainsi, un citoyen allemand disposant d’un moyen d’identification disposant d’un niveau de garantie adéquat par rapport à un téléservice français pourra ainsi en bénéficier sans démarche complémentaire auprès d’une entité française.Et d’un point de vue juridique ?Un schéma d’identification électronique permet de délivrer des moyens d’identification électronique à des personnes physiques ou morales. Le Chapitre II du Règlement eIDAS a trait à l’identification électronique régalienne. En effet, l’article 6 organise les modalités de la reconnaissance mutuelle et de l’interopérabilité dans l’Union Européenne des identités (régaliennes) notifiées par les Etats membres à la Commission et publiées au Journal officiel de l’Union européenne, sans pour autant régir les systèmes d'identification (identité numérique) relevant du pouvoir souverain de chaque État membre.Trois niveaux de schémas d’identification sont prévus par le Règlement eIDAS : faible, substantiel et élevé : seuls les deux derniers niveaux peuvent être notifiés à la Commission. Divers actes d’exécution disponibles sur le site de l’ANSSI sont venus préciser les modalités propres à l’identification électronique régalienne comme les modalités de collaboration entre Etats membres en matière d’identification électronique (art. 12-7 Règlement eIDAS), les Spécifications techniques minimums et procédures pour les niveaux d’assurance pour l’identification électronique (art. 8-3 Règlement eIDAS) ou le cadre d’interopérabilité (art. 12-8 Règlement eIDAS).Où en est-on en Europe ?De nombreux Etats ont d’ores et déjà notifié (comme l’Allemagne ou l’Italie) leur schéma d’identification, l’ont pré-notifié (comme la Grande Bretagne, le Portugal, la Belgique…) ou sont en cours d’examen (comme la Croatie, l’Estonie, le Luxembourg…).Qu’en est-il pour la France ?La France avance lentement mais sûrement. La majeure partie de la stratégie nationale en matière d’identité numérique s’articule autour de France Connect, qui doit être perçu comme un "hub" sur lequel les projets d’identification électronique viennent se poser et qui, selon les exigences requises, pourront être notifiés comme schéma d’identification pour un niveau substantiel ou élevé.Pour l’heure, France Connect est ouvert aux seuls téléservices publics mais devrait prochainement s’ouvrir sur les relations privées. Un Arrêté devrait en indiquer ainsi les modalités. Il est attendu par tout un marché soucieux de respecter les exigences tant en termes de conformité eIDAS que de conformité RGPD.Mais France Connect n’est pas toutEn effet, dès le moment où une entreprise, une entité, un groupe d’entreprises entendra mettre en place un moyen d’identification électronique pour le seul cadre national, l’article L. 102 du Code des Postes et Communications Electroniques (CPCE) énonce :"I. – L'identification électronique est un processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale.Un moyen d'identification électronique est un élément matériel ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier pour un service en ligne.II. – La preuve de l'identité aux fins d'accéder à un service de communication au public en ligne peut être apportée par un moyen d'identification électronique.III. – Ce moyen d'identification électronique est présumé fiable jusqu'à preuve du contraire lorsqu'il répond aux prescriptions du cahier des charges établi par l'autorité nationale de sécurité des systèmes d'information, fixé par décret en Conseil d'Etat.Cette autorité certifie la conformité des moyens d'identification électronique aux exigences de ce cahier des charges.IV. – Le prestataire fournissant un moyen d'identification électronique autre que celui mentionné au III et qui en fait la demande peut se voir délivrer par l'autorité nationale de sécurité des systèmes d'information une certification attestant du niveau de garantie associé à ce moyen d'identification électronique. L'autorité nationale de sécurité des systèmes d'information établit à cette fin, après avis de la Commission nationale de l'informatique et des libertés, les référentiels définissant les...

Le secret des affaires est enfin protégé !

Le secret des affaires est enfin protégé !
Le Conseil constitutionnel a validé le 26 juillet 2018 la loi relative à la protection du secret des affaires du 30 juillet 2018. Les détracteurs du texte considéraient que ce dernier portait atteinte à la liberté d’expression et de communication. Sur ce point, le conseil constitutionnel a souligné l’existence dans le texte de l’exception à la protection du secret pour les personnes qui exercent leur droit : les lanceurs d’alerte. Signalons qu’une directive européenne relative à la protection des lanceurs d’alerte d’ailleurs est en cours d’élaboration. La loi transpose dans le Code de commerce la directive 2016/943/UE sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites.Aperçu rapide sur les dispositions transposées dans le code de commerceL’article L. 151-1 définit la notion de secret des affaires : Il s’agit d’une information non généralement connue ou aisément accessible, qui à valeur commerciale et qui fait l’objet de mesures particulières de protection. Le secret des affaires doit donc remplir trois critères stricts et cumulatifs qui restreignent le champ d’application du texte ;L’article L. 151-2 définit le détenteur légitime d’un secret des affaires comme celui qui en a le contrôle de façon licite ;L’article L. 151-3 détermine les modes licites d’obtention d’un secret des affaires (observation, étude d’un objet mis à la disposition du public ou qui est, de façon licite, en possession de la personne qui obtient l’information, sauf stipulation contractuelle contraire) ;Les articles L. 151-4 à L. 151-6 précisent les conditions dans lesquelles l’obtention, l’utilisation, et la divulgation du secret des affaires sont illicites et susceptibles d’engager la responsabilité civile de l’auteur (art. L. 152-1), (ex : Pas de consentement du détenteur légitime) ;Les articles L. 151-7 à L. 151-9 prévoient les exceptions à la protection du secret des affaires. Le secret n’est pas opposable lorsque son obtention, son utilisation, ou sa divulgation est intervenue pour exercer le droit à la liberté d’expression et de communication mais aussi dans le but de révéler une faute ou un comportement répréhensible ;Les articles L. 152-3 à L. 152-6 correspondent aux mesures judiciaires pour prévenir et faire cesser une atteinte au secret des affaires ainsi que les mesures de réparation ;Les articles L. 153-1 et L. 153-2 concernent la protection du secret des affaires devant les juridictions civiles ou commerciales. On observera que la France n’a pas choisi d’adopter des dispositions pénales comme cela existe en matière de contrefaçon et dont l’option était permise par la directive européenne.Une amende civile peut être prononcée en cas d’action dilatoire ou abusive (art.  L. 152-8), sans préjudice de l’octroi de dommages et intérêts à la partie victime de la procédure dilatoire ou abusive. Cet article rehausse le seuil de la sanction de la procédure dilatoire ou abusive de droit commun qui n’est que de 10.000 euros. Cela pourrait démotiver les petites et moyennes entreprises de toute action en justice de peur que l’action engendre des coûts excessifs. A ce titre, le texte peut sur ce point paraître comme étant contre-productif.Une loi peu protectrice, mais qui va dans le bon sensLa transposition de la directive de 2016 était nécessaire car l’arsenal juridique français était inadapté en la matière. En effet, si les droits de propriété intellectuelle sont protégés efficacement par le régime des brevets, marques et dessins et modèles et droit d’auteur, avant le 30 juillet, les innovations que les entreprises ne voulaient (ou qui ne pouvaient pas) pas déposer pour des raisons de stratégie commerciale et de recherche et développement étaient exposées à des entreprises rivales parfois peu scrupuleuses.Le secret des affaires n’était jusqu’alors pas défini en droit français. Plusieurs infractions pénales pouvaient être caractérisées (vol, abus de confiance, atteintes aux systèmes de traitement automatisés de données, ou encore la violation du secret professionnel et la violation du secret de fabrique …)  pour punir la divulgation d’un secret des affaires mais dans des conditions strictes et souvent inadaptées à ce type de secret.Or, dans la loi du 30 juillet, point de sanctions pénales. Cette délictualisation aurait pu être davantage dissuasive. Cependant, à cette fin, une mesure de publicité de la décision relative à l'obtention, l'utilisation ou la divulgation illicite d'un secret des affaires, notamment son affichage ou sa publication intégrale ou par extraits dans les journaux ou sur les services de communication au public en ligne qu'elle désigne, peut être prononcée aux frais de l'auteur de l'atteinte (art. L.152-7).Sur le plan civil, la responsabilité civile ayant une vocation réparatrice, cette dernière ne peut remplir la fonction de prévention et de punition d’une divulgation.Un décret d’application en Conseil d’Etat et la jurisprudence viendront éclaircir les conséquences du texte à l’encontre des "révélateurs" d’un secret.Entreprises, mettez en place une stratégie de prévention efficaceIl faut mettre l’accent sur la prévention, l’anticipation. Même si elle ne répond pas aux attentes des entreprises, la loi, malmenée jusqu’à son entrée en vigueur, a le mérite de faire naître officiellement le secret des affaires en droit français. Elle doit participer à la prise de conscience des entreprises en la matière et les inciter à élaborer une stratégie précontentieuse efficace.L’entreprise n’est pas une forteresse impénétrable. Cela implique de former les personnels de l’entreprise sur les thématiques du secret, notamment quant à l’utilisation de leurs outils...

Reconnaissance de la valeur juridique des mails en tant qu’écrit électronique

Reconnaissance de la valeur juridique des mails en tant qu’écrit électronique
Les transactions électroniques sont dans tous les domaines d’activité. Et depuis la loi du 13 mars 2000, l’écrit sur support électronique avait la même force que celui sur support papier. Un nouveau pas a été franchi dans une décision de la Cour de cassation (Cass. Civ. 1ère 11 juillet 2018 n° 17-10.458) en matière de reconnaissance de l’écrit électronique.Cet arrêt reconnait d’une part, l’échange de courriels comme preuve de la rencontre de l’offre et de l’acceptation si la loi n’impose pas un acte juridique unique (en l’espèce un contrat relatif à l’exercice rémunéré d’une activité sportive) et d’autre part, la validité du message électronique peut par nature constituer l’écrit qui concentre les engagements respectifs des parties.Un échange de courriels en matière de mandat sportifUne société titulaire d’une licence d’agent sportif a assigné une autre société (un club de football) en paiement d’une somme représentant le montant d’une commission qu’elle estimait lui être due en vertu d’un mandat dont bénéficiait cette société aux fins de négocier le transfert d’un joueur. Elle demandait en outre le paiement de dommages-intérêts. L’article L. 222-17 du Code du sport dispose que le contrat doit être écrit et comporter certaines mentions. Toute convention contraire au texte est réputée nulle et non écrite. Or, en l’espèce, le mandat résultait d’un échange de courriers électroniques entre l’agent sportif et la société anonyme sportive professionnelle.Dura lex, sed lexSur le fond, la 1ère chambre civile de la Cour de cassation censure l’arrêt d’appel en ce qu’il avait retenu que les courriels échangés ne sont pas regroupés en un seul et même document qui contient les mentions obligatoires prévues à l’article L. 222-17 du Code du sport. Selon elle, ledit article n’impose pas que le contrat soit établi sous la forme d’un acte écrit unique. « Attendu que, pour rejeter les demandes de la société AGT UNIT, l’arrêt retient que les courriels échangés par les parties, qui ne regroupent pas dans un seul document les mentions obligatoires prévues par l’article L. 222-17, ne sont pas conformes aux dispositions de ce texte ;Qu’en statuant ainsi, alors que l’article L. 222-17 du code du sport n’impose pas que le contrat dont il fixe le régime juridique soit établi sous la forme d’un acte écrit unique, la cour d’appel, en ajoutant à la loi une condition qu’elle ne comporte pas, a violé le texte susvisé ». La solution est tout à fait juste, n’oublions pas le fameux adage « La loi est dure, mais c’est la loi ». Elle constitue aussi un rappel quant au contenu du courrier électronique qui peut caractériser un engagement juridique. L’arrêt du 11 juillet 2018 va encore plus loin puisqu’il ne s’agit pas d’un seul, mais de plusieurs courriers électroniques qui permettent d’établir l’acte juridique engageant les parties.La solution est aussi qu’en matière commerciale (B2B), selon l’article L. 110-3 du Code de commerce, la preuve peut être rapportée par tout moyen, y compris donc par le contenu de plusieurs écrits électroniques. Enfin, s’agissant de la non exigence d’une signature électronique, la décision du 11 juillet 2018 retient l’attention.L’apposition d’une signature électronique n’est pas toujours nécessaireDans l’arrêt du 11 juillet 2018, la Cour d’appel retenait d’autre part, qu’un message électronique ne pouvait par nature constituer l’écrit concernant les engagements respectifs des parties. Cependant, la Cour suprême au visa des articles L. 222-17 du Code du sport et 1108-1 (devenu art. 1174) du Code civil estime « qu’il résulte du dernier texte lorsqu’un écrit est exigé pour la validité d’un acte juridique, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles 1316-1 et 1316-4 (devenus 1366 et 1367) du code civil, alors en vigueur » et de préciser « Attendu que, pour statuer comme il le fait, l’arrêt retient qu’un message électronique ne peut, par nature, constituer l’écrit concentrant les engagements respectifs des parties ; Qu’en statuant ainsi, la cour d’appel a violé les textes susvisés ». Par conséquent, selon la Cour, les mails échangés permettent remplir les exigences de l’écrit : dûment identifier les personnes dont l’acte émane et en garantir l’intégrité (art. 1316-1 du Code civil. Devenu 1366 du Code civil).Les faits rappellent deux arrêts de la Cour d’appel de Caen du 5 mars 2015 (n° 13/03009 et 13/03010) qui avaient consacré le mandat électronique. Cependant, la validité du mandat était suspendue à la validité de la signature de ce dernier. Tel n’était pas le cas dans l’affaire du 11 juillet 2018. Un mail remplit également les conditions de l’article 1316-4 du code civil (devenu article 1367 du Code civil). « La signature nécessaire à la perfection d'un acte juridique identifie son auteur. Elle manifeste son consentement aux obligations qui découlent de cet acte. (…) Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache.(…) ». Mais la preuve contraire de l’absence des exigences de l’écrit et de la signature aurait pu être apportée, ce qui n’a pas été le cas.Adopter une politique contractuelle prudenteCet arrêt rappelle le principe d’équivalence probatoire entre les supports de l’écrit (électronique et papier). Ils ont la même force probatoire mais aussi en qui concerne la validité d’un contrat (toutes les conditions de l’article L. 222-17 du Code du sport étant remplies). La Cour de cassation a fait preuve de pragmatisme. La décision encourage enfin l’utilisation de l’écrit électronique qui est un atout dans les relations...
Data War : l’Europe a-t-elle perdu d’avance ?

Data War : l’Europe a-t-elle perdu d’avance ?

Le Cloud Act : trop c’est trop ?Le 26 mars 2018, Donald Trump signe le Clarifying Overseas Use of Data (désigné par Cloud Act)voté par le Congrès américain, noyé au milieu de la loi sur les dépenses américaines (présentant plus de 2232 pages !). Désormais, les USA disposent d’un cadre légal pour que les agences gouvernementales américaines et certaines autorités fédérales de police aient accès aux données, messages électroniques, documents et communications électroniques, stockés dans des datacenters de sociétés américaines, même si ces derniers sont localisés à l'étranger dans le cadre d’une procédure judiciaire mais sans avoir à recourir à l’US Patriot Act pour des affaires de terrorisme ou d’espionnage international, à l'ECPA pour demander des perquisitions et des saisies de droit commun ou encore à l’accord d’entraide judiciaire conclu en 2003 entre l’Union européenne et les État Unis d’Amérique qui précise que les États membres ne peuvent refuser leur assistance pour des motifs tenant au respect du secret bancaire ou aux règles applicables en matière de protection des données personnelles (art. 9. 2 b). Soulignons tout de même que l’accès aux données s’effectue sans passer devant un juge.Sont ainsi concernés les datacenters situés sur le territoire de l’Union européenne des sociétés comme Microsoft, Google, IBM, AWS, Salesforce, Oracle... qui ont pourtant fait d’énormes efforts financiers pour paraître plus vertueuses et plus soucieuses de la protection des données de leurs clients européens. Certaines d’entre elles comme Microsoft ont défendu leurs positions en faveur du non accès aux données situées en dehors du territoire américain devant les tribunaux et Cour américaines jusqu’à la signature du Cloud act.Le patriotisme numérique américain Bien sûr, des gardes fous existent comme cette faculté offerte aux prestataires de Cloud US de contester la démarche diligentée par l’Administration américaine :« COMITY ANALYSIS OF LEGAL PROCESS SEEKING CONTENTS OF WIRE OR ELECTRONIC COMMUNICA-TION.—Section 2703 of title 18, United States CodeSection 2703 of title 18 :« A provider of electronic communication service to the public or remote computing service, that is being required to disclose pursuant to legal process issued under this section the contents of a wire or electronic communication of a subscriber or customer, may file a motion to modify or quash the legal process where the provider reasonably believes— ‘‘(i) that the customer or subscriber is not a United States person and does not reside in the United States; and (ii) that the required disclosure would create a material risk that the provider would violate the laws of a qualifying foreign government ».La demande d’opposition d’un prestataire fondée sur ces points devra être portée devant un tribunal américain qui pourra alors casser ou non la demande de transfert de données. Cependant, on ne sait pas si le recours aura un caractère public ou pas. Pour éviter d’enfreindre les lois étrangères (par ex. le RGPD) les États-Unis pourront conclure des accords bilatéraux avec les Etats concernés et, en contrepartie négocier l’accès aux données sur le territoire américain.Suite à la promulgation de cette loi, la Cour Suprême américaine a abandonné les poursuites dans l’affaire qui opposait depuis 2013 Microsoft à la justice US pour l’accès à des courriers électroniques stockés en Irlande. Microsoft s’est même félicité du vote de cette loi en permettant à l’Administration d’accéder aux données si longtemps défendues : « We welcome the Supreme Court’s ruling ending our case in light of the CLOUD Act being signed into to law. Our goal has always been a new law and international agreements with strong privacy protections that govern how law enforcement gathers digital evidence across borders. As the governments of the UK and Australia have recognized, the CLOUD Act encourages these types of agreements, and we urge the US government to move quickly to negotiate them ».De manière plus large, que se passerait-il si les intérêts nationaux (lutte contre le terrorisme, perte de marché) étaient mis à mal par l’opposition d’un prestataire américain ? Le patriotisme numérique ne jouerait-il pas à plein ?Besoin d’une position européenne commune  et cohérenteBien sûr, les questions de protection des données à caractère personnel posées dans le cadre du RGPD militent en faveur d’une souveraineté numérique européenne, les membres du G29 doutant fortement de l’efficacité du Privacy Shield. Il n’est pas douteux que cette réglementation ait fait bouger les Etats Unis en faveur du vote du Cloud Act. D’ailleurs, les Etats membres de l’Union européenne n’ont rien trouvé à redire au Cloud Act. Bien au contraire. Ils réfléchissent à comment disposer des données concernant leurs ressortissants nationaux stockées sur le sol américain ou par des providers US. A ce titre, la proposition de Règlement relative au cadre applicable en matière de liberté des flux de données non personnelles dans l’Union Européenne tend à bannir toute « exigence de localisation des données » entendue comme « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives des États membres, qui impose la localisation du stockage ou du traitement des données sur le territoire d’un État membre donné ou qui entrave le stockage ou le traitement des données dans un autre État membre » sans préciser les règles qu’ils entendent appliquer à des prestataires étrangers situés sur le sol européen.Là où les Etats Unis se sont dotés d’un moyen d’accéder aux données situées hors...

Validation du système d’identification par reconnaissance faciale de Boursorama par la CNIL

Validation du système d’identification par reconnaissance faciale de Boursorama par la CNIL
L’utilisation de procédés innovants ne cesse de croître. Objectif affiché : faciliter les démarches quotidiennes, fiabiliser les procédures de souscription ou d’inscription diverses et variées, gagner du temps ...  et dans cette course aux innovations impactant le marché, le secteur bancaire n’est pas en reste …UNE OUVERTURE DE COMPTE SOUS 24 HEURESBoursorama a souhaité lancer un parcours « flash » pour souscrire un compte à distance via une application téléchargeable dédiée et à usage unique reposant sur un système d’identification par reconnaissance faciale des prospects.Première étape de l’ouverture de compte : la communication des renseignements et justificatifs nécessaires (titre d’identité, coordonnées, résidence fiscale). Deuxième étape : l’identification du prospect qui s’appuie sur une comparaison opérée par l’application entre la photographie officielle de la pièce d’identité qu’il a fourni et l’autoportrait qu’il réalise sur son terminal au moment de l’entrée en relation. Dans ce contexte, l’ouverture d’un compte bancaire pourra être réalisée dans un délai de 24 h, contrairement à la procédure classique (10 à 20 jours).SECOND FEU VERT DE LA CNILCe n’est pas la première fois qu’une banque recourt à la biométrie comme nouveau procédé d’identification de ses prospects. De fait, la Société Générale, société mère de Boursorama, avait déjà obtenu de la CNIL l’autorisation de mettre en œuvre un système d’identification par reconnaissance faciale à partir d’une application mobile [délibération du 14 septembre 2017]. Ce dispositif reposait sur la vérification de l’authenticité des documents transmis par le prospect (score de vraisemblance), la comparaison entre le « selfie dynamique » réalisé par le prospect sur son portable et la photographie figurant sur la pièce d’identité communiquée (premier score de probabilité de correspondance), et, dans un troisième temps, une nouvelle comparaison entre la photographie figurant sur la pièce d’identité communiquée et les photographies issues de l’entretien vidéo du prospect avec le conseiller de la banque (second score de probabilité de correspondance). L’ouverture de compte était in fine validée par le conseiller bancaire en fonction des trois scores, de la vérification des pièces et de son impression générale liée à l’entretien vidéo.QUID DE BOURSORAMA ? Boursorama a décidé de soumettre à la CNIL son système d’identification par reconnaissance faciale des prospects en ligne. La CNIL a répondu positivement à la demande d’autorisation dans une délibération n°2018-051 du 15 février 2018. Concrètement, le dispositif validé s’appuie sur la communication des diverses informations requises pour ouvrir un compte, dont la pièce d’identité du prospect. Ce dernier est alors invité à réaliser un autoportrait qui fera l’objet d’une comparaison biométrique avec la photographie officielle, l’objectif étant de produire un score de ressemblance entre 0 et 1. En cas de validation de l’identité du prospect, le prospect pourra donc choisir le produit bancaire qu’il souhaite, procédera à la signature électronique de sa demande d’ouverture de compte et recevra dans les 24 heures une URL le dirigeant vers son espace client. Ce qui est donc novateur et différent du système proposé par la Société générale est que la décision est ici entièrement automatisée. A ce titre, et conformément à l’article 22 du Règlement général sur la protection des données (RGPD), la CNIL relève que les prospects doivent donner leur consentement avant toute utilisation du service et qu’ils peuvent le retirer à tout moment du processus et s’orienter vers un parcours de souscription en ligne classique.QUELLES GARANTIES ? La mise en œuvre d’un tel système d’identification par reconnaissance faciale nécessite l’adoption de garanties appropriées pour la sécurité et la confidentialité des données concernées. A titre principal, la CNIL relève que les gabarits générés afin de procéder à la comparaison des deux photographies sont conservés en mémoire vive, « uniquement le temps du traitement du dispositif de comparaison, soit 3 secondes en moyenne ». Seul le score sur la validité de l’authentification est conservé pour permettre la poursuite du parcours. De plus, en cas d’interruption du processus d’entrée en relation, la purge des données est automatique. Par ailleurs, l’accès aux données est strictement encadré pour le personnel de Boursorama et celui de ses sous-traitants. Enfin, Boursorama s’est engagée à prendre plusieurs mesures de sécurité compte tenu de la spécificité du traitement mis en œuvre dont la mise en place d’une mesure de « détection de vie » permettant de s’assurer que l’autoportrait réalisée est celui d’une personne vivante et le chiffrement des données sensibles lors des échanges avec les sous-traitants. UNE ANTICIPATION DU RGPD Pour rappel, « les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes » sont soumis à autorisation spécifique de la CNIL en vertu de l’art. 25-I-8° de la Loi « Informatique et Libertés » modifiée. Si cette formalité disparaît avec le RGPD, il n’en reste pas moins que le Règlement confirme le principe d’interdiction de traiter librement des données biométriques (art. 9 du RGPD), principe également repris par l’actuel projet de loi sur la protection des données personnelles. Sésames de la mise en œuvre de ce type de traitement : la nécessité de recueillir le consentement de la personne concernée (art. 9-2-a) du RGPD) et l’obligation faite au responsable de traitement de réaliser une analyse d’impact (art. 35 du RGPD). C’est ce qu’a fait Boursorama.Boursorama...

Les obligations du fournisseur de solutions informatiques : de la rigueur technique au rigorisme juridique

Les obligations du fournisseur de solutions informatiques : de la rigueur technique au rigorisme juridique
Les faits de l’arrêt : un litige entre « initiés » ? La décision rendue par la Cour d’Appel de Paris portait sur la mise en place d’une suite logicielle relative à des prestations de services de sécurité. Elle a condamné le fournisseur pour manquement à ses obligations dans un litige qui opposait pourtant deux sociétés du domaine informatique. Le fournisseur, spécialisé dans l’édition de logiciels de sécurité de gestion d’identité numérique et de signature électronique avait développé un logiciel spécifique. Le contrat portait sur l’utilisation et la maintenance du logiciel contre redevances au profit d’une société opératrice de services de certification électronique qui développe et commercialise des solutions de sécurité des flux numériques. Or, la société cliente avait cessé de régler ses factures à la fin de la première année et demi du contrat après avoir notifié à sa cocontractante que la suite logicielle proposée ne remplissait pas ses fonctions et qu’elle avait entraîné des coûts et des retards. Cela a conduit le fournisseur à assigner en paiement sa cliente en vue du règlement de ses factures. Elle fut déboutée de sa demande en première instance au motif que le fournisseur d’une prestation informatique a un devoir de conseil, de renseignement et de mise en garde, que la délivrance est à la charge du fournisseur de solutions informatiques et que les dysfonctionnements sont apparus dès le début de l’exécution du contrat. Le fournisseur de prestations informatiques a donc fait appel. La qualité du client est indifférente pour l’exigence du devoir de conseilLa Cour d’appel de Paris confirme le jugement : « Ces sociétés ont certes chacune une activité dans le domaine informatique mais il n'est pas pour autant établi par l'appelante que la société intimée dispose d'une compétence lui donnant les moyens d'apprécier la portée exacte des caractéristiques techniques du dispositif en cause ». La société prestataire est condamnée à des dommages et intérêts au titre du préjudice financier subi par sa cliente. La société cliente a été condamnée à la destruction ou à la restitution du logiciel, sans astreinte. On observera que la société cliente était tenue contractuellement à ladite destruction ou restitution. Ce n’est pas parce que la cliente était dans le domaine informatique, que le fournisseur n’était pas tenu à une obligation de conseil et de mise en garde dans la mesure où les technologies en cause étaient très spécifiques et complexes ; elles nécessitaient des compétences techniques dont la cliente ne disposait pas. Dans un arrêt du 6 mai 2003, la Cour de Cassation a jugé que le fait « que l'UGMR était dotée d'un service informatique interne actif et compétent dès lors que les informaticiens de l'UGMR ne disposaient pas de toutes les compétences nécessaires, s'agissant de l'installation de logiciels spécifiques, ce qui justifiait le recours par l'UGMR à une société prestataire externe ». C’est donc la nature du contrat qui génère l’obligation de conseil qui engage le fournisseur (ou le prestataire de service informatique), charge à ce dernier de rapporter la preuve de la compétence spécifique du client pour s’exonérer ou atténuer de cette obligation.Les obligations en triptyque du fournisseur Selon l’arrêt de la Cour de cassation précité, « en sa qualité de prestataire informatique et de professionnelle avertie, la société Promatec était tenue d'un devoir de conseil, qu'elle se devait notamment, connaissant l'activité de l'UGMR et son environnement particulier, d'envisager les risques de l'absence de définition précise des besoins pour le projet concerné et de s’enquérir des informations nécessaires ».L’obligation de conseil s’applique pendant toute la durée des pourparlers et du contrat. Elle se manifeste par un exposé précis des éléments qui permettent au client de choisir la meilleure solution en fonction de ses besoins. Le fournisseur s’informe des besoins de son co-contractant et il est toujours débiteur d’une obligation de conseil. L’obligation de conseil se matérialise par le fait de se renseigner préalablement sur les besoins du client et notamment de l’informer sur les diverses contraintes techniques que le prestataire va mettre en place. Elle nécessite une plus grande rigueur à l’égard des clients non-professionnels.L’obligation de mise en garde est une déclinaison du devoir de conseil. Son manquement se caractérise notamment lorsque le prestataire informatique manque à son obligation d’informer le client des erreurs, incompatibilités matérielles ou logicielles, risques et difficultés de fonctionnement du système envisagé quant à la mise en œuvre des prestations. Il peut s’agir par exemple d’une méprise de conception ou d’erreurs ou de manques figurant dans le cahier des charges. L’obligation de délivrance conforme correspond à la délivrance de la chose expressément stipulée par les parties dans le contrat. L’acquéreur doit dénoncer le défaut de conformité dans un délai raisonnable, qui varie selon la nature de la chose. Le document contenant la description des fonctionnalités attendues prend la forme d’un cahier des charges dont la rédaction est vivement recommandée. S’agissant de la réparation du préjudice du client, les juges ont pris en compte : le temps passé sur le projet, la perte de chiffre d'affaire, les frais exposés pour la mise en œuvre par un client du client, le remboursement des prestations payées d'avance mais pas correctement exécutées (total : 179.526 €).Le contrat, outil de pilotage du projet…et voûte-parapluie en cas de litigeLe contrat informatique est également un outil de pilotage du projet et à ce titre, les précisions et informations sur les prestations, le système cible,...

Fisc : peut-on détruire les factures papier une fois numérisées ?

Fisc : peut-on détruire les factures papier une fois numérisées ?
Cela signifie que les entreprises n’auront plus à conserver le « double original » des factures de vente créées sous forme informatique et transmises sur support papier :soit en conservant un double papier de la facture transmise, ce qui suppose l’impression de deux documents : l’original de la facture destiné au client et son double papier qui doit être archivé par le fournisseur ;soit en conservant un « double électronique » de cette facture (§ 10 jusqu’au 30 juin 2018).Du double original au transfert de la facture émise sous forme papierMais la fin de cette tolérance ne signifie pas pour autant la fin de la numérisation des factures émises sous forme papier. Bien au contraire. Le BOFIP précise : « Ainsi, à compter du 1er juillet 2018, les factures papier émises (de vente) pourront être conservées sur support informatique en respectant les conditions mentionnées à l'article A. 102 B-2 du LPF ». Cet article doit être perçu comme une aubaine pour les entreprises puisqu’il indique : « I. – Le transfert des factures établies originairement sur support papier vers un support informatique est réalisé dans des conditions garantissant leur reproduction à l'identique. Le résultat de cette numérisation est la copie conforme à l'original en image et en contenu.Les couleurs sont reproduites à l'identique en cas de mise en place d'un code couleur. Les dispositifs de traitements sur l'image sont interdits.En cas de recours à la compression de fichier, cette dernière doit s'opérer sans perte ».Il est fait état d’un transfert et non d’une duplication de la facture, ce qui semble induire la possibilité de destruction des factures papier !Peut-on détruire les factures d’origine sous forme papier ?Tout d’abord, une précision : A aucun endroit du BOFIP du 7 février 2018, il n’est fait état de destruction des factures d’origine sous forme papier. Pourtant le titre de cette chronique est loin d’être un simple moyen d’attirer l’attention de l’internaute mais traduit une réelle interrogation issue de la lecture du BOFIP et de son § 107 « La facture d'origine c'est à dire celle émise et transmise dans son format initial reste la pièce justificative pour la déduction de la TVA.L'archivage numérique de cette facture est considéré comme la copie identique de cette facture et peut dès lors être considéré comme une pièce justificative valable pour la déduction de la TVA à la condition que les modalités de numérisation des factures papier fixées à l'article A. 102 B-2 du LPF sont respectées. Ainsi, en application du 3° du I de l'article 286 du CGI et du troisième alinéa du I de l'article L. 102 B du LPF, la facture papier ainsi numérisée dans les conditions fixées à l'article A. 102 B-2 du LPF […] constitue une pièce justificative relative à des opérations ouvrant droit, d'un point de vue fiscal, à une déduction en matière de taxes sur le chiffre d'affaires.Dans l'hypothèse où le contribuable présente à l'administration une facture numérisée qui ne remplit pas ces conditions, ce dernier est alors tenu de la présenter sous forme papier.Si le contribuable n'est plus en possession de la facture papier, l'administration n'est pas en mesure de s'assurer de l'authenticité de la facture conformément à l'article 289 du CGI. Concernant les conséquences de l'absence de facture, il convient de se reporter au I-A § 55 et suivants du BOI-TVADED-40-10-10 ».Ce texte reconnaît donc expressément que la facture papier numérisée conformément à l’article A.102-B-2 du LPF constitue une pièce justificative au même titre que la facture d’origine. Mais attention, la facture en question doit être numérisée selon les modalités visées par cet article. Ainsi un simple scan de facture non scellé au sens de cet article et dont le processus de numérisation n’est pas documenté ne saurait valoir comme pièce justificative. A défaut, l’entreprise devrait produire la facture papier.Concernant le cas où le contribuable n’est plus en possession de la facture papier, notamment s’il l’a détruit, le dernier paragraphe du § 107 est sujet à deux interprétations :Soit, c’est uniquement pour les factures mal numérisées du § précédent et dans ce cas-là, le scan de la facture n’est pas une pièce justificative et il est normal que l’Administration fiscale sanctionne le contribuable ;Soit, c’est pour toutes les factures numérisées et dans ce cas-là, quelle serait l’utilité de la fin de la tolérance du « double original » ?Nous gageons que c’est la première interprétation – la plus cohérente avec les intérêts de la transformation digitale appelée des vœux par le  législateur et le pouvoir normatif avec la norme Z 42-026– qui devrait être retenue et ainsi permettre – sous conditions (et documentations) – la destruction des factures papier. Il reste à voir comment mettre en œuvre ces procédés, notamment par rapport au traitement des couleurs des factures numérisées, comment les documenter et comment faire en sorte que l’Administration fiscale en reconnaisse la valeur.Pascal AGOSTIAvocat associéDocteur en droitCaprioli & Associés, Société d’avocats membre de JURISDEFI

RGPD/GDPR : Le chemin vers la conformité

RGPD/GDPR : Le chemin vers la conformité
Le Règlement Général sur la Protection des Données n° 2016/679 du 27 avril 2016 entrera en application le 25 mai 2018. En attendant, le projet de loi « Informatique et libertés 3 » (renvoyant au RGPD) va bientôt être adopté, mais ce texte devrait être modifié par ordonnance afin d’apporter la clarté et la lisibilité à ce texte fondamental pour la protection de la vie privée en France. Tous les responsables de traitements devront y être conformes, de la PME à la multinationale, de la petite commune aux grandes administrations. La CNIL propose une démarche en 6 étapes, d’autres en 7, 8 ou 10, peu importe le flacon pourvu que l’on parvienne à la conformité !On observera en liminaire que la conformité au règlement doit être entendue au regard du « juridico-tech système » tant la réalité documentaire est plurielle. En effet, nonobstant le RGPD, il conviendra de prendre en compte la future loi « Informatique et Libertés - 3 » (en projet), le futur règlement e-privacy, la jurisprudence judiciaire et administrative, sans oublier celle de la Cour de justice de l’Union européenne, mais aussi les délibérations des autorités de contrôle du pays, (v. missions : art. 57 du RGPD,) les décisions du Comité européen de la protection des données (v. missions : art. 70 du RGPD), et enfin les normes telles que l’ISO 27001 étendue à la vie privé (en préparation). C’est dire si la documentation est riche et complexe, a fortiori si l’on est confronté à des implantations internationales. Il n’empêche que la démarche vers la conformité doit être rigoureuse pour arriver à bon port. Nous proposerons de baliser le chemin en cinq points.1°) Désignation d’un pilote du projet de mise en conformitéLa première des choses à faire : désigner un chef de projet de la mise en conformité au RGPD/GDPR. Cette personne aura pour mission de piloter le projet : entendons-nous, une gestion de la mise en conformité en mode projet. Cette personne peut être le Correspondant Informatique et libertés (CIL), s’il a été désigné ou s’il en exerce les fonctions. Elle devra faire appel à des compétences internes diverses ce qui le rapprochera de la sécurité des systèmes d’information, du juridique et des métiers. Cette personne aura également pour mission d’étudier la désignation du Délégué à la Protection des Données (DPD/DPO) et d’établir sa fiche de poste.2°) Cartographie des traitements de données personnellesIl s’agira d’identifier et d’analyser l’ensemble des traitements de données à caractère personnel mis en œuvre par l’organisation dans le cadre de ses activités en fonction de la nature des traitements (finalité, fondement juridique,…) et des catégories de données collectées et traitées.Le but de cette première étape est de déterminer le contexte dans lequel s’inscrivent les traitements : contexte interne (métiers concernés, niveau de maturité des intervenants sur les traitements, mesures de protections mises en œuvre, …), contexte externe (secteur d’activités clients, rôle des partenaires,…) ainsi que les opérations réalisées dans le cadre des traitements tels que notamment les interconnexions, sous-traitance et transferts internationaux de données.Cette étape nécessite la transmission de tous les documents utiles relatifs aux traitements  de données (ex : description, processus). 3°) Cartographie des responsabilités respectives des parties prenantes  La détermination du rôle des intervenants sur les traitements constituera le point de départ de cette étape. Pour ce faire, il conviendra de s’appuyer sur les opérations réalisées telles que par exemple : la fourniture de données (« Data provider ») ou l’hébergement du Système d’Information.Dans ce contexte, il conviendra d’analyser la qualité des parties (Responsable de traitement/clients/partenaires/sous-traitants) afin de situer le statut respectif des intervenants (responsable de traitement / sous-traitant) et les responsabilités qui seront imparties à chacun d’eux. D’importantes conséquences juridiques en découleront ne fut-ce qu’en terme de sanctions de l’autorité de contrôle, pénales voire civiles.4°) Evaluation de la conformité légaleLes mesures et les moyens adoptés pour la mise en œuvre de la gestion des traitements de données personnelles devront être analysées. Il sera tout particulièrement tenu compte des facteurs suivants : du respect des principes de protection (sécurité, confidentialité, respect des droits …) ; de l’organisation de la gouvernance de traitement (circulation de l’information sur le traitement de données, informations des personnes concernées, points de contact,…) ;et des Labels / certifications (normes ISO, labellisation CNIL).5°) Recommandations et plan d’action stratégique pour la mise en conformité légaleAu vu du cadre légal et réglementaire applicable au responsable de traitement pour la protection des données à caractère personnel (France, Union européenne et international), cette dernière étape consistera à présenter les actions stratégiques à mettre en œuvre ainsi que la définition d’un ordre de priorité. A toutes fins utiles, en fonction des résultats des analyses issues des points 1, 2 et surtout 3, il sera envisagé de prioriser les actions suivantes : Sensibilisation à la réglementation applicable des métiers concernés (formation, guide, jeux vidéos, …);Implémentation des nouveaux outils de gouvernance : désignation d’un Délégué à la protection des données avec le bon niveau hiérarchique avec le cas échéant les points de contacts associés.Intégration des nouvelles obligations :Accountability (documentation de la conformité)Privacy by design / Privacy by defaultAnalyse d’impact sur la vie privée pour les traitements à risques (ex...

Baromètre du CESIN 3ème édition (2018)

Baromètre du CESIN 3ème édition (2018)
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) est un lieu d’échanges dédié aux experts de la sécurité et du numérique au sein de grandes entreprises. Alors que les cyber-attaques continuent d’augmenter (ransomware et autres malwares, déni de service, usurpation d’identité, piratage de données personnelles, etc.), il est impératif de faire face aux cyber-risques avec des solutions techniques qui gagnent en efficacité mais qui restent perfectibles.Cela est d’autant plus vrai que la transformation digitale multiplie les risques cyber. La gestion des risques cyber se complique par la mise en conformité au RGPD/GDPR. Il s’agit également d’accompagner l’élan impulsé par le RGPD/GDPR pour refonder la gouvernance des données.La première grande enquête auprès de ses membres sur la cybersécurité a été lancée en 2015 par le  CESIN, avec OpinionWay ,a lancé en 2015 afin de connaître:l’état de l’art et la perception de la cyber-sécurité et de ses enjeux au sein des entreprises membres du CESINla réalité concrète de la sécurité informatique des grandes entreprises en apportant de nouvelles données sur l’impact de la transformation digitale des entreprisesQuatre grandes thématiques sont étudiées : Contexte et objectifs de l’étude Méthodologie de l’étudeMessages clés RésultatsEric A. CAPRIOLI est Vice-Président du CESIN.

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket

Le Ransomware ou l’avènement de la prise d’otage numérique, une nouvelle forme de racket
Les menaces cyber en croissance exponentielle. La cybercriminalité se développe constamment que ce soit de façon quantitative ou qualitative. Les attaques prennent des contours très variés et en constante évolution. La société Symantec dans son rapport annuel de 2015 sur l’évolution des menaces informatiques dans le monde a souligné l’augmentation de plus de 36% des logiciels malveillants (ou malwares) par rapport à 2014 (en 10 ans, on serait passé d’environ 22.000 à 430 millions de logiciels malicieux). Cela peut aussi se traduire par du piratage de données plus ou moins sensibles, comme par exemple Ashley Madison (site de rencontres extra-conjugales avec 37 millions d’utilisateurs concernés) ou le fabricant de jouets connectés VTech (soit 6,3 millions de profils d’enfants dont 1,2 million d’enfants français). OS Microsoft, Mac, Linux, Androïd, Apps, tous les terminaux (Ordinateurs fixes et mobiles, téléphones portables et smartphones, tablettes, IOT) et tous les systèmes sont visés par des « malwares ». Il n’en demeure pas moins que c’est bien la recrudescence des « ransomwares » qui marque les deux dernières années. Pour la France, le baromètre de la cyber-sécurité des entreprises de Janvier 2016 du Club des Experts de la Sécurité de l’Information et du Numérique constate que 61% des entreprises  interrogées ont été victimes de demandes de rançons. On a recensé 391.000 attaques de ce type en France ! Tout récemment, le malware Wanacry en mai 2017 a affecté de nombreuses entreprises industrielle dont Renault et des établissements publics comme des hôpitaux dans une centaine de pays dans le monde. Quelques semaines plus tard, ce fût au tour du ransomware Petya de se propager en Europe et aux Etats-Unis, dont en France l’industriel Saint Gobain. Selon les experts en sécurité, ce dernier cacherait en fait un « wiper », c’est-à-dire un malware visant à effacer les données des postes visées, sans qu’il soit possible de les récupérer. C’est dire si les risques et les dommages potentiels liés aux ransomwares sont importants !Qu’est-ce que le Ransomware ? Le ransomware est un logiciel malveillant qui a la particularité de prendre en « otage » des données d’une entité en les chiffrant ou de bloquer l’accès à une machine à tout utilisateur. Pour déchiffrer les données avec une clé cryptographique ou disposer de l’équipement ou de la clé permettant de déverrouiller la machine, la victime doit verser une somme d’argent, qui, le plus souvent, s’effectue à l’aide de Bitcoins. En mars 2016, l’AFP a été victime de deux tentatives avec le ransomware Locky qu’elle a déjoué sans payer la rançon. A côté de ces procédés reposant sur du chiffrement, il existe d’autres procédés apparentés sans utilisation de produits cryptographiques qui par exemple, orientent la victime vers des numéros gratuits mais qui sont en réalité surtaxés ou de faux techniciens supports de Microsoft qui imitent des pages d’erreurs et bloquent l’ordinateur avec une prise de contrôle à distance par le biais de  Team Viewer. Parmi les ransomwares les plus connus, on peut citer Cryptowall (actuellement la V.4.0) ou TeslaCrypt, et plus récemment Samsam qui s’attaque aux serveurs utilisant Jboss ou encore Wanacry et Pethya. Quels risques juridiques ? Les risques juridiques sont de natures diverses. Parmi eux, on citera non seulement les pertes de données à caractère personnel, mais également la préservation de la sécurité des données afin notamment qu’elles ne soient pas déformées, endommagées ou que des tiers non autorisés y aient accès (art. 34 de la loi Informatique et Libertés du 6 janvier 1978) sous peine de sanctions de la CNIL ou de sanctions pénales (art. 226-17 du code pénal : 300.000 euros d’amende et 5 ans de prison). Cependant, avec le nouveau Règlement européen (RGPD) n°2016/679 du 27 avril 2016 sur la protection des données, applicable à compter du 25 mai 2018, toutes les entreprises petites et grandes, ainsi que les collectivités publiques auront l’obligation de notifier les violations de données à caractère personnel à leur autorité de contrôle (la CNIL pour la France), contrairement à la loi « Informatique et libertés » du 6 janvier 1978 actuellement en vigueur qui ne vise que les fournisseurs de services de communications électroniques en vertu de l’article 34 Bis. Selon l’article 33 du RGPD, cette notification doit intervenir dans les 72 heures à compter de sa connaissance auprès de l’autorité de contrôle et lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne, la notification à la personne concernée doit s’opérer dans les meilleurs délais (art. 34 du RGDP). Il convient de souligner que les sous-traitants, tels que les prestataires de services dans le cloud computing ou de services de confiance auront également l’obligation de notifier sans délai au responsable de traitement (le client) dès qu’ils ont connaissance de la violation. Les fondements juridiques des poursuites judiciaires. Le droit n’est pas sans réponse. En effet, le code pénal dispose d’un arsenal apte à répondre à ces menaces. A ce titre, le dispositif légal consiste à réprimer les atteintes aux systèmes d’information prévues aux articles 323-1 et 323-2 du code pénal : introduction, maintien frauduleux dans un système d’information, altération du fonctionnement du SI. Les sanctions varient entre 2 et 5 ans d’emprisonnement et entre 60 et 150.000 euros d’amende (sauf si c’est un SI de l’Etat, les sanctions sont plus fortes). Mais pour le ransomware, ce sera plutôt l’article 323-3 du code pénal qui jouera : « le fait d’introduire frauduleusement des données » dans un SI, « d'extraire, de détenir,...
Transposition de la Directive Services de Paiement : quelles nouveautés en Droit français ?

Transposition de la Directive Services de Paiement : quelles nouveautés en Droit français ?

Qu’apporte cette Ordonnance pour les agréments des prestataires et la supervision du marché ?  Transposant la DSP 2 en droit français, l’Ordonnance complète les conditions d’octroi de l’agrément des établissements de paiement, à savoir des personnes morales autres que les établissements de crédit et de monnaie électronique qui fournissent à titre de profession habituelle des services de paiement, tels que les versements ou retraits d'espèces, les prélèvements, les opérations de paiement effectuées avec une carte, les virements, ou les transmissions de fonds. En outre, pour les établissements dont la moyenne mensuelle de la valeur totale des opérations de paiement ne dépasse pas 3 millions d'euros, un agrément simplifié est ouvert. Les dispositions relatives aux établissements de monnaie électronique sont également adaptées, et ce dans les mêmes conditions.En matière de supervision des activités transfrontalières, les pouvoirs de l'Autorité de contrôle prudentiel et de résolution (ACPR) sont renforcés, cette dernière pouvant désormais prendre des mesures conservatoires en cas d'urgence à l'égard des établissements agréés dans un autre Etat membre de l'Union européenne et exerçant leur activité en France, lorsqu'une action immédiate est nécessaire pour contrer une menace grave pour les intérêts collectifs des utilisateurs de services de paiement.En matière de nouveaux services ? Deux nouveaux services de paiement sont intégrés dans le Code monétaire et financier, à savoir :les services d'information sur les comptes, qui permettent à l'utilisateur de services de paiement d'avoir une vue d'ensemble de sa situation financière à tout moment et de gérer au mieux ses finances personnelles, et les services d'initiation de paiement, qui permettent aux consommateurs de payer leurs achats en ligne par simple virement, tout en donnant aux commerçants l'assurance que le paiement a été initié de sorte que les biens peuvent être livrés ou les services fournis sans délai. La fourniture de chacun de ces services représentant un risque modéré en raison de l'absence de détention de fonds par leurs prestataires, ces activités bénéficient d'un régime prudentiel dérogatoire - absence de capital initial et, pour les prestataires de services d'information sur les comptes, absence de fonds propres. Les dispositions relatives à leur régime quant aux obligations relatives à la lutte contre le blanchiment et le financement du terrorisme sont également précisées dans le cadre de cette ordonnance.On notera en parallèle que les prestataires de ces nouveaux services disposant d’un régime juridique légal sont souvent considérés comme des fintech. D’autres types de services émergent qui sont désormais objets de l’attention de l’Autorité Bancaire Européenne. Un renforcement des droits et obligations des utilisateurs. Désormais, les utilisateurs de moyens de paiement voient leur responsabilité réduite de 150 euros à 50 euros en cas de paiements non autorisés, c'est-à-dire de paiements consécutifs à un vol, une perte ou un détournement de l'instrument de paiement. Les utilisateurs doivent également être informés sans délai des incidents opérationnels et de sécurité majeurs - c'est-à-dire des incidents affectant le fonctionnement de l'établissement ou la sécurité de l'opération de paiement - lorsque l'incident est susceptible d'avoir des répercussions sur leurs intérêts financiers. Enfin les utilisateurs de services de paiement doivent être informés des procédures de réclamation existantes, ainsi que des procédures de règlement extrajudiciaire en cas de litige.Un dernier point et non des moindres : l’authentification forte. Pour renforcer la sécurité pour les paiements électroniques et la protection des données financières des consommateurs, le Code monétaire et financier intègre désormais des dispositions sur l'authentification forte du client. Elle consiste à vérifier l'identité du payeur lors de l'opération de paiement, suivant des conditions précisées par l'Autorité bancaire européenne. Pour l’heure, les standards techniques relatifs à l’authentification forte ne devraient pas tarder à être publiés. On retiendra ainsi que l’authentification forte repose sur l'utilisation de deux éléments ou plus appartenant aux catégories "connaissance" (quelque chose que seul l'utilisateur connaît), "possession" (quelque chose que seul l'utilisateur possède) et "inhérence" (quelque chose que l'utilisateur est) et indépendants en ce sens que la compromission de l'un ne remet pas en cause la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d'authentification.De plus, certaines des méthodes actuelles d’authentification à double facteur comme l’OTP SMS sont en train d’être battus en brèche pour des raisons de sécurité technique, mettant ainsi en valeur les facteurs d’authentification biométriques comme les reconnaissances vocale ou faciale, reconnues plus fiables. L’entrée en vigueur des nouvelles dispositions du Code monétaire et financier est prévue le 13 janvier 2018, à l'exception de dispositions transitoires prises conformément à la directive eu égard à l'entrée en vigueur différée de normes techniques de réglementation.Aux établissements bancaires, financiers et aux compagnies d’assurance maintenant de prévoir les évolutions requises par cette nouvelle législation en conjonction avec les exigences de privacy by design prévues dans le RGPD. Pascal AGOSTI, avocat au Barreau de Nice, Docteur en droit

Identité numérique sous « emprise » : le code pénal en force !

Identité numérique sous « emprise » : le code pénal en force !
S’il est vrai que certains donnent mandat à un tiers professionnel (exemple : un webmaster d’un site dédié à la communication d’une personne) pour gérer leur image virtuelle, l’usage indu et non autorisé des attributs de notre identité sur le net - qui plus est à mauvais escient - relève de l’offense et de l’atteinte inacceptables. C’est l’expérience amère et parfois hautement préjudiciable qu’ont pu faire un nombre inexorablement croissant de personnes à travers le monde au gré de toutes les formes d’usurpation d’identité : usage détourné du nom, de l’état civil, des titres, des données personnelles, de l’image, etc. Plus près de nous, en 2014, l’affaire Rachida Dati avait mis un coup de projecteur intéressant sur la problématique en portant sur les fonts baptismaux des prétoires, l’article 226-4-1 du Code Pénal réprimant expressément l’infraction d’usurpation d’identité numérique.En novembre 2016, la Cour de Cassation a clôturé cette affaire de référence en ouvrant la porte à d’autres questionnements. Rappel du baptême du feu de l’article 226-4-1 du Code pénal. L’espèce concernait un informaticien ayant créé une réplique du site officiel de la Député-Maire du VII arrondissement de Paris (reprise de la photographie, mise en page et des éléments graphiques propres au site officiel) et ayant profité d’une faille de sécurité de type XSS pour permettre la navigation des internautes du site officiel vers son avatar sans s’en rendre compte, comme s’il s’agissait du même et unique site. Or, ledit faux site permettait précisément à tout internaute plus ou moins bien intentionné à l’endroit de la victime de « rédiger un texte court  et de l’afficher sous la forme d’un communiqué de presse présentant l’aspect du site officiel », le tout étant enrichi par la possibilité de publier « via les réseaux sociaux Twitter et Facebook un lien affichant les faux communiqués de presse de la députée-maire présentant l’apparence d’être hébergés sur son site officiel ». La promotion du site factice avait été assurée, notamment, par l’envoi d’un lien auprès des 4.000 contacts Twitter du prévenu. Résultat : en apparence, le site officiel de Madame Rachida Dati charriait des messages apocryphes, à caractère obscène, injurieux, diffamatoire ou bien politiquement compromettant pour la victime. L’affaire « Dati » confirme l’extension du domaine de la lutte contre l’usurpation d’identité. Si le Tribunal de Grande Instance de Paris a retenu aussi bien l’usurpation d’identité numérique que l’introduction frauduleuse de données dans un STAD, la Cour d’Appel de Paris, en novembre 2015, a réformé partiellement la décision en écartant ce dernier fondement. Il est vrai que la faille de sécurité offrait un argument de repli opportun puisque l’accès frauduleux est hypothéqué par la négligence du concepteur du site.Il n’en demeure pas moins que sur les critères constitutifs de l’infraction telle que définie par l’article 226-4-1 du code pénal, tout y est !L’élément matériel prend sa consistance, notamment, dans la reprise de la photographie de la victime et de la charte graphique d’origine du site officiel, c’est-à-dire dans la reprise de données permettant d’identifier la personne. Il n’est donc pas forcément nécessaire que les éléments « primaires » de l’identité (le nom et le prénom) soient concernés, corroborant ainsi le caractère extensif de la notion d’identité numérique au sens du code pénal français. L’élément moral, quant à lui, était cristallisé par de multiples indices dont la tolérance et la favorisation de la publication de faux communiqués de presse aux contenus explicitement attentatoires à l’honneur et à la dignité de la victime. Quand bien même le principal prévenu ne serait pas l’auteur, son intention de nuire ne faisait aucun doute. L’usurpation d’identité exclusive de la liberté d’expression ? Par un arrêt relativement lapidaire en date du 16 novembre 2016, la Cour de Cassation vient donc de clore cette affaire par la confirmation de la condamnation de l’informaticien « indélicat » sur le fondement de l’usurpation d’identité numérique. Au-delà de la concision du libellé de l’arrêt, il convient de relever que la Cour de Cassation retient que l’infraction est « exclusive de l’application de l’article 10 de la Convention européenne des droits de l’homme ». Peut-on en déduire que le fait d’usurper l’identité numérique d’une personne par quelque biais que ce soit – éléments d’identité ou données d’identification - vicie nécessairement tout acte ou démarche fondée sur la sacro-sainte liberté d’expression ?Il faudra certainement plus de recul pour pouvoir être aussi tranché. Mais, en tout état de cause, en l’espèce, rien n’aura donc résisté à la qualification de l’article 226-4-1 du code pénal, pas même les ressorts pourtant éprouvés de la liberté d’expression. La défense n’avait pas lésiné sur l’argument de l’humour et de la parodie satirique pour convaincre les différentes instances. En vain !Les juges mobilisés face à des risques de démembrement et de perversion de l’identité. Depuis les premiers « actes » de cette affaire « Dati », la jurisprudence s’est richement étoffée sur la base de la seule qualification de l’article 226-4-1 du code pénal. Ainsi, même en référé, les juges reçoivent désormais volontiers le caractère manifeste des infractions sur le fondement de l‘usurpation d’identité numérique. Ainsi en est-il de l’ordonnance de référé du Tribunal de Grande instance de Paris en date du 12 août 2016 reconnaissant le trouble manifestement illicite causé par l’usurpation de l’identité...