bulletin d`actualites juridiques - Bulletin d`actualités juridiques HSC

BULLETIN D’ACTUALITES JURIDIQUES
N°33, 21 juillet 2014
Condamnation de l’auteur de Tubemaster++
TGI Nîmes, ch. corr., 28 juin 2013, Blogmusik, Sacem et a. c/ Jérôme G.
En août 2009, la société Blogmusik, exploitante du site Deezer.com, découvrait la mise en ligne du
logiciel Tubemaster++, permettant l’enregistrement des musiques diffusées sur le site sans s’acquitter
d’un quelconque droit d’accès. Suite à une enquête menée par la BEFTI (Brigade d’enquêtes sur les
fraudes aux technologies de l’information), un étudiant en informatique a été identifié comme étant
l’auteur du logiciel. L’étudiant s’était introduit dans le système d’information du site Deezer.com, afin
de récolter les données nécessaires pour la conception du logiciel. Ce dernier a ensuite été diffusé sur
un site www.tubemaster.net, en août et septembre 2009.
Par jugement du 28 juin 2013, le Tribunal de grande instance de Nîmes a condamné l’étudiant pour
accès et maintien frauduleux dans un système de traitement automatisé de données (STAD) (art. 3231 du Code pénal), atteinte à une mesure de protection d’un programme protégé (art. L.335-4-1 du
Code de la propriété intellectuelle) et mise à disposition du public d’un logiciel visant à porter atteinte
à des œuvres protégées (art. L.335-2-1 du Code de la propriété intellectuelle). La peine prononcée est
une amende de 15 000 euros avec sursis. L’étudiant doit également verser, au titre de l’action civile, la
somme totale 31 000 euros de dommages et intérêts.
Le recours à un forum d’infiltration n’est pas un moyen de preuve déloyal
Cass. crim., 30 avril 2014, n°13-88.162, Affaire Carderprofit
En 2010, le FBI créait le forum d’infiltration Carderprofit, consacré au trafic et au commerce de
numéros de cartes bancaires, le carding. Ce site était configuré pour permettre au FBI de surveiller et
d’enregistrer les discussions publiées sur le forum, les messages envoyés, et les données techniques
de connexion des internautes accédant au site. En février 2012, l’OCLCTIC (Office central de lutte
contre la criminalité liée aux technologies de l’information et de la communication) a été informé par
le FBI des résultats d’une enquête, réalisée dans le cadre du forum Carderprofit, portant sur le carding
et mettant en cause un Français. Une enquête a alors été ouverte en France. Une perquisition, réalisée
à l’ancien domicile du suspect, a permis de recueillir des éléments corroborant l’existence d’activités
frauduleuses. Deux hommes ont alors été mis en examen pour atteinte à un système de traitement
automatisé de données, escroquerie en bande organisée et association de malfaiteurs.
Les deux individus ont contesté la validité des actes de procédure effectués, sur le fondement de
l’article 6§1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés
fondamentales, qui pose le principe de la loyauté de la preuve. Selon eux, la procédure serait fondée
sur un stratagème ayant provoqué la commission de l’infraction, ce stratagème consistant en la
création du forum d’infiltration par le FBI, sur lequel les deux hommes se sont rencontrés.
Par un arrêt du 30 avril 2014, la Cour de cassation rappelle la distinction entre provocation à la
commission de l’infraction et provocation à la preuve : seule la première est contraire au principe de
loyauté de la preuve. Or, les juges ont souligné que « le site de surveillance et d’enregistrement des
messages échangés a seulement permis de rassembler les preuves de la commission de fraudes à la
carte bancaire et d’en identifier les auteurs, aucun élément ne démontrant qu’il ait eu pour objet
d’inciter les personnes qui l’ont consulté à passer à l’acte ». Ainsi, la Cour de cassation a estimé que les
autorités américaines n’avaient pas réalisé de provocation à la commission d’infractions, et elle a donc
rejeté la demande d’annulation des actes de procédure.
SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS
EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A
Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET
Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709
L’obligation de sécurité des données personnelles implique la réalisation d’un audit
après la découverte d’un défaut de sécurité
CNIL, Délib. de la formation restreinte n°2014-238 du 12 juin 2014 prononçant un avertissement rendu public à
l’encontre de la société DHL
Informée d’un éventuel défaut de sécurité sur un site web de la société DHL, la CNIL (Commission
nationale de l’informatique et des libertés) a réalisé un contrôle au sein des locaux de l’entreprise en
février 2014. Elle a notamment constaté que près de 685 000 fiches de clients étaient accessibles aux
internautes sur simple requête. Ces fiches comportaient l’identité, l’adresse postale, le numéro de
téléphone, l’adresse électronique et les instructions détaillées de livraison. Certaines comportaient
même des informations liées à l’intimité des clients ou à leur état de santé. Les entretiens réalisés lors
du contrôle ont révélé que la société DHL avait connaissance de l’existence d’un défaut de sécurité
similaire affectant l’application depuis plusieurs mois, mais uniquement exploitable en interne.
La société DHL a fait valoir que, dès la connaissance du défaut de sécurité à l’issue du contrôle, elle
avait mis en œuvre les procédures nécessaires pour sécuriser l’application, et qu’elle avait pleinement
coopéré avec la Commission. Pour autant, la CNIL a estimé que la société avait manqué à son
obligation de sécurité érigée à l’article 34 de la loi du 6 janvier 1978, dite « informatique et libertés ».
Si la Commission a rappelé que l’obligation de sécurité n’est pas une obligation de résultat, elle a
estimé que, dès lors que DHL avait eu connaissance de l’existence d’une faille de sécurité en interne,
elle aurait dû entreprendre un audit de sécurité sur l’ensemble de l’application. Cette omission
constitue pour la CNIL un manquement à la loi « informatique et libertés », sanctionné en l’espèce par
un avertissement public.
Par cette délibération, la Commission apporte une précision quant à l’obligation de sécurité mise à la
charge des responsables de traitement. Cette obligation implique ainsi, en cas de découverte d’un
défaut de sécurité, la réalisation d’un audit sur le périmètre concerné par le problème. Reste
désormais à préciser l’étendue de ce périmètre, afin de ne pas créer une obligation de contrôle
disproportionnée.
Le pack de conformité, un nouvel outil de régulation « informatique et libertés »
CNIL, « Pack de conformité : Les Compteurs communicants », éd. Mai 2014
En 2013, la CNIL a débuté des travaux en vue de la réalisation d’un « pack de conformité » dans le
secteur du logement social, afin de remédier aux difficultés rencontrées par les acteurs du secteur
dans la mise en application des exigences « informatique et libertés ». Le 13 juin 2014, la Commission
a publié un pack de conformité consacré aux déploiements des compteurs intelligents.
Nouvel outil pour faciliter la mise en conformité « informatique et libertés », le pack comprend des
fiches pratiques, qui traitent des principales problématiques liées à la gestion des traitements : leurs
finalités, le recueil du consentement, les données collectées, la durée de conservation, les
destinataires, le droit des personnes concernées, la sécurité et les formalités préalables. Dans les
secteurs pourvus de dispenses de déclaration, de normes simplifiées ou d’autorisations uniques, le
pack aura également pour objet de pointer vers les délibérations de la CNIL et d’expliciter leur
articulation.
L’objectif de la Commission est de défendre ses packs à l’échelon européen via le G29 (groupe des
« CNIL » européennes). La Commission a annoncé la production de prochains packs dans les domaines
de l’assurance, des collectivités locales, de la banque et des actions sociales et médico-sociales.
SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS
EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A
Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET
Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709
Entrée en vigueur du RGS v.2.0
Arrêté du 13 juin 2014 portant approbation du RGS et précisant les modalités de mise en œuvre de la procédure de
validation des certificats électroniques
Le 24 juin 2014 a été publié au Journal officiel l’arrêté approuvant la version 2.0 du RGS (Référentiel
général de sécurité). Cette nouvelle version est entrée en vigueur le 1er juillet 2014. Les autorités
administratives doivent donc être conformes à la version 2.0 depuis cette date. Pour autant, en vue
d’une mise en application progressive, elles peuvent encore accepter des certificats conformes au RGS
version 1.0 jusqu’au 1er juillet 2015. Ces certificats devront néanmoins avoir une durée de vie
maximum de 3 ans.
Le premier objectif de cette révision majeure était la simplification. Ainsi, les 12 annexes A du
référentiel v.1.0 ont été regroupées en 5 annexes, dont l’articulation correspond mieux aux usages des
certificats en pratique. Le corps du nouveau RGS présente la procédure de mise en conformité, et
délivre des recommandations relatives à l’application du référentiel. La principale nouveauté se
trouve à l’annexe C, consacrée aux prestataires d’audit de la sécurité des systèmes d’information
(PASSI) : les autorités administratives peuvent désormais recourir à des prestataires d’audit qualifiés
dans le cadre de leur mise en conformité.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a rappelé l’importance des
clauses relatives à la sécurité dans les contrats que l’Administration conclut avec ses prestataires. À ce
titre, l’agence précise que la conformité au RGS peut être imposée par une clause contractuelle, le
référentiel étant annexé au contrat. L’ANSSI souligne également l’importance de la sensibilisation des
agents. Les chartes informatiques gagnent ainsi progressivement du terrain dans le secteur public.
Si des sanctions ne sont toujours pas prévues en cas de non-conformité, l’ANSSI rappelle toutefois
qu’une non-conformité est susceptible d’engager la responsabilité de l’Administration. Un tel
manquement peut en effet constituer une violation de l’obligation de sécurité des traitements de
données personnelles érigée à l’article 34 de la loi « informatique et libertés », et donc être sanctionné
par la CNIL ou le juge pénal.
Cette version 2.0 du RGS reste une version de transition. La version 3.0 permettra d’intégrer la
réglementation européenne, en cours d’évolution, et notamment les apports du projet de règlement
eIDAS (voir BAJ n°31 du 19 mai 2014).
Pour une présentation des aspects techniques du RGS v.2.0, voir l’éditorial de la Newsletter HSC n°120 d’août 2014 à
paraître.
Cloud computing, la Commission européenne publie ses lignes directrices
Cloud Service Level Agreement Standardisation Guidelines, 24 juin 2014
Le 26 juin dernier, la Commission européenne a présenté ses lignes directrices relatives à l’utilisation
des services de cloud computing. Ce document vise à normaliser le contenu des SLA (Service Level
Agreements – accords de niveau de service). Il offre aux entreprises une base de travail pour la
rédaction de leurs SLA, et l’analyse des contrats standards proposés par les prestataires. Cette version,
encore expérimentale, devra faire l’objet de retours d’expérience et d’une étude d’experts. La
Commission travaille également sur des lignes directrices consacrées aux codes de conduite des
prestataires de cloud, qui ont été présentées au G29 et devraient paraître prochainement.
De la protection des internautes à l’Internet sous haute surveillance
Protéger les internautes – Rapport sur la cybercriminalité, remis le 30 juin 2014
En 2013, un groupe de travail interministériel, composé de professionnels du droit et présidé par le
procureur général près la Cour d’appel de Riom, Marc Robert, a été chargé de faire des propositions en
matière de lutte contre la cybercriminalité. Le résultat de ces travaux, un rapport de 277 pages,
auxquelles s’ajoutent 207 pages d’annexes, a été remis le 30 juin 2014 aux ministres concernés. Le
SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS
EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A
Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET
Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709
groupe de travail formule 55 recommandations devant permettre de renforcer l’efficacité de la
réponse pénale.
Le groupe de travail recommande notamment une aggravation des peines principales pour les
infractions d’usurpation d’identité et d’atteinte aux systèmes de traitements automatisés de données
(STAD), ainsi que la généralisation de la circonstance aggravante d’utilisation d’un réseau de
communication lors de la commission d’une infraction. Il invite au retour de la peine complémentaire
de suspension de l’accès à Internet pour les infractions les plus graves. Le rapport préconise
également la création d’une infraction spécifique de vol de biens immatériels.
Concernant la procédure pénale, le groupe suggère la reconnaissance explicite du droit, pour tout
internaute, de signaler les contenus lui apparaissant comme illicites à la plateforme PHAROS, qui
devra ensuite l’aviser des suites données à son signalement. Le rapport propose d’étendre les
pouvoirs d’investigation sous pseudonyme sur Internet, en allant jusqu’à recommander la possibilité,
pour les officiers et agents de police judiciaire, de mener une surveillance sur Internet, sans que cela
n’implique des actes d’enquête. Le groupe recommande également la coopération des moteurs de
recherche, aux côtés des hébergeurs et fournisseurs d’accès, avec les autorités judiciaires. Il suggère
ainsi la création d’une obligation de détection des contenus illicites d’une particulière gravité, à la
charge de ces trois intermédiaires techniques. Le rapport propose par ailleurs l’extension aux
atteintes aux STAD des moyens exceptionnels prévus pour la lutte contre la délinquance organisée.
Enfin, concernant la preuve numérique, le groupe recommande la création d’une méthodologie de
collecte et de conservation des preuves. Il invite à une certification externe de cette modélisation et
des principaux matériels et logiciels qui seraient employés par les officiers et agents concernés.
L’équipe juridique HSC
[email protected], 01 41 40 97 00
Les prochaines formations juridiques HSC
Formations principalement juridiques
Correspondant informatique et libertés Paris, 24-26
Marseille, 19-21
Paris, 3-5 déc.
sept.
nov.
Essentiels juridiques pour gérer la SSI
Marseille, 15-16
Paris, 13-14 oct.
sept.
Essentiels Informatiques et libertés
Paris, 12 nov.
Formations comportant une partie juridique
RSSI
Paris, 6-10 oct.
Sécurité du cloud computing
Paris, 27-29 oct.
Tests d’intrusion avancés, exploits,
Paris, 13-17 oct.
hacking éthique (SANS SEC560)**
** : Formation certifiante
[email protected], 01 41 40 97 00
Ce bulletin d’actualités juridiques est édité par la société Hervé Schauer Consultants, EURL au capital de 300 000 euros, inscrite au RCS Nanterre B 444 475 891,
sise 4 bis, rue de la Gare, 92 300 Levallois-Perret. Son directeur de publication est Hervé Schauer, gérant.
Contact : [email protected] ou 01 41 40 97 00.
INFORMATIQUE ET LIBERTES
Conformément à l’article 32 de la loi n°78-17 du 6 janvier 1978, nous vous informons que les données à caractère personnel recueillies lors de votre abonnement
font l’objet d’un traitement. Le responsable du traitement est la société Hervé Schauer Consultants. La finalité poursuivie par ce traitement est la constitution d’un
fichier d’adresses de courrier électronique à des fins d’envoi périodique du bulletin d’actualités juridiques HSC. En application des articles 38 et suivants de la loi
susmentionnée, vous disposez de droits d’opposition, d’accès et de rectification. Pour faire valoir ces droits, vous pouvez contacter le correspondant informatique
et libertés d’HSC à l’adresse [email protected].
SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS
EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A
Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET
Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709