Informatique et libertés

Actualités, Articles, Economie numérique, Informatique et libertés, Internet conseil, Publication, Secteur communication électronique

La création d’un marché unique du numérique

/

La Commission européenne vient de révéler 16 initiatives pour la création d’un marché unique numérique (1). L’objectif de la Commission européenne est clair : adapter l’environnement européen face au développement du numérique et à la multiplication des sociétés dans ce domaine. Selon la Commission, la création du marché unique numérique passe par la simplification et l’harmonisation des règles afin de renforcer la compétitivité des entreprises et la protection des consommateurs. Parmi les propositions, on trouve de profondes modifications, telles que le projet de réforme de la directive « Commerce électronique » du 8 juin 2000 (2) qui modifierait le statut des hébergeurs. Les hébergeurs ne seraient plus considérés comme de simples intermédiaires techniques et pourraient engager leur responsabilité en raison des contenus diffusés. La Commission européenne a regroupé les 16 propositions en trois grands piliers qui permettent d’aborder les grandes problématiques liées au numérique : l’amélioration de l’accès aux biens et services numériques ; la création d’un environnement propice au développement des réseaux et services numériques ; le numérique comme moteur de croissance. Améliorer l’accès aux biens et services numériques. La Commission européenne souhaite d’abord faciliter le commerce électronique transfrontalier en harmonisant les règles européennes et en mettant l’accent sur la protection des consommateurs. La seconde mesure devrait permettre de faciliter le commerce électronique en améliorant la livraison de colis et en facilitant les achats effectués dans d’autres pays de l’Union européenne, notamment en diminuant les coûts et en renforçant l’efficacité des livraisons. La création du marché unique numérique et le développement du commerce électronique passera par la lutte contre le blocage géographique. Cette pratique consiste à bloquer l’accès à des sites de commerce en ligne ou à renvoyer les consommateurs vers des sites accessibles dans leur propre pays proposant des prix différents. La Commission européenne entend également harmoniser la législation sur le droit d’auteur et favoriser l’accès en ligne aux œuvres dans l’Union. Enfin, les règles relatives à la TVA en matière de commerce électronique devraient être simplifiées. Créer un environnement propice au développement des réseaux et services numériques. La Commission a annoncé sa volonté d’adapter la réglementation sur les télécommunications et les médias audiovisuels. L’objectif est de permettre un accès aux services en ligne peu importe où se trouve le consommateur en Europe. Une réflexion sur les plateformes en ligne devrait être entamée notamment, sur les questions relatives à la transparence, à l’utilisation des informations et la lutte contre les contenus illicites. La Commission souhaite également réexaminer la directive sur la vie privée et les communications électroniques afin de renforcer la protection relative aux données personnelles dans le but de rassurer les consommateurs. Le numérique, un moteur de croissance. La mise en œuvre de cette priorité passe par la numérisation des entreprises, tous secteurs confondus, des administrations et le développement de normes européennes dans tous les domaines tels que la cybersécurité, le cloud computing et l’interopérabilité. La Commission européenne s’intéressera à la circulation des données et aux problématiques liées au Big data, et se demandera notamment, au sein du marché unique numérique, comment gérer des quantités et des flux de données de plus en plus nombreux. Aucun calendrier précis n’a été fixé mais on sait d’ores et déjà que le Parlement et le Conseil européen devraient appuyer, voire, accélérer le projet de création du marché unique numérique. Virginie Bensoussan-Brulé Caroline Gilles Lexing Droit Vie privée et Presse numérique (1) 16 initiatives pour la création d’un marché unique numérique. (2) Directive « Commerce électronique » du 8 juin 2000.

Actualités, Articles, Biométrie, Informatique et libertés, Publication

L’utilisation des données biométriques contenues dans les passeports

/

Dans un arrêt du 16 avril 2015, la Cour de Justice de l’Union Européenne a laissé entendre que les données biométriques contenues dans les passeports délivrés par les Etats-membres pourront être utilisées ou conservées à des fins autres que la délivrance du passeport (1). Depuis quelques années la plupart les états européens intègrent des données biométriques sur la puce électronique des passeports, telles que la photographie numérisée du visage ou les empreintes digitales. Le règlement (CE) n° 2252/2004 du Conseil européen impose, en effet, depuis le 13 décembre 2004, le prélèvement des empreintes digitales de toute personne demandant un passeport sur le territoire de l’Union Européenne. Or, les données personnelles contenues dans un passeport biométrique sont des données sensibles, susceptibles de porter atteinte à la vie privée et à la protection des données à caractère personnel. La collecte de ces données permet pourtant de mieux lutter contre la fraude et l’usurpation d’identité. Dans les affaires en cause, les requérants posaient une question préjudicielle à la Cour de Justice de l’Union Européenne portant sur le refus de délivrance par les autorités néerlandaises d’un passeport et d’une carte d’identité au prétexte que leurs données biométriques n’avaient pas pu être relevées. Dans la première affaire, deux ressortissants contestaient le refus de délivrance d’un passeport au motif que ces derniers avaient refusé de fournir leurs empreintes digitales au moment de la délivrance du document. Dans la seconde affaire était contesté le refus de délivrance d’une carte d’identité au motif que le requérant avait refusé de fournir ses empreintes digitales et sa photographie faciale. Au soutien de leur demande, les requérants indiquaient que la saisie et la conservation des données constituaient une atteinte à leur intégrité physique et à leur droit à une protection à la vie privée. En effet, lors de la fabrication des passeports les Pays-Bas conservent les données collectées dans une base de données. Les requérants considéraient cette opération contraire aux dispositions du règlement du 13 décembre 2004, qui prévoit à l’article 4 que « les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier l’authenticité du document et l’identité du titulaire ». Ces derniers craignaient que ces données sensibles soient utilisées à d’autres fins que la fabrication des documents d’identité, notamment, à des fins judiciaires ou qu’elles soient utilisées par les services de renseignement et de sécurité. Dans la première affaire, la Cour a considéré que les cartes d’identité étaient exclues du champ d’application du règlement et que la question relevait par conséquent, de la législation nationale. Dans la seconde affaire, la Cour a considéré que l’article 4 du règlement n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées ne seront pas traitées à des fins autres que la délivrance du passeport, un tel aspect ne relevant pas du champ d’application dudit règlement. C’est ainsi que la Cour a considéré que cet article ne fait pas obstacle à ce que les données soient utilisées pour alimenter une base de données utilisée pour la fabrication des passeports. En France, la Commission nationale de l’informatique et des libertés porte une attention particulière aux conditions d’utilisation et de conservation des données biométriques collectées dans le cadre des demandes de délivrance de passeport et s’assure que celles-ci ne soient pas utilisées à d’autre fins comme par exemple, à des fins d’enquête policière. Virginie Bensoussan-Brulé Caroline Gilles Lexing Droit Vie privée et Presse numérique (1) CJUE 16 04 2015 C-446-12, Aff. jointes C-446/12 à C-449/12.

Evénement, Géolocalisation, Informatique et libertés, Revue de presse

sms, mails, votre employeur peut-il vous espionner ?

/

Sms, mails : votre employeur peut-il vous espionner ? Alain Bensoussan, avocat spécialisé en droit des technologies et protection des données personnelles répondait aux questions de Pierre de Vilno sur Europe 1 midi le 20 février. Un procès a confronté un salarié à son employeur qui était allé regardé les Sms échangés sur son portable professionnel. La cour de cassation vient de lui donner raison. L’employeur a le droit d’interroger le téléphone professionnel d’un salarié pour regarder les Sms envoyés et reçus sans avoir à demander l’avis du salarié (Cass. com. 10-2-2015, n° 13-14779). Cette jurisprudence est née d’un litige entre deux entreprises ; celle qui s’estimait lésée a utilisée comme preuve des Sms échangés par des salariés avec leurs téléphones professionnels. La Cour de cassation a considéré ses messages comme des preuves tout à fait recevables car on n’est plus dans le domaine de la vie privée dès lors que l’on utilise du matériel mis à disposition de l’entreprise. Pour surveiller les messages des employés plusieurs solutions existent. L’employeur peut bien sur vérifier directement en prenant le téléphone professionnel. Mais dans beaucoup d’entreprises, il existe un serveur par lequel transitent tous les Sms et que l’employeur peut consulter dès lors qu’ils ne sont pas signalés en objet comme « personnel » ou « privé ». Pour Alain Bensoussan, « cette jurisprudence est la suite d’une construction qui a commencé avec l’affaire Nikon et le droit à la vie privée résiduelle des salariés dans l’entreprise. Dans cet arrêt du 2 octobre 2001, la Cour de cassation consacre dans tous les médias, le droit du salarié à avoir une vie privée résiduelle dans l’entreprise. Dans la mesure où cette cette vie privée est clairement identifiée, l’employeur n’a pas le droit d’y avoir accès. En milieu professionnel, tout ne relève pas nécessairement du travail, il peut y avoir des moments privés. Cette vie personnelle peut s’exprimer sans qu’il y ait détournement de l’obligation de loyauté. Dans un deuxième temps, cette jurisprudence considère que dans la mesure où elle est identifiée, l’employeur n’a pas le droit de contrôler cette vie privée résiduelle, quel que soit le média. La règle qui est posée à l’époque, est que tout est professionnel, sauf ce qui est expressément signalé par le salarié comme étant personnel ou privé. On a continuer à construire ce droit à la vie privée résiduelle avec notamment, une charte organisant cette vie privée au sein de l’entreprise (…) »  Le Journal de Wendy Bouchard sur Europe1, Europe Midi (Ecoutez l’émission du 20 février 2015 : à 57:40)

Rencontres EBEN du 17 juin 2014
Actualités, Conférences, Informatique et libertés

Rencontres EBEN et risques IT liés à la loi informatique et libertés

/

Les Rencontres EBEN 2014 ont été l’occasion de présenter le travail des différentes commissions métier de l’année ainsi que les différents projets en cours tels que le Label EBEN, la rédaction des conditions générales de vente appliquées à l’informatique, aux télécoms et aux solutions d’impression et l’offre de formation sur mesure destinée aux distributeurs de mobilier de bureau. Les Rencontres EBEN ont également été l’occasion de présenter la démarche Quali’Op et la remise de la certification par l’AFNOR. Issue du regroupement de plusieurs syndicats (SEBI, FNEBIM, FFP et plus récemment, la FICOME), la Fédération EBEN – Entreprises du Bureau et du Numérique – assure la représentation et la défense des distributeurs de fournitures de bureau, papeterie, systèmes d’impression, informatique, télécoms et mobilier de bureau tant auprès des pouvoirs publics que des partenaires sociaux. Elle compte plus de 2 000 adhérents. Lors des Rencontres EBEN, Alain Bensoussan a exposé les risques IT liés à la loi informatique et libertés, aux relations sociales et à la sécurité et comment les maîtriser. Il travaille par ailleurs avec la Fédération EBEN pour rédiger les conditions générales et particulières de vente applicables aux métiers de l’informatique, des télécoms et des Solutions d’impression. Les Rencontres EBEN se sont tenues le 17 juin 2014 à l’hôtel Hyatt Regency Etoile et au Club Duplex de Paris. La prochaine convention de la fédération EBEN aura lieu en 2015. Trait-d’Union, Lettre d’Information N° 78, JUIN 2014, p; 2

Cnil : organisation et pouvoirs, Evénement, Informatique et libertés, Revue de presse

Les contrôles Cnil à distance vont se multiplier

/

Les contrôles Cnil à distance vont se multiplier en 2015. Céline Avignon apporte quelques recommandations dans sa chronique mensuelle pour E-commerce Magazine. Depuis le mois de septembre, la Cnil peut en effet effectuer des contrôles à distance afin de vérifier la conformité des plateformes à la loi Informatique, fichiers et libertés.

Actualités, Evénement, Informatique, Informatique, Informatique et libertés, Informatique et libertés Contentieux, Pénal numérique, Revue de presse, Sécurité des SI

Piratage des serveurs de Sony Pictures aux Etats-Unis

/

Piratage des serveurs de Sony Pictures aux Etats-Unis. Alain Bensoussan, avocat spécialisé en sécurité informatique et en intelligence économique répondait aux questions de Wendy Bouchard et des auditeurs sur Europe1. La Maison Blanche parle d’une grave affaire de sécurité nationale. Sony a décidé de ne pas sortir son film « The interview », une comédie sur deux agents de la CIA qui ont pour mission d’assassiner le dictateur Nord Coréen après avoir reçu des menaces d’attentat via un message anonyme. C’est une première. Europe Midi : Pourquoi La Maison Blanche est-elle si alarmiste alors qu’il ne s’agit pas à proprement parler de piratage de données gouvernementales ? AB : « ce sont des données sensibles d’une entreprise à forte visibilité et avec cette affaire, on voit apparaître une nouvelle forme de guerre d’un Etat contre une entreprise privée mondialement connue. De telles entreprises orientées vers un marché de secteur privé ne sont pas capables de lutter contre des forces aussi importantes que sont des forces nationales numériques« . Europe Midi : On parle de Sony, mais est-ce que toutes les entreprises y compris les entreprises françaises sont menacées et sont régulièrement soumises à ce type d’attaque informatique ? AB : « Pour ce type d’attaque effectivement, il y a très peu d’entreprises françaises qui sont capables de résister d’abord parce-qu’elles ne disposent pas d’un niveau de protection du type de ceux mis en place pour les centrales nucléaires. Pourquoi des entreprises de marché qui ont des clients notamment dans les média, mettraient-elles un tel niveau de sécurité contre ce type d’attaque totalement disproportionné ? Elles ne sont pas du tout préparées à faire face à de tels risques« . Europe Midi : Quels sont les secteurs d’activité en France le plus touchés par le piratage ? AB : « Ce sont tous les secteurs où il a des possibilités d’obtenir de l’argent extrêmement rapidement, à travers des atteintes à la vie privée par le piratage des messageries, des détournements de fonds par le phishing. De manière générale, l’obtention de produits sans argent est une délinquance qui se généralise. Ce phénomène s’explique tout simplement parce qu’il est très facile aujourd’hui de se procurer sur le net des outils d’attaque, ces formes de virus sont autant de kalachnikov « binaires », très faciles à utiliser et à la portée de n’importe quel apprenti pirate digital qui peut se transformer en James bond de l’informatique« . Europe Midi : On parle de délinquance d’Etat, mais ce ne sont pas les Etats qui s’espionnent. Ils recrutent des pirates informatiques (hackers) pour attaquer des entreprises à capital stratégique. AB : « La plupart des Etats disposent d’une « cyberdéfense », c’est-à-dire d’armées numériques de très haut niveau. Personne ne peut ignorer les attaques par virus informatique et la menace s’aggrave chaque jour« . Europe Midi : On a besoin de mieux comprendre comment s’armer. Sony a reculé face aux pirates informatique, est-ce la porte ouverte au chantage médiatique ? AB : « Ce sont tous les actifs de Sony qui sont en jeu mais il y a aussi les dommages collatéraux et notamment tous les accords que Sony a pu signer avec d’autres entreprises qui sont susceptibles d’être mis à la disposition de tous. On peut comprendre que Sony ait préféré reculer dans un premier temps« . Europe Midi : Faut-il abandonner nos ordinateurs et nos connexions à internet en dépit des antivirus ? AB : « Les innovations technologiques ont toujours été accompagnées de délinquance. Cela doit entraîner une triple réponse, d’abord pédagogique pour que les utilisateurs cessent d’être négligents sur la sécurité (par exemple, avoir des mots de passe supérieur à 8 caractères avec de l’alpha numérique et des caractères spéciaux). Il faut aussi amener les entreprises à augmenter leur niveau de sécurité et enfin, changer l’arsenal répressif français. Les peines de prison sont de 3 ans et ont été pensées en 1988 sous la loi Godfrain. Aujourd’hui, compte-tenu de la généralisation de ce type de délinquance, il faut sans doute multiplier les peines par 3 ou par 4 afin que le seuil soit plus dissuasif« . Europe Midi : Ce qui se passe avec Sony est très alarmant car cette attaque aurait passée 90% des défenses numériques du gouvernement. Ce qui veut dire que que l’on a beau avoir un système de sécurité en béton, il y aura toujours un pirate qui trouvera la faille. C’est à l’évidence ce qui s’est produit ici. AB : « Ce qui compte c’est le degré de confiance d’une économie numérique comme la notre. Il faut certes augmenter le niveau de protection, mais contre une attaque de type « cyber guerre », la solution ne peut venir du marché. Dans l’affaire Sony, c’est à l’Etat américain d’apporter une réponse. Par contre, les entreprises doivent néanmoins augmenter leur niveau de sécurité parce que derrière les informations moins importantes que celles de Sony, il y a notre intimité et notre vie privée qui doit être assurée« . (…) Le Journal de Wendy Bouchard sur Europe1, Europe Midi en duplex depuis La Roche sur Yon, le 19-12-2004 (Ecoutez l’émission à 38:00 > 45:30).

Retour en haut