Comment agir pour sécuriser ses données informatiques?

Conférence-débat 28 mai 2013 Faculté de Droit de Nancy Comment agir pour sécuriser ses données informatiques? Conseil de l Ordre des Avocats de Nancy Conseil de l Ordre des Avocats de Nancy

«Les aspects juridiques de la sécurisation des données» Caroline ZORN-MACREZ Avocat au Barreau de NANCY Docteur en Droit - Chargée d enseignements, Université de Lorraine Franck MACREZ Docteur en Droit Maître de conférences CEIPI de Strasbourg

Les points abordés Avant-propos sur la cybercriminalité 1. Les risques d une absence de protection des données personnelles 1.1. Les fondamentaux de la loi «Informatique et Libertés» pour les entreprises et les Cabinets 1.2. «Et vous, vous en êtes où avec la Cnil?..» 2. Les risques d atteintes extérieures aux données 2.1. La protection de son système d information 2.2. Le Cloud et nos responsabilités 3. Les risques d une non sécurisation de son accès internet 3.1. Les obligations HADOPI 3.2. La sécurisation et le RPVA

Avant-propos La «Cybercriminalité»... En quoi cela nous concerne? Systèmes et réseaux sont l objet de l infraction Loi Informatique et Libertés du 6 janvier 1978 : Infractions en matière de fichiers ou de traitements informatiques Loi Godfrain du 5 janvier 1988 : Atteintes aux systèmes de traitement automatisé de données (STAD) LCEN du 21 juin 2004 : Infractions relatives à la cryptologie Systèmes et réseaux sont support de l infraction Loi Perben II de 2004 : Pornographie infantile, propos racistes et xénophobes, diffusion des procédés de fabrication d engins de destruction Loi relative à la prévention de la délinquance du 5 mars 2007: Happy slapping, propositions sexuelles faites à un mineur, jeux de hasard non autorisés,

1. Les risques d une absence de protection des données personnelles 1.1. Les fondamentaux de la loi «Informatique et Libertés» pour les entreprises et les Cabinets Pourquoi parler de la «Loi Informatique et Libertés»? Parce que nous sommes tous responsables de la sécurité des données de nos clients! Art. 34 : «Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès».

Loi n 78-17 du 6 janvier 1978 relative à l informatique, aux fichiers et aux libertés Directive 95/46/CE du 24 octobre 1995 relative relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données Loi n 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l égard des traitements de données à caractère personnel

1.1. Les fondamentaux de la législation «Informatique et Libertés» Depuis 2004 : Art. 226-17 CP : «Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende». Pas besoin d une cyber-attaque détruisant vos dossiers pour voir votre responsabilité engagée! Champ d application de la loi : - «donnée à caractère personnel» - «traitement de données»

1.1. Les fondamentaux de la législation «Informatique et Libertés» Art. 2 : «Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne». «Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. «Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés».

1.2. «Et vous, vous en êtes où avec Informatique et Libertés?» Données à caractère personnel Traitement autorisé sous réserve de formalités préalables : - Soit une dispense de déclaration - Soit une déclaration simplifiée - Soit une demande d autorisation préalable Traitement interdit, sauf exceptions dont : Données sensibles : santé, origines raciales ou ethniques, orientation sexuelle, opinions religieuse, philosophique, syndicales. - Consentement de la personne - Données publiques - Nécessaire à défense en justice - Fichiers justifiées par l intérêt public -

1.2. «Et vous, vous en êtes où avec Informatique et Libertés?» Vous êtes une entreprise privée - Dispense de déclaration pour

1.2. «Et vous, vous en êtes où avec Informatique et Libertés?» Vous êtes avocat - Les dispenses de déclaration - Campagnes d informations non-commerciales, - Site internet purement informatif - et utilisation de la messagerie sécurisée RPVA (que pour les communications avec les juridictions!) - Les normes simplifiées - Annuaire interne - Utilisation d une messagerie sans recours au RPVA - La déclaration normale - Gestion des dossiers clients - Logiciel de facturation au temps passé - Annuaire diffusé sur Internet Attention à l information des personnes! L absence de respect des formalités préalables est puni de 5 ans d'emprisonnement et de 300 000 d'amende! (Art. 226-16 CP)

1.2. «Et vous, vous en êtes où avec Informatique et Libertés?» Les réflexes de sécurité pour protéger les données personnelles dont nous sommes responsables Il s agit des engagements pris au moment de faire notre déclaration normale à la CNIL - Authentifier les utilisateurs - Adopter une politique de mot de passe rigoureuse - Installer un pare-feu (firewall) - Mettre à jour régulièrement des anti-virus - Prévoir un verrouillage automatique de session des ordinateurs - Éviter le wifi ou le protéger par un protocole «WPA AES» - Prévoir de chiffrer les données sur ordinateur portable et unités de stockage amovible (clé USB, DVD, ) - Protéger physiquement les locaux et les dossiers dans vos locaux - Gérer la sous-traitance par des clauses spécifiques Voir Guide Cnil «Les avocats et la loi informatique et libertés»

2. Risques d atteinte extérieure aux données 2.1. La protection de son système d information Loi du 5 janvier 1988 relative à la répression des atteintes aux systèmes de traitements automatisés de données, dite loi «Godfrain» => article 323-1 à 323-7 Code pénal Loi du 21 juin 2004 pour la confiance dans l économie numérique => «données informatiques»

2. Risques d atteinte extérieure aux données Qu est-ce qu un STAD? Pas de définition légale, mais consensus : «on doit entendre par système de traitement automatisé de données, tout ensemble composé d'une ou plusieurs unités de traitement, de mémoires, de logiciels, de données, d'organes d'entrées-sorties et de liaisons, qui concourent à un résultat déterminé, cet ensemble étant protégé par des dispositifs déterminés» (Doc. AN 1987-1988, n o 1009) 2.1. A.- L accès frauduleux «l'accès frauduleux, au sens de la loi, vise tous les modes de pénétration irréguliers d'un système de traitement automatisé de données, que l'accédant travaille déjà sur la même machine mais à un autre système, qu'il procède à distance ou qu'il se branche sur une ligne de communication.» (CA Paris, 5 avril 1994) Accès passif : mise sur écoute, captation wifi, Accès actif : fabrication d un programme utilisant des failles de sécurité

2. Risques d atteinte extérieure aux données 2.1. B.- Le maintien frauduleux Le plus souvent : «toute personne ayant accédé à un système et s y étant maintenu sans droit en pleine connaissance de cause» Mais aussi : «le maintien irrégulier dans un système de la part d une personne qui y serait entré par inadvertance» (CA, Paris 5 Avril 1994), ou «le maintien dans un système d une personne qui s est vue retirer toute habilitation». «Doit être censuré l arrêt qui relaxe un prévenu du chef de maintien frauduleux dans un STAD alors qu il relève que celui-ci, quand bien même il y aurait accéder régulièrement, a utilisé pendant plus de 2 ans, et avec un code qui ne lui avait été remis que pour une période d essai, une base de données qui n était accessible qu aux personnes autorisées» (Crim. 3 oct. 2007) Peine principale (accès ou maintien) : 2 ans et 30 000 d'amende

2. Risques d atteinte extérieure aux données 2.2. Le Cloud et nos responsabilités A.- Définition B. Problèmes posés C.- Solutions possibles

2.2. Le Cloud et nos responsabilités A.- Définition Image : S. Johnson ; CC ASA 3.0

2.2. Le Cloud et nos responsabilités A.- Définition JORF n 0129 du 6 juin 2010 page 10453 Vocabulaire de l'informatique et de l'internet Informatique en nuage Définition : Mode de traitement des données d'un client, dont l'exploitation s'effectue par l'internet, sous la forme de services fournis par un prestataire. Note : L'informatique en nuage est une forme particulière de gérance de l'informatique, dans laquelle l'emplacement et le fonctionnement du nuage ne sont pas portés à la connaissance des clients.

2.2. Le Cloud et nos responsabilités B.- Problèmes posés Impossible de savoir où le traitement et le stockage de données sont localisés Exemples : - Dropbox : «All files stored online by Dropbox are ( ) in multiple data centers located across the United States.» - Google (Drive, Gmail) : «partout dans le monde» (US, Chili, Hong Kong, Singapour, Taïwan, Finlande, Irlande ) - Apple icloud : Reno, Nevada (uniquement?) à Loi applicable? Application de la loi US. Exemple du Patriot Act : 21 389 comptes Google surveillés par les autorités américaines au 31/12/12.

2.2. Le Cloud et nos responsabilités C.- Solutions possibles Bien choisir son hébergeur, qui garantit une localisation en France ou dans un pays de l UE. S héberger soi-même Et le boitier RPVA?

3. Risques vis-à-vis de la diffusion de données au public 3.1. Les obligations HADOPI : surveillance et sécurisation 3.2. La sécurisation et le RPVA (?)

3.1. Les obligations HADOPI : surveillance et sécurisation Une obligation nouvelle (historique depuis L. DADVSI de 2006) Obligation de surveillance : «La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de (contrefaçon de droit d auteur).» (Article L336-3 CPI, L. 28 oct. 2009) I.- Constitue une négligence caractérisée, punie de l'amende prévue pour les contraventions de la cinquième classe, le fait, sans motif légitime, pour la personne titulaire d'un accès à (Internet), lorsque se trouvent réunies les conditions prévues au II : 1 Soit de ne pas avoir mis en place un moyen de sécurisation de cet accès ; 2 Soit d'avoir manqué de diligence dans la mise en œuvre de ce moyen. (Article R335-5 CPI, Décret 25 juin 2010)

3.1. Les obligations HADOPI : surveillance et sécurisation Il faut donc : Mettre en place une sécurisation Le «mettre en œuvre» en étant «diligent» à Sanction : contravention de 5ème classe + suspension accès Internet pendant 1 mois (R335-5 III) à Cela après deux recommandations de l Hadopi (mail et RAR, Article R335-5 II)

3.1. Les moyens de défense en cas de procédure Hadopi Hypothèse du relevé de votre adresse IP sur un réseau P2P à Prouver l absence de négligence dans la surveillance à Ce qui revient à démontrer l installation d un logiciel de sécurisation (au niveau de l «accès») mais aussi qu il a été correctement mis en œuvre (paramétré) à La preuve sera plus convaincante si le moyen de sécurisation a reçu un «label» Hadopi

3.1. Labellisation des moyens de sécurisation Après consultation des (professionnels du secteur), la Haute Autorité rend publiques les spécifications fonctionnelles pertinentes que ces moyens doivent présenter. Au terme d'une procédure d'évaluation certifiée prenant en compte leur conformité aux spécifications ( ), la Haute Autorité établit une liste labellisant les moyens de sécurisation (article L331-26, L. du 28 oct. 2009)

3.1. Labellisation des moyens de sécurisation? à À ce jour, les spécifications sont toujours à l état de projet (et vont le rester) : Version 2, avril 2011 http://www.scribd.com/doc/35088715/docprojet-sfh#archive à En conséquence, aucune labellisation Mais l infraction de négligence dans la surveillance peut être (a été) sanctionnée! à Une importante question quant au respect des droits de la défense

3.2. La sécurisation et le RPVA (?) L expérience de la loi Hadopi a montré : - la difficulté de fixer une norme en matière de sécurisation - Le fait que les décideurs ont une faible conscience de la complexité technique L analyse de l obligation de sécurisation conduit à estimer que : - La sécurité informatique est nécessairement une affaire personnelle - Il est dangereux d imposer un outil unique, qui devient alors une cible privilégiée. à La concurrence dans le système RPVA n est pas qu une question économique. Elle serait aussi un gage d efficacité technique, notamment par l ouverture aux logiciels libres.

Merci de votre attention! Caroline ZORN-MACREZ Franck MACREZ contact@zorn-macrez-avocats.fr