La Cnil a publié, le 28 mai 2012, un article sur son site internet relatif à la notification des violations de données à caractère personnel prévue par l’article 34 bis de la loi Informatique et libertés et le décret du 30 mars 2012.
Le 19 février 2012, la Cnil a fait part de son intention d’effectuer durant l’année des contrôles sur les failles de sécurité.
Le décret du 30 mars 2012 précise les modalités pratiques de notification des failles à la Cnil et aux personnes concernées des violations de sécurité visées par la loi Informatique et libertés.
Le nouveau « paquet télécoms » (directives CE) vient d’être transposé en droit français par l’ordonnance du 24 août 2011. Ainsi, la protection de la vie privée et des données personnelles est élargie avec l’interdiction des spams,l’encadrement de l’usage des cookies. Par ailleurs, l’obligation est faite aux opérateurs de notifier les violations de données personnelles constatées. Alain Bensoussan pour Micro Hebdo, le 22 septembre 2011
Petit-déjeuner du 5 octobre 2011 – Alain Bensoussan et Céline Avignon ont animé un petit-déjeuner débat consacré à la nouvelle obligation
Cookies et notification des failles : La protection renforcée de la vie privée et des données personnelles se traduit par diverses mesures, dont l’encadrement légal des « cookies ».
La Commission européenne lance une consultation sur les modalités pratiques de l’entrée en vigueur de l’obligation prévue par la directive 2009/136/CE « Vie privée et communications électroniques » du 25 novembre 2009.
L’actualité en 2011 a fait l’objet de nombreuses illustrations sur la notification des failles de sécurité et de piratages informatiques. Les derniers en date concernent le vol des données personnelles de plus d’un million de comptes clients du groupe de jeux Sega et du géant de l’électronique Sony en exploitant des failles de sécurité pour s’introduire dans les serveurs de leur site Internet. Les attaques visent non seulement les systèmes d’information des entreprises, mais également ceux de l’Etat. Les pirates n’hésitent pas à s’attaquer aux systèmes d’information de l’Elysée, du Quai d’Orsay ou du ministère de l’Economie, des Finances et de l’Industrie, victimes de tentatives de piratage et d’intrusions. A tel point qu’un projet d’ordonnance gouvernementale prévoit d’instaurer une nouvelle obligation pour les entreprises fournissant des services de communications électroniques. Ces dernières auraient l’obligation de notifier à la Cnil toute « violation des données à caractère personnel », ainsi qu’à l’abonné s’il en résulte un préjudice. La notification des failles à l’abonné ne serait pas nécessaire si la Cnil valide les mesures de protection technologiques mises en œuvre par le fournisseur pour remédier à la violation et constate que ces mesures ont été appliquées aux données concernées. Ce texte doit être adopté au plus tard le 21 septembre 2011. Alain Bensoussan pour Micro Hebdo, le 21 juillet 2011
Piratage informatique : une proposition de loi qui va vers une nouvelle pénalisation des attaques contre des sites publics. La députée UMP Muriel Marland-Militello déclarait, quelques semaines après l’attaque de Bercy, qu’une proposition de loi allait être déposée prochainement « afin de mieux punir les atteintes portées aux sites internet et de renforcer les sanctions contre les attaques informatiques envers les institutions ». Piratage informatique Cette proposition de loi opère une redéfinition du champ d’application des dispositions du Code pénal relatives au système de traitement automatisé de données. Elle propose ainsi qu’une revue des peines encourues par les auteurs d’attaques informatiques contre des sites publics. Enfin, est prévue la suspension de l’abonnement internet, en sus des peines complémentaires de l’article 323-5 du Code pénal. En effet, la députée souhaite, tout d’abord, étendre le champ d’application des dispositions relatives au « système de traitement automatisé de données » à tous les services de communication au public en ligne et de communication audiovisuelle. Le fait d’entraver ou de fausser le fonctionnement d’un site internet serait alors passible de cinq ans d’emprisonnement et 75 000 euros d’amende. De plus, Muriel Marland-Militello entend doubler les peines encourues au titre des articles 323-1 à 323-3-1 du Code pénal, en cas d’attaque sur un site « officiel » détenu par une personne morale de droit public ou une personne morale de droit privé chargée d’une mission de service public. La députée justifie sa proposition par le fait que les auteurs de telles attaques entravent les usagers dans leur utilisation d’un service public auquel ils ont pourtant droit. Dernière proposition : La députée prône un durcissement des peines complémentaires encourues en s’inspirant du modèle Hadopi 2. A l’article 323-5 du Code pénal, qui prévoit déjà un large éventail de sanctions (privation des droits civiques, interdiction d’exercer une fonction publique, confiscation du ou des biens objets du délit, publication de la décision, etc), s’ajouterait la suspension de l’abonnement Internet « pour une durée de deux ans au plus assortie de l’impossibilité, pour l’abonné, de souscrire pendant la même durée un autre contrat portant sur l‘accès à un service de communication au public en ligne auprès de tout opérateur ». Cependant, dans la mesure où un arsenal juridique préexistant couvre déjà les différents scénarii d’attaque et d’intrusion informatiques, de vives contestations se sont élevées pour dénoncer l’inutilité juridique et technique de ce nouveau dispositif légal. Par exemple, le chapitre III du Code pénal relatif aux « atteintes aux systèmes de traitement automatisé de données », pris en son article 323-1, dispose déjà que tout accès non autorisé à un tel système de traitement est puni d’une peine de deux ans de prison et de 300 000 euros d’amende. Les articles 323-2 et 323-3 dudit Code sanctionnent, quant à eux, les faits d’entraver, de fausser ou d’introduire frauduleusement des données pour corrompre un tel système d’une peine de cinq ans et 75 000 euros d’amende. De plus, le contrôle de la confidentialité et de la sécurité des différents traitements de données à caractère personnel entre dans le cadre des missions de la Cnil en vertu de la loi n° 78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés. (…) Enfin, concernant la suspension d’abonnement internet, force est de constater que la mesure proposée envisage, non seulement de doubler le quantum de la peine (deux ans au lieu d’une année prévue par la loi dite Hadopi 2), mais également d’en élargir le champ de recouvrement (tout acte de « piraterie » et non plus seulement les délits de contrefaçon). Des critiques techniques peuvent également être opposées à cette proposition de loi, dont la principale est que la plupart des attaques DDOS (distributed denial of service – attaques visant à saturer les serveurs pour rendre inaccessibles les données présentes sur un site) sont en pratique réalisées, à distance, par des hackeurs utilisant les ordinateurs « zombies » (ordinateur utilisé à l’insu de son utilisateur par un pirate informatique) d’internautes ignorant tout de ces pratiques. Cependant, malgré le débat en cours, la problématique reste d’actualité : en témoigne le piratage des services PlayStation Network et Qriocity appartenant à Sony Computer Entertainment. Plus d’une semaine après qu’une « personne non autorisée » se soit emparée des données personnelles des quelques 77 millions d’utilisateurs pour le seul service PlayStation Network (noms, prénoms, adresses physiques et électroniques, identifiants et mots de passe des services, coordonnées bancaires), la firme japonaise a admis une intrusion sur ses serveurs. Le Ponemon Institute a estimé le coût des pertes à 2 milliards de dollars pour Sony, en dédommagement des utilisateurs de PlayStation Network et pour les coûts de sécurisation du portail. Autre conséquence : un particulier a déposé plainte contre Sony auprès d’un tribunal californien, reprochant à l’entreprise nippone de ne pas avoir pris à temps les mesures nécessaires pour protéger, crypter et sécuriser les données privées et/ou sensibles, et critique le caractère tardif et lacunaire des communications de la firme. Cette action en justice a ensuite été relayée par les autorités européennes : le bureau de la Commission de l’information au Royaume Uni a ouvert une enquête, de même que le bureau irlandais de la Commission de protection des données a demandé des comptes à Sony. En conclusion, les considérations de la proposition de loi actuelle illustrent la prise en compte de la protection des données, y compris des données nominatives, qui constituent aujourd’hui un patrimoine immatériel de l’entreprise. Le sujet fait d’ailleurs l’objet d’autres projets législatifs, tels que la proposition de loi n° 3103 de Monsieur Carayon relative à la protection des informations économiques ou la proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, dont l’article 7 énonce « l’obligation de sécurisation des données incombe au responsable du traitement et crée une obligation de notification à la Cnil des failles de sécurité ». PLO AN n° 3412 du 11-5-2011
Propriété intellectuelle Bases de données Droits du producteur de base de données et logiciel de collecte d’informations La société Europages, spécialisée dans la diffusion d’informations sur les entreprises sur le réseau internet, a établi par constat d’huissier que la société Ewaycom commercialisait sur son site internet un logiciel permettant de récolter des informations relatives aux entreprises inscrites dans l’annuaire européen Europages ( raison sociale, adresses postales, téléphone, télécopie, Email…) et d’exporter ces données. Elle a, en conséquence, fait assigner Ewaycom devant le Tribunal de grande instance de Paris pour violation de son droit sui generis de producteur d’une base de données et contrefaçon de ses marques. Par jugement en date du 3 novembre 2009, le tribunal a reconnu à la société Europages la qualité de producteur de base de données, cette dernière ayant produit des contrats de travail à durée indéterminée de différents employés affectés à la base de données : une assistante base de données, une responsable base de données et un développeur base de données. Elle justifie, par là même, des investissements substantiels mis en œuvre pour la constitution, la vérification et la présentation de la base de données. Dans la mesure où le logiciel de la société Ewaycom permet d’extraire des données et de « récupérer les résultats recherchés sous forme de liste tout en conservant et en respectant l’affichage et de récupérer des données sans avoir à effecteur un copier/ coller », le tribunal considère que la reproduction a un caractère qualitativement substantiel et porte ainsi atteinte aux droits de la société Europages. La solution n’allait pas de soi car l’extraction est le fait de l’utilisateur du logiciel. Il n’était pas évident, par ailleurs, que les informations extraites puissent être qualifiées de « qualitativement substantielles ». Cependant, elle s’inscrit dans la droite ligne de la jurisprudence antérieure. En revanche, il faut noter le montant relativement faible de la condamnation de 1 000 euros, en réparation de l’atteinte aux droits du producteur, dans la mesure où la société Ewaycom démontrait que le logiciel était présent sur le site depuis moins d’un mois, qu’aucune vente n’avait eu lieu et que seule deux demandes de téléchargement lui avaient été adressées. TGI Paris 03 11 2009 (Mise en ligne Mars 2010) Autres brèves La Cour de cassation définit ce qu’il faut entendre par « investissement » pour bénéficier de la protection des bases de données sui generis (Mise en ligne Mars 2009) La protection des droits du producteur (Mise en ligne Novembre 2008) La notion d’initiative et de prise de risque (Mise en ligne Novembre 2008) La reprise à l’identique des données (Mise en ligne Novembre 2008) Le caractère original d’une base de données (Mise en ligne Novembre 2008) Les conditions requises pour l’extraction ou la réutilisation du contenu d’une base de données (Mise en ligne Novembre 2008) La qualité de producteur d’une base de données (Mise en ligne Novembre 2008) La notion d’investissement substantiel (Mise en ligne Novembre 2008) L’absence de caractère substantiel des investissements réalisés (Mise en ligne Novembre 2008) L’extraction de données en violation des droit du producteur (Mise en ligne Novembre 2008) La contrefaçon d’une base de données (Mise en ligne Novembre 2008) Une oeuvre protégée en considération de son originalité (Mise en ligne Novembre 2008) Le coût financier d’une base de données (Mise en ligne Novembre 2008)
Propriété intellectuelle Bases de données L’extraction de données en violation des droit du producteur La cour d’appel retient que la société Reed Business justifie d’un investissement financier tant en personnel tant en prestations informatiques en produisant les contrats de travail et la facturation des prestations attestant que plusieurs personnes travaillent à temps complet à la constitution, à la vérification et à la mise à jour de la base. Aussi, la cour retient que l’extraction sans autorisation du contenu de la base de la société Reed Expositions par la société Tigest viole les droits du producteur de la base. CA Paris 4e ch. Sect. A, 12 septembre 2001 Tigest SARL c/ Reed Expositions France (Mise en ligne Novembre 2008)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |