2010

Actualités

L'Europe dit OUI au passeport biométrique

/

Sécurité des systèmes d’information Passeport biométrique L’UE dit oui au passeport biométrique Lors de sa séance du 14 janvier 2009, le Parlement européen a amendé et approuvé la proposition de règlement de la Commission des Communautés européennes modifiant le règlement (CE) n°2252/2004 du Conseil établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres. Cette proposition de règlement avait été présentée par la Commission le 18 octobre 2007 et avait déjà donné lieu à un Avis du Contrôleur Européen de la Protection des Données en date du 26 mars 2008. C’est le règlement n°2252/2004 du 13 décembre 2004 qui avait introduit les passeports biométriques et l’obligation générale de stocker les empreintes digitales dans des supports de stockage contenus dans les passeports et documents de voyages. La France avait alors, conformément à ce règlement, adopté le décret n°2008-426 du 30 avril 2008, qui modifiait le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques, afin d’intégrer « l’image numérisée des empreintes digitales de deux doigts » au sein des passeports français, tout en prévoyant une exception pour les enfants de moins de six ans. Après avoir constaté que les empreintes digitales des enfants âgés de moins de six ans n’étaient pas d’une qualité suffisante pour permettre de vérifier l’identité de ces enfants sur la base d’une comparaison entre deux séries d’empreintes, la Commission avait proposé de modifier le règlement n°2252/2004 afin de dispenser de l’obligation de donner les empreintes digitales des enfants de moins de six ans, mais également les personnes qui en sont physiquement incapables. La commission avait également proposé d’intégrer la règle « une personne un passeport », ne permettant plus aux parents d’avoir leurs enfants sur leurs passeports. Le Contrôleur Européen de la Protection des Données avait, par la suite, émis un avis favorable aux exemptions reposant sur l’âge ou sur l’incapacité de donner ses empreintes, tout en les jugeant insuffisantes, notamment au regard de l’âge des enfants exemptés ou de l’absence de dispositions spécifiques pour les personnes âgées. Le 14 janvier dernier, c’était donc au tour du Parlement européen de se prononcer sur cette proposition. Celui-ci a pris le soin de rappeler que « les États membres seront tenus de délivrer des passeports individuels aux mineurs et qu’il peut exister des différences significatives dans la législation des États membres en ce qui concerne le franchissement des frontières extérieures par des mineurs », avant de relever l’âge de l’exemption de donner les empreintes aux enfants de moins de douze ans. Suivant les recommandations du Contrôleur Européen de la Protection des Données, le Parlement européen précise que cet âge est fixé à titre provisoire, dans l’attente d’un rapport de la Commission relatif à la fiabilité et la faisabilité technique du recours aux empreintes digitales pour les enfants de moins de douze ans, à des fins d’identification et de vérification de l’identité. En outre, le Parlement crée un article 1 bis relatif au personnel chargé du relevé des empreintes et à la procédure de collecte, qui devra se faire dans le respect des droits consacrés par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et par la Convention des Nations Unies relative aux droits de l’enfant. Il est également prévu que les États membres, tel que la France, qui auraient prévu un âge limite inférieur à douze ans peuvent appliquer leur limite actuellement en vigueur durant une période transitoire de quatre ans. La France devra donc revoir sa réglementation dans les années à venir, quant à l’âge de collecte des empreintes digitales des mineurs. En revanche, la règle « une personne un passeport » est déjà active, puisqu’il n’est plus possible d’inscrire un enfant mineur sur le passeport de l’un de ses parents. Globalement, le Parlement européen précise la proposition de la Commission qui s’était effectivement limitée à adopter des modifications succinctes au règlement 2252/2004, et intègre des éléments quant à la sécurité des données, le support de stockage devant être de « haute sécurité » et les spécifications techniques complémentaires visées à l’article 2 du règlement de 2004 devront désormais être « conformes aux normes internationales, notamment aux recommandations de l’Organisation de l’aviation civile internationale ». Parlement européen, Résolution législative du 14 janvier 2009 Parlement européen, Rapport du 15 décembre 2008 (Mise en ligne Janvier 2009)

Actualités

La gestion des passeports biométriques par les communes

/

Sécurité des systèmes d’information Passeport biométrique Le traitement des passeports biométriques par les communes La loi de finances rectificative pour 2008, votée par le Parlement le 30 décembre 2008, à savoir le nouvel article L. 1611-2-1 du code général des collectivités territoriales, donne désormais une base légale au rôle des communes dans la réception et la saisie des demandes de titres d’identité. Les administrés qui souhaitent refaire leur passeport et autres titres d’identité n’ont donc plus à se rendre en préfecture ou en sous-préfecture, mais peuvent directement passer par les services municipaux concernés. Le principe d’une indemnisation des communes a été confirmé, moyennant l’extinction des procédures en cours intentées par ces dernières contre l’État, du fait de l’illégalité des décrets du 25 novembre 1999 (cartes nationales d’identité) et du 26 février 2001 (passeports), prononcée par le conseil d’État le 5 janvier 2005 pour une raison de procédure (seule une loi pouvant imposer une telle obligation aux communes). La France a l’obligation de délivrer, avant le 28 juin 2009, un passeport doté de deux composants biométriques. Des stations de recueil et d’enregistrement des données biométriques vont être déployées dans 2 000 communes volontaires. Moyennant un préavis de deux mois, une commune peut, à tout moment, résilier la convention de mise en dépôt de la station de demandes de passeports et de cartes nationales d’identité électroniques a précisé la ministère de l’Intérieur, le 19 février, en réponse à une question écrite d’un sénateur (1). La loi de finances rectificative pour 2008 a fixé une dotation exceptionnelle d’un montant de 3 € par titre, plafonnée à 97,5 millions d’euros, répartie entre les communes en fonction du nombre de titres qu’elles ont délivré entre 2005 et 2008. Si le nombre total de titres émis ces quatre années est supérieur à 32,5 millions d’euros, la somme de 97,5 millions d’euros est répartie entre les communes proportionnellement au nombre de titres qu’elles ont émis dans cette même période. Enfin, signalons également la parution au Journal officiel du 13 février 2009 (2) d’un arrêté fixant les normes de qualité des photographies d’identité dans le cadre de la délivrance du passeport (format, fond, contraste, luminosité et détails du portrait). (1) Réponse ministérielle parue au JO Sénat du 19-2-2009 (2) Arrêté du 5-2-2009 Paru dans la JTIT n°88/2009 p.4 (Mise en ligne Mai 2009)

Actualités

sécurité des systèmes d’information : l'état de l'art

/

Sécurité des systèmes d’information Normes Respecter l’état de l’art en matière de sécurité des systèmes d’information De la loi Sarbanes-Oxley (SOX), aux accords de Bâle II(1), en passant par la loi de sécurité financière (LSF)(2), sécurité quotidienne, sécurité intérieur, Sarkosy I et la loi sur la protection des données personnelles, on ne compte plus les dispositifs légaux et réglementaires relatifs à la sécurité des systèmes d’information. Cet afflux de textes montre que cette préoccupation est aujourd’hui prise en compte par le législateur à travers l’élaboration d’un droit de la sécurité.Il est donc nécessaire pour l’entreprise de connaître avec précision l’ensemble du référentiel légal qui s’applique en matière de sécurité aux informations qu’elle manipule dans son secteur d’activité (aéronautique, santé, banque…). Le recours aux normes peut s’avérer indispensable. Si elles ne sont souvent que des recommandations techniques sans force obligatoire, leur application devient cependant de plus en plus courante au sein des professions, leur conférant ainsi une certaines portée juridique. Elles sont considérées par le juge comme la codification écrite regroupant des « règles de l’art » ou des « usages loyaux et constants ». Aquelle norme se référer pour les SI ? Il existe depuis octobre 2005 une norme internationale concernant la sécurité de l’information, la norme ISO/CEI 27001 dont le titre est « Technologies de l’information -Techniques de sécurité -Systèmes de gestion de sécurité de l’information – Exigences »(3). Cette norme représente le premier cadre normatif en matière d’organisation et de management de la sécurité des SI. Y faire référence dans un contrat par une clause ISO/CEI 27001 ou en l’intégrant au cahier des charges permet de la rendre obligatoire entre les parties. Mais au-delà de cette référence, il s’agit d’une norme qui peut être utilisée dans le cadre d’une certification par un organisme indépendant et reconnu, qui apporte la garantie-sécurité pour l’entreprise. La certification, qui est aujourd’hui possible en France, apporte un atout compétitif. Il est clair qu’une entreprise sera plus enclin à choisir un partenaire qui a mis en place une procédure de certification, preuve de la conformité de son SI. (1) Chantier qui va réformer le système international bancaire à l’échéance de 2007 (2) La SOX a été adoptée le 30/07/2002 par le Congrès américain et la LSF (loi n°2003-706) dont le périmètre est plus large date du 01/08/2003 (3) Elle définit l’ensemble des tests et contrôles à effectuer pour s’assurer du bon respect d’ISO/CEI 17799. Paru dans la JTIT n°50/2006 p.3 (Mise en ligne Mars 2006)

Actualités

une norme NF sur la sécurité des systèmes d'information

/

Sécurité des systèmes d’information Normes Bientôt une norme NF sur les systèmes de management de la sécurité informatique La norme ISO 27001 définit la Politique du Management de la Sécurité des SI au sein d’une entreprise. Elle est issue de la BS 7799-2:1999 « Specification for information security management systems » qui définit les exigences à respecter pour créer un ISMS (Information Security Management System). Elle spécifie en annexe certains contrôles de sécurité, tirés de la 17799, dont la mise en oeuvre est obligatoire. La norme ISO 27001 comprend 6 domaines de processus : Définir une politique de la sécurité des informations, Définir le périmètre du Système de Management de la sécurité de l’information, Réaliser une évaluation des risques liés à la sécurité, Gérer les risques identifiés, Choisir et mettre en oeuvre les contrôles, Préparer un SoA ( « statement of applicability »). Comme l’ISO 9000, l’ISO 27001 porte moins sur l’efficacité des dispositions mises en place, que sur leur existence, et la mise en place de facteurs d’amélioration (PDCA). Pour former sa position, l’AFNOR soumet le projet ISO 27001 à une enquête probatoire nationale qui se terminera le 20 juillet 2007. Notifiée au Journal Officiel du 1er juillet 2007, cette enquête est ouverte à tous. Les résultats seront dépouillés par la commission compétente, la « Commission Générale des Technologies de l’Information ». Cette commission est une structure ouverte qui rassemble, sur la base d’un engagement volontaire, des industriels de l’informatique, opérateurs de télécommunication, sociétés de service spécialisées, représentants de l’administration, groupements d’utilisateurs. Après traitement des résultats de l’enquête, la norme sera alors l’homologuée NF. Projet PR NF ISO 27001 (indice de classement : Z74-221PR), avis relatif à l’instruction de projets de normes paru au JO du 1er juillet 2007 (Mise en ligne Juillet 2007)

Actualités, Biométrie, Informatique et libertés

Autorisations uniques et techniques biométriques

/

La Cnil adopte trois autorisations uniques relatives aux techniques biométriques. L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre. En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel. Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil. Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif. Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr. Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006 Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006 Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006 (Mise en ligne Avril 2006)

chaîne répressive de la Cnil
Actualités

Cnil 26ème rapport d’activité 2005

/

Sécurité des systèmes d’information / Informatique et libertés 26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie Dans son dernier rapport d’activité pour l’année 2005, la Cnil revient sur la doctrine qu’elle a établie depuis plusieurs années en matière de biométrie. Elle réaffirme ainsi la grande distinction qu’elle opère entre les traitements de données biométriques portant sur des éléments traçables dits « à trace » et ceux ne portant pas sur ce type d’éléments dits « sans trace ». Ces derniers consistent essentiellement en l’utilisation de techniques de reconnaissance de la rétine ou de reconnaissance par le contour de la main. Ne permettant pas, en eux-mêmes, de reconnaître un individu à son insu en collectant ses données biométriques sans qu’il en ait conscience, la Cnil considère qu’il ne s’agit pas de traitements de données biométriques dangereux et autorise en général leur mise en oeuvre. Concernant les traitements laissant des traces et, en particulier, ceux utilisant la reconnaissance par empreinte digitale, la Cnil considère qu’ils peuvent permettre une collecte de données biométriques des personnes à leur insu, ce qui les rend, de fait, dangereux. La Cnil a donc établi les critères selon lesquels la mise en oeuvre de traitements de données biométriques laissant des traces est susceptible d’être autorisée en déterminant ainsi trois niveaux différents. Le premier niveau correspond à un impératif de sécurité élevée, comme un contrôle aux frontières, par exemple. Dans ce cas, la Cnil autorise la mise en oeuvre d’un traitement de données à caractère biométrique laissant des traces. Le second niveau correspond à un impératif de sécurité moindre comme par exemple l’accès de salariés à des locaux sécurisés (ceux de La Poste ou d’aéroports). Dans ce cas, la Cnil pour autoriser le traitement mis en œuvre demande que les données biométriques laissant des traces soient stockées dans un support individuel et non dans une base de données centralisée. Le troisième niveau correspond à une absence d’impératif de sécurité. Dans ce cas, la Cnil peut autoriser la mise en oeuvre d’un traitement de données biométriques laissant des traces dès lors que les données biométriques sont stockées sur un support individualisé (une carte à puce) et, qu’en outre, l’utilisation de ce système biométrique reste facultatif pour les personnes concernées. Concernant la biométrie de confort, la Cnil a ainsi autorisé la mise en place d’une carte de fidélité permettant à des voyageurs de stocker leurs empreintes digitales sur une puce, de manière facultative, afin d’accéder à des services particuliers. L’ensemble des décisions de la Cnil relatives à la mise en oeuvre de traitements de données biométriques ainsi que son rapport d’activité annuel sont accessibles depuis le site de la Cnil www.cnil.fr. (Mise en ligne Mars 2006)  

Actualités

Contrôle d'accès par reconnaissance du contour de la main

/

Sécurité des systèmes d’information Informatique et libertés Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires La Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques dans des organismes, collectivités locales ou entreprises (art. 25 de la loi du 06/01/1978 modifiée). La Cnil a été amenée à élaborer une jurisprudence qu’elle semble encore une fois confirmer en faisant la différence entre les techniques biométriques laissant des traces et celles qui n’en laissent pas. Elle fait ainsi la différence entre les solutions de reconnaissance du contour de la main qui ne laissent pas de trace et qui ne peuvent être utilisées pour des finalités non prévue en dehors de la présence de la personne concernée et la reconnaissance par empreintes digitales qui laisse inévitablement des traces et peut dériver vers des utilisations dont la finalité n’est pas prévue initialement. Se fondant sur cette différentiation bien établie, la Cnil a autorisé le 12 janvier 2006 deux lycées à utiliser des dispositifs reposant sur la reconnaissance du contour de la main pour permettre un contrôle à une cantine scolaire. La Cnil a, le même jour, refusé d’autoriser quatre dispositifs biométriques de reconnaissance par empreintes digitales permettant pour trois d’entre eux un contrôle d’accès et pour le dernier un contrôle des horaires. La Cnil considère en effet que la reconnaissance par empreintes digitales ne peut être utilisée qu’en cas de nécessité impérative de sécurité ce qui n’était manifestement pas le cas d’un contrôle d’accès dans une entreprise « classique » et d’un contrôle d’horaire. CNIL – Echos des séances du 30/01/2006 (Mise en ligne Janvier 2006)

Informatique, Informatique, Sécurité des SI

tarification des interceptions de communications électroniques

/

Sécurité des systèmes d’information Ecoutes téléphoniques Clarification de la rémunération des opérateurs de communications électroniques sur les Interceptions La loi prévoit que les opérateurs de communications électroniques sont rémunérés pour les frais occasionnés par les différents types d’interceptions de communications électroniques. Deux décrets viennent de paraître au journal officiel du 25 octobre 2007. Ils visent à traduire sur les plans technique et financier la rémunération des opérateurs de communications électroniques dans le cadre des interceptions de sécurité et judiciaires. Deux arrêtés sont également parus au journal officiel du même jour. Ils fixent le barème des prestations. L’Autorité de régulation des communications électroniques et des postes a été consultée en mars 2007 pour avis sur les deux projets de décrets ainsi que sur deux projets d’arrêtés. Décret n° 2007-1520 du 22 octobre 2007 portant modification du code de procédure pénale et relatif à la tarification des interceptions judiciaires (JO n° 248 du 25 octobre 2007 page 17485) Décret n° 2007-1519 du 22 octobre 2007 portant modification du code des postes et des communications électroniques et relatif à la tarification des interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17485) Arrêté du 22 octobre 2007 pris en application de l’article R. 213-2 du code de procédure pénale fixant la tarification applicable aux réquisitions ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17486) Arrêté du 22 octobre 2007 pris en application de l’article D. 98-7 du code des postes et des communications électroniques fixant la tarification applicable aux demandes ayant pour objet les interceptions de communications électroniques(JO n° 248 du 25 octobre 2007 page 17514) (Mise en ligne Octobre 2007) Autres brèves Création de la délégation aux interceptions judiciaires (Mise en ligne Novembre 2006)

Actualités

Création de la délégation aux interceptions judiciaires

/

Sécurité des systèmes d’information Ecoutes téléphoniques Création de la délégation aux interceptions judiciaires La loi du 10 juillet 1991 encadre les écoutes dites « administratives » (ou de sécurité) et les écoutes dites « judiciaires » ordonnées par un magistrat instructeur ou un procureur dans le cadre d’affaires d’un type bien défini. Les premières s’opèrent sous le contrôle de la Commission Nationale de Contrôle des Interceptions de Sécurité. Les secondes ne bénéficiaient pas d’un tel dispositif, étant contrôlées par le juge. Elles faisaient toutefois l’objet de nombreuses critiques du fait notamment de l’absence de structure administrative permettant de coordonner l’ensemble des nombreux départements ministériels impliqués (justice, défense, intérieur, douane, économie-finances-industrie). Une Délégation interministérielle aux interceptions judiciaires (DIIJ) avait déjà été mise en place en 2005 dans le cadre du plan de rationalisation des dépenses de la justice pour clarifier les modes de calcul des sommes versées aux opérateurs de téléphonie en contrepartie du respect par ceux-ci de leurs obligations. Elle est désormais officialisée par un décret et un arrêté du même jour et porte le nom de Délégation aux interceptions judiciaires (DIJ). La DIJ n’a pas vocation à contrôler l’opportunité d’une écoute judiciaire mais son coût en coordonnant l’ensemble des conditions d’exploitation, notamment financières, des opérations d’interception. Décret n° 2006-1405 du 17 novembre 2006 Arrêté du 17 novembre 2006 (Mise en ligne Novembre 2006)

Pénal numérique

Sécurité des SI Cyber-attaque de sites gouvernementaux US

/

  Le jour de la fête nationale américaine, le 4 juillet dernier, un botnet est parvenu à encombrer la bande passante (ex : attaque DdoS) et à neutraliser certains sites gouvernemantaux américains pendant plus de trois jours. Un botnet est un réseau (« net ») de robot (« bot »). Il s’agit d’un ensemble d’ordinateurs sur lesquels ont été installés des « logiciels virus ». Une fois ces logiciels installés, l’ordinateur a pu être placé en mode « zombie » et rejoindre un ensemble d’ordinateurs également infectés par ces logiciels, au moyen de techniques virales de propagation. Le 4 juillet dernier un botnet de plus 50 000 ordinateurs zombies a pu affecter le fonctionnement de sites internet de plusieurs grandes administrations. Ont ainsi notamment été touché le site du ministère du commerce (FTC), le site du département des transports (DOT), le site des départements américains de la sécurité intérieur, de la défense, des sites bancaires en Corée, le site du New York Stock Exchange, le Nasdaq et le Washington Post. Ces attaques semblent menacer la cybersécurité des réseaux américains, en rendant indisponibles certains sites pendant plus de trois jours. Online attack hits US government Web sites, Computerworld, July 7, 2009 (Mise en ligne Juillet 2009) Autres brèves   Parution du décret passeport électronique (Mise en ligne Janvier 2006)  

Actualités

Parution du décret sur le passeport électronique

/

Sécurité des systèmes d’information Cyberterrorisme Parution du décret passeport électronique Le décret du 30 décembre 2005 relatif au passeport électronique va permettre la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Le nouveau passeport biométrique a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Décret n°2005-1726 relatif au passeport électronique paru au JO du 30 décembre 2005 (Mise en ligne Janvier 2006)

Pénal numérique

Le projet LOPPSI : de la vidéosurveillance à la vidéoprotection

/

Sécurité des systèmes d’information Cyberdélinquance Le projet LOPPSI : de la vidéosurveillance à la vidéoprotection Le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI) (1) contient un important volet vidéosurveillance, qui vient compléter le récent dispositif juridique simplifiant les formalités liées aux demandes d’autorisation préfectorale (2). Le plan national d’équipement, voulu par la Ministre, préconise de multiplier par trois le nombre de caméras sur le territoire, en passant de 20 000 à 60 000 caméras de voie publique, cette année. La « mise en réseau » et « l’interconnexion » des systèmes publics sont également des mesures qui doivent accompagner l’essor de la vidéosurveillance et permettre, notamment aux collectivités qui investissent dans cet outil, de s’assurer du retour sur investissement. En effet, le plan national d’équipement, impulsé par l’Etat, repose essentiellement sur le financement des collectivités. Or, en réalité, le poids financier de la vidéosurveillance repose moins sur la technologie choisie que sur les travaux publics nécessaires à la mise sur pied d’un système. Les articles 17 et 18 du projet étendent les finalités pour lesquelles il peut être recouru à la vidéosurveillance. Actuellement, les personnes privées ne peuvent installer un système de vidéoprotection dans des lieux ouverts au public que si les lieux sont susceptibles d’être exposés à des actes de terrorisme. Elles ne peuvent visionner la voie publique que pour assurer la sécurité des abords immédiats de leurs bâtiments et installations. Les dispositions nouvelles leur permettent d’installer des systèmes de vidéoprotection filmant, notamment, les abords de leurs bâtiments, afin de prévenir des atteintes à la sécurité des personnes et des biens, dans des lieux particulièrement exposés à des risques d’agression ou de vol. Il est prévu que les délais de conservation des images pourront faire l’objet d’une durée minimale, fixée par le Préfet. En plus d’une mise en commun possible d’installation, le projet de loi encadre également les possibilités de délégation de certaines compétences aux personnes privées. Pour renforcer la protection de la vie privée des personnes, les compétences de la Commission nationale informatique et libertés (Cnil) en matière de vidéoprotection sont étendues à une mission de contrôle du développement de cette technique. Parallèlement, le Préfet reçoit un pouvoir de sanction renforcé, en vertu duquel il peut décider la fermeture temporaire des établissements où fonctionne un système de vidéoprotection non autorisé. Ces nouvelles mesures, au centre desquelles doit figurer une nouvelle Commission, ne permettent pas de trancher le conflit de compétences entre la Cnil et le Préfet. La tendance est plutôt au renforcement des compétences du périmètre de la loi Pasqua. (1) Doc. Ass. nat. n° 1697 du 27 mai 2009 (2) Décret du 22-1-2009 Paru dans la JTIT n°90-91/2009 p.5 (Mise en ligne Septembre 2009) Autres brèves Présentation, en Conseil des ministres, de la loi LOPPSI (Mise en ligne Juin 2009) Bientôt de nouvelles incriminations (Mise en ligne Février 2007) Le projet de loi sur la prévention de la délinquance avance (Mise en ligne Décembre 2006)

Actualités

Actualité du projet de loi sur la prévention de la délinquance

/

Sécurité des systèmes d’information Cyberdélinquance Le projet de loi sur la prévention de la délinquance avance Le projet de loi relatif à la prévention de la délinquance discuté en première lecture devant l’Assemblée nationale a été adopté par les députés le 5 décembre 2006. Rappelons qu’il prévoit entre autres, de modifier les dispositions du Code de procédure pénale consacrées aux enquêtes de flagrance pour permettre aux services de police judiciaire de mieux démanteler des réseaux criminels sur internet (article 17 du projet de loi). Deux amendements ont ainsi été adoptés visant respectivement à : permettre aux enquêteurs d’agir dans le cadre de l’enquête sur infraction flagrante, de l’enquête préliminaire ou des commissions rogatoires, sans qu’il soit nécessaire de le préciser à chaque fois expressément (amendement n° 219). Cette possibilité procédurale est ouverte à l’ensemble des services de police judiciaire amenés à intervenir sur ce type de dossier, afin d’éviter la saturation des seuls offices et brigades spécialisés ; compléter les attributions des enquêteurs, qui doivent aussi pouvoir acquérir et échanger des contenus illicites pour mener à bien leur mission, sans être pénalement responsables (amendement 221). Une telle autorisation ne consiste pas pour autant à leur donner un blanc-seing pour provoquer à la commission d’une infraction. Autoriser les enquêteurs à échanger les contenus illicites est conforme à la jurisprudence de la Cour de cassation (Cass. crim. 2 mars 1971 et Cass. crim 1994) en matière de provocations policières : le trafic est préexistant à la commission de l’infraction. Projet de loi adopté par l’Assemblée Nationale en première lecture le 5 décembre 2006 (Mise en ligne Décembre 2006)

Actualités

Cyberdélinquance : bientôt de nouvelles incriminations

/

Sécurité des systèmes d’information Cyberdélinquance Bientôt de nouvelles incriminations Le Sénat propose de nouvelles incriminations lors de la seconde lecture du projet de loi relatif à la prévention de la délinquance. Le fait d’enregistrer ou de diffuser par quelque moyen que ce soit, sur tout support que ce soit, des images relatives à la commission d’atteintes volontaires à l’intégrité de la personne est en effet constitutif d’un acte de complicité. Le projet de loi relatif à la prévention de la délinquance fait à nouveau l’objet de discussions devant l’Assemblée nationale en séance publique du mardi 13 au mercredi 14 février 2007. Projet de loi relatif à la prévention de la délinquance (Mise en ligne Février 2007)

Actualités

Délivrance en France des premiers passeports biométriques

/

Sécurité des systèmes d’information Passeport biométrique Début du voyage pour le passeport biométrique « Plus de rapidité, de facilité, et de sécurité » voilà résumés les avantages décrits par le Ministre de l’intérieur lors de la remise à un administré de Chantilly, le 31 octobre dernier, du premier passeport biométrique. Conformément au règlement n°2252/2004 du 13 décembre 2004 du conseil européen, la France devra être en mesure de délivrer sur son territoire des passeports biométriques contenant les empreintes digitales numérisées de leur titulaire. Le dispositif juridique mis en place notamment par le décret n°2008-426 du 30 avril 2008, qui modifie le décret n°2005-1726 du 30 décembre 2005, a été validé par la Cnil en décembre 2007 qui a demandé, d’une part, des garanties techniques pour renforcer la protection des données qui seront ainsi centralisées sur un serveur parisien et d’autre part, un encadrement par le Conseil d’Etat. Le déploiement des machines a connu des difficultés et a pris du retard. L’Etat, qui a investi dans 4000 machines permettant de numériser la photo et quatre empreintes digitales du titulaire, doit les déployer dans près de 2000 mairies d’ici juin 2009, date butoir fixée par l’union Européenne. Egalement, le projet de loi sur la protection de l’identité, qui doit conférer aux communes une compétence spécifique à l’instruction des demandes de passeports, ne sera examiné devant le Parlement qu’en début d’année 2009. Certains élus ont fait savoir que le dispositif mis en place pose des interrogations, notamment s’agissant d’un système qui ne pourra couvrir l’ensemble du territoire ou encore sur la sécurité des liaisons informatiques concernant les données à caractères personnel. Dans ce contexte, les informations des cinq départements pilotes (Gironde, Aube, Loire-Atlantique, Nord et Oise) devraient permettre de répondre à ces questions, d’évaluer également le temps de traitement des demandes face à de nouvelles exigences en matière biométrique qui concernent la sécurité des données. Pour les maires, il apparaît nécessaire de revoir le montant et le déclenchement de l’indemnisation des communes, fixé à 3 200 euros par machine et par an pour les frais qu’elles engageront pour les demandeurs d’un passeport qui ne résideraient pas sur leur territoire. Le directeur de l’agence nationale des titres sécurisés a, par ailleurs, précisé, le 29 octobre dernier, que des machines supplémentaires seraient mise à dispositions des communes et que serait financé des projets d’accessibilité des mairies dans la limite de 4000 euros par projet. Communiqué du Ministère de l’intérieur du 31 octobre 2008 (Mise en ligne Novembre 2008)

Constat en ligne, Internet contentieux

Sécurité système d’information constat sur internet en ligne app

/

Constat sur internet et compétence de l’Agence pour la Protection des Programmes est compétente pour les constats en ligne. Il résulte de l’article L.331-2 du Code de la propriété intellectuelle que, si les agents de l’Agence pour la Protection des Programmes (APP) ont compétence pour réaliser des constatations, celles-ci sont toutefois limitées aux faits relevant des dispositions des livres I, II et III du Code de la propriété intellectuelle. La compétence matérielle des agents de l’APP est donc limitée aux constats d’infractions aux droits d’auteur, aux droits voisins du droit d’auteur et aux droits des producteurs de bases de données. La Section A de la 4ème Chambre de la Cour d’appel de Paris vient de rendre une nouvelle décision, en date du 18 avril 2008, sur la force probante des constats de l’APP, dans laquelle elle considère que ces constats, quand bien même ils n’entreraient pas dans le champ de compétence de l’agence, constituent « des éléments de preuve des faits litigieux ». En l’espèce, les constats réalisés par l’APP ne tendaient pas à établir la preuve d’infractions aux droits d’auteur, aux droits voisins du droit d’auteur et aux droits des producteurs de bases de données mais à faire constater des faits susceptibles d’être qualifiés de concurrence déloyale et de contrefaçon de dessins et modèles. La Section B de la même chambre avait précédemment jugé, dans un arrêt en date du 31 octobre 2007, que les constats de l’APP n’avaient de valeur probante que s’ils visaient à établir la preuve d’infractions aux dispositions des livres I, II et III du Code de la propriété intellectuelle. En l’espèce, le constat réalisé par l’APP ne tendait pas non plus à établir la preuve d’infractions aux droits d’auteur, aux droits voisins du droit d’auteur et aux droits des producteurs de bases de données. Le constat concernait une infraction aux droits des marques. Face à ces deux solutions, qui opposent deux sections de la même chambre, c’est à la Cour de cassation qu’il appartiendra de trancher cette question. CA Paris, 4ème Chambre, Section B, 18 avril 2008 CA Paris, 4ème Chambre, Section A, 31 octobre 2007 (Mise en ligne Avril 2008) Autres brèves   La réalisation d’un constat sur internet obéit à des règles très strictes (Mise en ligne Novembre 2006)  

Actualités

Les règles de réalisation d’un constat sur internet

/

Sécurité des systèmes d’information Constat en ligne La réalisation d’un constat sur internet obéit à des règles très strictes La jurisprudence a expressément défini les impératifs techniques devant être respectés pour qu’un procès-verbal de constat sur internet ait force probante :   description du type d’ordinateur, du système d’exploitation et du navigateur utilisés ; indication de l’adresse IP de l’ordinateur ; description du mode de connexion au réseau internet avec les adresses IP correspondantes ; vérification et indication que l’ordinateur n’était pas connecté à un serveur proxy ; vidage de la mémoire cache de l’ordinateur, de l’historique des saisies, des cookies et de la corbeille ; synchronisation de l’horloge interne ; vérification que les pages litigieuses aient été effectivement les premières visitées après ces opérations. Il s’agit de vérifier que l’ordinateur était bien connecté à internet et que les contenus constatés n’étaient pas simplement stockés sur un des postes présents sur le réseau local. Les pages constatées doivent en effet être celles qui étaient accessibles sur internet au moment du constat. Or, l’absence de mention relative à l’adresse IP de l’ordinateur utilisé empêche de pouvoir procéder à des vérifications sur les connexions du serveur et sur les pages réellement visitées. En outre, l’absence de mention relative à la connexion de l’ordinateur à un serveur proxy et au fait que ce serveur proxy soit dépourvu ou non de système de cache des pages visitées, ainsi que l’absence de suppression de la mémoire cache, ne permettent pas de s’assurer avec certitude que le constat ne porte pas sur des pages anciennes ou obsolètes. Le procès-verbal de constat, dans lequel ne figure aucun élément technique permettant de s’assurer que l’huissier s’est bien rendu sur les pages web annexées, est dénué de toute valeur pobante. CA Paris, Net Ultra c/ AOL France, 17 novembre 2006 TGI Nice, TWD Industries c/ Google France, Google Inc., 7 février 2006 TGI Meaux, Net Ultra c/ AOL France, 9 décembre 2004 (Mise en ligne Novembre 2006)  

Actualités

Le vote électronique pour l’élection du comité d’entreprise

/

Droit social Comité d’entreprise Le vote électronique pour l’élection des représentants du personnel Il est désormais possible d’organiser les votes par voie électronique, sur le lieu de travail ou à distance pour les élections du comité d’entreprise ou des délégués du personnel. Le Journal officiel vient en effet de publier le décret et l’arrêté pris en application de l’article 54 de la loi LCEN du 21 juin 2004 (lire la suite) qui avait ouvert la voie au vote électronique pour les élections des représentants du personnel au sein de l’entreprise, en modifiant les articles L.423-13 et L.433-9 du Code du travail. Ainsi, deux articles sont créées qui viennent préciser les modalités pratiques de mise en oeuvre du vote électronique : l’article R.423-1-2 pour l’élection des délégués du personnel et l’article R.433-2-2 pour celle des représentants du personnel du CE. Aucune des deux formes du vote électronique : utilisation des machines à voter ou vote en réseau (intranet ou internet) n’est a priori exclue. Mais le recours au vote électronique n’est possible que si un accord d’entreprise ou un accord de groupe comportant un cahier des charges respectant les prescriptions minimales énoncées par le décret (confidentialité des données transmises, sécurité de l’adressage des moyens d’authentification, clés de chiffrement et de déchiffrement, etc.). Le décret prescrit la mise en place d’une cellule d’assistance technique « chargée de veiller au bon fonctionnement et à la surveillance du vote électronique », la formation des représentants du personnel et des membres du bureau de vote sur le système de vote électronique retenu, et une information des salariés – par notice détaillée – sur le déroulement des opérations électorales. Décret n° 2007-602 du 25 avril 2007 Arrêté du 25 avril 2007 (Mise en ligne Avril 2007) Autres brèves Participation aux élections des DP et du CE de salariés mis à disposition (Mise en ligne Février 2007) Les fonctionnaires détachés sont électeurs et éligibles à un CE privé (Mise en ligne Mai 2006)

Actualités

chartes éthiques et dispositifs d’alerte professionnelle

/

Droit social Chartes d’éthique L’encadrement juridique des chartes éthiques et dispositifs d’alerte professionnelle Récents instruments de gouvernance de l’entreprise, les chartes éthiques et codes de conduites se sont progressivement développés afin de permettre, « à l’inverse du règlement intérieur dont le champ est légalement limité, de réunir en un seul document (…) les engagements et obligations respectifs de l’employeur et des salariés dans le cadre de l’exécution du contrat de travail« . Ils sont parfois associés à la mise en place d’un dispositif d’alerte professionnelle en vue d’optimiser les performances de l’entreprise dans le cadre d’une démarche de prévention des risques. Un rapport traitant de cette problématique, établi à l’initiative de Messieurs Paul-Henri Antonmattei et Philippe Vivien, a été remis le 6 mars 2007 au ministre délégué à l’emploi, au travail et à l’insertion professionnelle des jeunes. Il est permis de s’interroger sur le régime juridique applicable à ces dispositifs éthiques, ainsi que sur les modalités du contrôle administratif, notamment concernant les clauses relatives à la discipline. La Direction générale du travail, aux termes d’une circulaire en date du 19 novembre 2008, précise la nature juridique de ces « documents éthiques » en distinguant les règlements intérieurs des notes de services, chartes et codes éthiques. Définissant leur champ d’application, elle précise également l’étendue du contrôle des inspecteurs et contrôleurs du travail qui peuvent avoir connaissance des dispsitifs éthiques à l’occasion d’une transmission par l’employeur, lors d’un contrôle sur place ou encore du fait de la saisine d’un salarié ou d’un représentant du personnel. La circulaire détermine également les modalités de mise en œuvre des dispositifs d’alerte professionnelle qui, de par leur caractère facultatif, n’entrent pas dans le champ du règlement intérieur. En conséquence, il incombe à l’Inspection du travail de rappeler, le cas échéant, à l’employeur les prérogatives des instances représentatives du personnel et de vérifier la conformité du dispositif aux prescriptions du code du travail. La licéité du dispositif d’alerte professionnelle présuppose l’accomplissement des formalités déclaratives préalables auprès de la Cnil, la consultation du comité d’entreprise, ainsi que l’information individuelle préalable des salariés. DGT, Circulaire 2008/22 du 19 novembre 2008 (Mise en ligne Décembre 2008) Autres brèves Quelle est la nature juridique d’un Code de déontologie ? (Mise en ligne Octobre 2008) Annulation d’un dispositif d’alerte professionnelle pour non conformité (Mise en ligne Octobre 2007) Etat des lieux et perspectives sur les chartes d’éthique et les systèmes d’alerte professionnelle (Mise en ligne Janvier 2007)

Actualités

signature de la première convention cadre de mobilité

/

Droit social Accords collectifs Comité DRH public-privé La première Convention cadre de mobilité entre entreprises et administrations a été signée, le 16 janvier 2009, à l’occasion du Comité DRH public-privé présidé par André Santini. Les dix premières entreprises dont Axa, Areva et le Crédit agricole et les administrations s’engagent réciproquement à faciliter les échanges de personnels entre les administrations et les entreprises. Convention cadre du 13 janvier 2009 Paru dans la JTIT n°85/2009 p.10 (Mise en ligne Février 2009) Autres brèves L’absence d’identité d’objet entre jours de RTT et jours de congés (Mise en ligne Décembre 2008) Le droit du travail en plein mouvement ! (Mise en ligne Février 2008) De nouvelles règles en matière de dépôt des accords collectifs (Mise en ligne Mai 2006)

Actualités

Harcèlement et mise à la retraite d’office

/

Droit social Harcèlements Harcèlement et mise à la retraite d’office d’un directeur général de services municipaux La Cour d’appel administrative de Bordeaux a confirmé le 8 juillet 2008, la mesure disciplinaire à l’égard du directeur général des services municipaux et communautaires d’une ville. Il avait été mis à la retraite d’office en novembre 2004 pour avoir consulté des sites pornographiques sur son lieu et pendant son temps de travail au moyen de matériels informatiques appartenant à la commune et envoyé à de nombreuses reprises à son assistante des courriers électroniques anonymes constitutifs d’un harcèlement pour obtention de faveurs sexuelles et de harcèlement moral. La cour a considéré qu’eu égard à la nature des fonctions d’encadrement supérieur exercées et à la gravité des faits, la commune n’avait pas commis d’erreur manifeste d’appréciation en lui infligeant une telle sanction. Par ailleurs, ainsi que le rappelle la cour, la réalité des faits de harcèlement avait été reconnue par le tribunal correctionnel, de sorte qu’elle n’était plus susceptible d’être discutée devant le juge administratif. La cour rejette donc la demande d’annulation de la mesure disciplinaire et condamne le cadre municipal à verser à la commune la somme de 1.000 euros à titre de dommages et intérêts. CAA Bordeaux, 8 juillet 2008 (Mise en ligne Juillet 2008) Autres brèves Quelle est la portée juridique des recommandations de la HALDE ? (Mise en ligne Octobre 2007) Un sms est une preuve admise en justice (Mise en ligne Mai 2007) Harcèlement moral : les apparences peuvent être trompeuses (Mise en ligne Janvier 2006) Harcèlement sexuel et autorité de la chose jugée au pénal (Mise en ligne Décembre 2005)

Actualités

L’employeur a la charge de la preuve des faits reprochés

/

Droit social Téléchargements illicites L’employeur a la charge de la preuve des faits reprochés Un salarié embauché dans le cadre d’une convention emploi-jeune pour exercer les fonctions d’aide dans une ludothèque, a été licencié pour faute grave au motif qu’il aurait installé à l’insu de son employeur, des logiciels et images illicites sur un ordinateur de la ludothèque. Contestant le bien fondé de son licenciement, le salarié a saisi le Conseil de prud’hommes qui a accueilli favorablement sa demande. La Cour d’appel de Rouen a confirmé cette décision et condamné la ludothèque au paiement de dommages et intérêts au motif que : le salarié n’était pas le seul utilisateur de l’ordinateur ; le fait que les téléchargements litigieux aient été classés dans un dossier « Eric » identifié par le prénom du salarié n’est pas une preuve dans la mesure où il n’existait aucune sécurité, faute d’un code d’accès personnel à chaque usager ; l’utilisation du matériel informatique à des fins personnelles ne constitue pas non plus un motif réel et sérieux de licenciement lorsque l’employeur accorde la possibilité d’en faire un usage raisonnable, ce qui était le cas pour la ludothèque. CA Rouen, ch. soc., 03/05/2005 Paru dans la JTIT n°47/2005 p.6 (Mise en ligne Décembre 2005)

Retour en haut