données personnelles

Actualités, Articles, Contentieux informatique, Internet conseil, Pénal numérique, Publication

Traitement pour le suivi des signalements de vulnérabilités

/

L’arrêté du 18 juin 2024 prévoit la création d’un traitement automatisé de données à caractère personnel dénommé « Suivi des signalements de vulnérabilités par des éditeurs de logiciel ». Ce traitement est placé sous la responsabilité du directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cet arrêté fait suite à l’adoption de la loi n°2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense qui impose aux éditeurs de logiciels de notifier les vulnérabilités et incidents significatifs à l’ANSSI. Lire la suite Finalités du traitement pour le suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités Ce traitement a pour objet la collecte et le traitement des données transmises par les éditeurs de logiciels, conformément à l’article L.2321-4-1 du code de la défense, aux fins de : « Suivre et gérer les notifications de vulnérabilités significatives affectant un de leurs produits ou les notifications d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits ; En cas d’inaction de l’éditeur, à la suite d’une mise en demeure de l’Agence nationale de la sécurité des systèmes d’information, informer les utilisateurs de ce produit ou rendre publics la vulnérabilité ou l’incident ainsi que l’injonction adressée à l’éditeur de logiciel. » (arrêté du 18-06-2024, art.1). Données personnelles collectées Traitement pour le suivi des signalements de vulnérabilités Le traitement pour le suivi des signalements de vulnérabilités collecte des données à caractère personnel relatives à l’identification de l’éditeur de logiciel, à la vulnérabilité ou à l’incident significatif et aux utilisateurs du produit affecté. Ces données sont conservées pendant une durée de trois ans à compter de la clôture du traitement de la vulnérabilité ou de l’incident. Accès et destinataires des données collectées Traitement pour le suivi des signalements de vulnérabilités Dans le cadre des nouvelles prérogatives de l’ANSSI, les agents de l’ANSSI sont autorisés à accéder aux données mentionnées ci-dessus afin de pouvoir procéder à l’information des utilisateurs d’un produit affecté. En cas d’inaction de l’éditeur à la suite d’une mise en demeure de l’ANSSI, cette dernière a la possibilité de procéder à l’information des utilisateurs. Dans ce cas, les utilisateurs du produit affecté peuvent être destinataires des informations suivantes : • « Raison sociale et adresse postale de l’éditeur de logiciel concerné » ; • « Nom, prénom du dirigeant de l’éditeur de logiciel concerné ». L’ANSSI responsable du suivi des signalements de vulnérabilités Traitement pour le suivi des signalements de vulnérabilités En centralisant et en gérant les signalements de vulnérabilités de manière proactive, l’ANSSI assure non seulement la protection des utilisateurs finaux mais encourage également une plus grande responsabilité de la part des éditeurs de logiciels. Ce dispositif, qui s’inscrit dans le cadre des dispositions de la loi de programmation militaire, vise à établir un environnement numérique plus sûr et à renforcer la confiance des utilisateurs dans les produits logiciels qu’ils utilisent au quotidien. Avec la collaboration de Manon Juby, stagiaire, étudiante en Master Droit des espaces et des activités maritimes. Created by potrace 1.16, written by Peter Selinger 2001-2019 Pour en apprendre davantage Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit     Jennifer Knight Avocate, Responsable d’activité au sein du Pôle Informatique et Droit Avocate à la Cour d’appel de Paris, Jennifer Knight est Responsable d’activité au sein du Pôle Informatique et Droit, elle intervient dans les domaines du conseil et du contentieux, principalement en droit de l’informatique et des contrats, ainsi que dans les domaines associés (propriété intellectuelle, données à caractère personnel, droit commercial et de la distribution, marchés publics). Phone:+33 (0)6 31 95 92 37 Email:jennifer-knight@lexing.law     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique     Raphaël Liotier Avocat, Directeur d’activité au sein du pôle Contentieux numérique Avocat à la Cour d’appel de Paris, Raphaël Liotier est Directeur d’activité Pénal numérique au sein du pôle Contentieux numérique. Il intervient principalement devant les juridictions pénales et civiles dans le cadre de contentieux en droit pénal du numérique et en droit de la presse. Raphaël Liotier assiste les clients du cabinet, qu’ils soient mis en cause ou victimes, à tous les stades de la procédure pénale. Il intervient dans le cadre de procédures d’enquêtes. Phone:+33 (0)6 21 56 37 05 Email:raphael-liotier@lexing.law     ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La cobotique juridique #2 : L’art de l’invite. Comment réussir les prestations juridiques entre 20 et 80% de la version finale… Lire plus

Articles, Contentieux informatique, Publication

CEPD : avis sur la validité du modèle « consentir ou payer »

/

Le 17 avril 2024, le Comité européen de la protection des données (CEPD) a adopté un avis sur la validité du modèle « consentir ou payer ». (1) (2) Lire la suite L’utilisation du modèle « consentir ou payer » par les grandes plateformes CEPD : avis sur la validité du modèle « consentir ou payer » Ce modèle consiste soit pour l’utilisateur à consentir au traitement de ses données personnelles à des fins de publicité comportementale soit à payer une redevance afin que ses données ne soient pas traitées. Ce sont principalement les grandes plateformes en ligne tel que Meta qui utilisent ces modèles. Néanmoins, même en cas de consentement recueilli, se pose encore la question de sa validité. En effet, cette approche « tout ou rien » fait l’objet de controverse. Ainsi, conformément à l’article 64, 2) du RGPD plusieurs autorités de protection des données ont sollicité un avis au CEPD. La nécessité de mettre en place des alternatives supplémentaires pour l’utilisateur CEPD : avis sur la validité du modèle « consentir ou payer » Rendant son avis, le CEPD insiste sur le problème de la binarité d’un tel modèle. En effet, la seule alternative au refus d’un tel traitement est une alternative qui par défaut est payante.  Les utilisateurs se retrouvent ainsi à faire le choix entre la gratuité des contenus et la confidentialité. Les utilisateurs consentiraient par défaut sans comprendre les implications de leur choix. Pour le CEDP, cette binarité n’est pas de nature à assurer la validité du consentement de l’utilisateur. Ainsi, le CEPD incite les grandes plateformes à mettre en place des alternatives supplémentaires. L’alternative pourrait par exemple prendre la forme du choix d’une publicité contextuelle. L’obligation pour les plateformes en ligne d’évaluer la validité du consentement CEPD : avis sur la validité du modèle « consentir ou payer » Le CEPD énonce également les critères pour évaluer la liberté du consentement de l’utilisateur. Les responsables de traitement doivent notamment prendre en compte l’absence de déséquilibre de pouvoir. Le CEPD n’interdit pas la redevance en soit. Néanmoins, il précise que les plateformes ne devront pas fixer un prix de nature à obliger les utilisateurs à consentir. Ainsi, une obligation d’évaluation au cas par cas du montant des redevances pèse sur les responsables de traitement. Pour cela, ils doivent notamment prendre en compte leur position sur le marché ou alors la situation de dépendance de l’utilisateur. Un rappel de l’exigence de respect global du RGPD CEPD : avis sur la validité du modèle « consentir ou payer » De plus, le consentement une fois obtenu ne soustrait pas les responsables de traitement au respect des principes du RGPD. L’article 5 prescrit notamment le respect des principes de limitation des finalités, de minimisation ou de nécessité. Ainsi, le CEPD n’interdit pas en soit le modèle « consentir ou payer ». Il le subordonne néanmoins au respect des conditions susmentionnées. Afin de préciser sa position, le CEPD élaborera également des lignes directrices sur le modèle « consentir ou payer ». Il convient de rappeler pour mémoire que le non-respect d’une obligation du RGPD peut entrainer une amende. Celle-ci peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires annuel mondial. Avis n°08/2024 du CEPD du 17 avril 2024 sur le modèle « consentir ou payer » (EDPB Opinion 08/2024 ‘Consent or Pay’ models should offer real choice [en anglais])  Communiqué Cnil du 22 avril 2024 : « Consentir ou Payer » : le Comité européen de la protection des données adopte un avis. Avec la collaboration de Célia Prot, stagiaire, étudiante en Master 2 Droit européen du marché et de la régulation à l’Université Paris Panthéon Assas. Created by potrace 1.16, written by Peter Selinger 2001-2019 Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Marion Catier Avocate, Directeur d’activité au sein du pôle Contentieux numérique Avocate à la Cour d’appel de Paris, Marion Catier est Directeur de l’activité Contentieux Données personnelles au sein du pôle Contentieux numérique. Elle intervient principalement dans le cadre de contentieux et précontentieux relatifs à la protection des données à caractère personnel et des systèmes d’intelligence artificielle. Marion Catier intervient également dans le cadre de contentieux liés aux systèmes d’information, devant les juridictions civiles et commerciales. Phone:+33 (0)6 74 40 73 22 Email:marion-catier@lexing.law Pour en apprendre davantage ChatGPT dans le monde du droit À l’aube d’une ère où l’intelligence artificielle (IA) est en passe de devenir un compagnon quotidien… Lire plus La Cobotique Juridique : ChatGPT & Droit Les intelligences artificielles génératives telles que ChatGPT constituent une révolution pour les professionnels du droit… Lire plus

Actualités, Articles, Informatique et libertés, Publication, Sécurité

Guide de la sécurité des données personnelles de 2024

/

La Cnil a publié son Guide de la sécurité des données personnelles de 2024 afin de rappeler les précautions de sécurité à mettre en œuvre. Lire la suite Contenu du Guide de la sécurité des données personnelles de 2024 Guide de la sécurité des données personnelles de 2024 L’objectif du guide est d’aider les organismes à assurer la sécurité des données personnelles qu’ils traitent. L’obligation de sécurité en matière de données personnelles existe depuis la loi informatique et libertés de 1978. L’adoption du Règlement général sur la protection des données (RGPD) a renforcé cette obligation. En effet, l’article 32 énonce que : « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Le Guide de la sécurité des données personnelles de 2024 va rappeler les précautions élémentaires à mettre en œuvre. Il va également introduire des mesures plus avancées visant à renforcer davantage la protection des données. La Cnil intègre au guide des recommandations d’autres autorités telles que l’ANSSI et le CEPD. En comparaison avec son édition de 2023, la Cnil a introduit cinq nouvelles fiches thématiques : • Fiche 1 : Piloter la sécurité des données ; • Fiche 22 : Cloud : Informatique en nuage ; • Fiche 23 : Applications mobiles : Conception et développement ; • Fiche 24 : Intelligence artificielle : Conception et apprentissage ; • Fiche 25 : API : interface de programmation applicative. La Cnil a également ajouté des modifications aux fiches existantes afin de les adapter aux évolutions des menaces et connaissances. Elle va notamment s’intéresser à l’utilisation des équipements personnels en environnement professionnel (BYOD). Piloter la sécurité des données Guide de la sécurité des données personnelles de 2024 La Cnil place le pilotage de la sécurité des données au premier plan. Le guide énonce dans un premier temps que l’implication de la direction dans la sécurité des données personnels est nécessaire. De plus, un plan d’action relatif à la sécurité informatique et des mesures techniques et organisationnelles sont nécessaires. Le guide met l’accent sur la périodicité du contrôle de l’effectivité de ces mesures. La Cnil insiste en effet sur le fait que la sécurité des données personnelles n’est pas un problème accessoire. Elle s’accompagne d’un plan d’action à long terme. Cloud : informatique en nuage Guide de la sécurité des données personnelles de 2024 La Cnil énonce que la sécurité des données incombe aux fournisseurs de service cloud.  Ils doivent mettre en place des garanties suffisantes pour la mise en œuvre des mesures de sécurité. Néanmoins, le guide rappelle que la sécurité des données appartient également au client. Il lui incombe en effet d’évaluer et de vérifier le niveau de sécurité du fournisseur et ses éventuels prestataires. Ainsi des précautions sont nécessaires, tel que : Chiffrer les données ; Porter attention aux accès et autorisations ; Authentifier les utilisateurs ; Réaliser des sauvegardes. La conception et le développement d’application mobile Guide de la sécurité des données personnelles de 2024 La Cnil rappelle que les applications mobiles impliquent le traitement de nombreuses données personnelles. Ainsi, pèsent sur les éditeurs une obligation de sécurisation des traitements et de transparence envers les utilisateurs. Ils doivent notamment respecter le principe de minimisation des données. Ce dernier limite le traitement de données personnelles à ce qui est nécessaire au fonctionnement de l’application. Les précautions élémentaires comprennent notamment la sécurisation des communications et le stockage des secrets cryptographiques. Le client doit quant à lui prendre en compte que le système d’exploitation puisse effectuer la sauvegarde automatique des données personnelles. Ainsi, il choisira de désactiver ces sauvegardes ou de chiffrer ses données. Intelligence artificielle : conception et apprentissage Guide de la sécurité des données personnelles de 2024 Le principal enjeu du développement de l’intelligence artificielle réside autours du volume important de données d’entrainement des systèmes. Il rend nécessaire la prise de mesures de sécurité spécifiques. La Cnil préconise ainsi de vérifier la qualité des données et des annotations, la présence de biais et la fiabilité des sources de sonnées. Il convient également d’éviter les copies, partielles ou totales des bases de données. Il est souhaitable d’en restreindre l’accès et l’utilisation aux seules personnes habilitées.  API : interface de programmation applicative Guide de la sécurité des données personnelles de 2024 La Cnil vient insérer une fiche sur les API. En effet, la Cnil rappelle qu’elles constituent une bonne pratique car elles permettent de fiabiliser, minimiser et sécuriser les échanges. Néanmoins, elle énonce par la suite la nécessité de limiter le partage aux données strictement nécessaires.  Elle recommande également de ne plus conserver actives d’anciennes versions d’API. Ces dernières sont en effet susceptibles de ne plus répondre au niveau de sécurité attendue. La mise à jour des recommandations existantes Guide de la sécurité des données personnelles de 2024 Outre l’introduction de nouvelles fiches, la Cnil met à jour ses recommandations existantes.  Le Guide de la sécurité des données personnelles de 2024 insiste sur la sensibilisation des utilisateurs. Le guide recommande en effet de mettre en place des exercices et des simulations d’incidents de sécurité information. Le but est de vérifier la bonne mise en œuvre des consignes et la pertinence des procédures internes. La Cnil va également enrichir son guide avec l’introduction de recommandations concernant les pratiques de « bring your own device » ou BYOD. Elle préconise de ne l’autoriser qu’en fonction des risques identifiés. Un système de gestion des appareils mobiles (MDM) doit permettre de maitriser le niveau de sécurité des appareils se connectant à un réseau. Concernant la protection du réseau informatique, la Cnil conseille de cloisonner le réseau afin de réduire l’impact en cas de compromission. Pour administrer les équipements de réseaux la Cnil préconise de choisir un protocole SSH ou un accès direct. Pour la sécurisation des sites web, la Cnil recommande de sécuriser les flux d’échanges de données par l’utilisation de TLS (transport layer security).  Ce guide s’adresse aussi bien aux délégués à la protection des

Actualités, Conférences, Evénement, Pénal numérique, Réglementation, Robot, Vie du Cabinet

L’usage des drones à des fins de sécurité publique

/

Virginie Bensoussan Brulé s’exprime sur l’usage des drones équipés de caméras par les forces de l’ordre à des fins de prévention des atteintes à la sécurité publique pour les Visiteurs du soir du dimanche 21 mai 2023. Frédéric Taddeï et ses invités débattent des grandes questions du XXIe siècle dans les Visiteurs du soir pour CNews.

Retour en haut