bulletin d`actualites juridiques - Bulletin d`actualités juridiques HSC
Transcription
bulletin d`actualites juridiques - Bulletin d`actualités juridiques HSC
BULLETIN D’ACTUALITES JURIDIQUES N°33, 21 juillet 2014 Condamnation de l’auteur de Tubemaster++ TGI Nîmes, ch. corr., 28 juin 2013, Blogmusik, Sacem et a. c/ Jérôme G. En août 2009, la société Blogmusik, exploitante du site Deezer.com, découvrait la mise en ligne du logiciel Tubemaster++, permettant l’enregistrement des musiques diffusées sur le site sans s’acquitter d’un quelconque droit d’accès. Suite à une enquête menée par la BEFTI (Brigade d’enquêtes sur les fraudes aux technologies de l’information), un étudiant en informatique a été identifié comme étant l’auteur du logiciel. L’étudiant s’était introduit dans le système d’information du site Deezer.com, afin de récolter les données nécessaires pour la conception du logiciel. Ce dernier a ensuite été diffusé sur un site www.tubemaster.net, en août et septembre 2009. Par jugement du 28 juin 2013, le Tribunal de grande instance de Nîmes a condamné l’étudiant pour accès et maintien frauduleux dans un système de traitement automatisé de données (STAD) (art. 3231 du Code pénal), atteinte à une mesure de protection d’un programme protégé (art. L.335-4-1 du Code de la propriété intellectuelle) et mise à disposition du public d’un logiciel visant à porter atteinte à des œuvres protégées (art. L.335-2-1 du Code de la propriété intellectuelle). La peine prononcée est une amende de 15 000 euros avec sursis. L’étudiant doit également verser, au titre de l’action civile, la somme totale 31 000 euros de dommages et intérêts. Le recours à un forum d’infiltration n’est pas un moyen de preuve déloyal Cass. crim., 30 avril 2014, n°13-88.162, Affaire Carderprofit En 2010, le FBI créait le forum d’infiltration Carderprofit, consacré au trafic et au commerce de numéros de cartes bancaires, le carding. Ce site était configuré pour permettre au FBI de surveiller et d’enregistrer les discussions publiées sur le forum, les messages envoyés, et les données techniques de connexion des internautes accédant au site. En février 2012, l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication) a été informé par le FBI des résultats d’une enquête, réalisée dans le cadre du forum Carderprofit, portant sur le carding et mettant en cause un Français. Une enquête a alors été ouverte en France. Une perquisition, réalisée à l’ancien domicile du suspect, a permis de recueillir des éléments corroborant l’existence d’activités frauduleuses. Deux hommes ont alors été mis en examen pour atteinte à un système de traitement automatisé de données, escroquerie en bande organisée et association de malfaiteurs. Les deux individus ont contesté la validité des actes de procédure effectués, sur le fondement de l’article 6§1 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, qui pose le principe de la loyauté de la preuve. Selon eux, la procédure serait fondée sur un stratagème ayant provoqué la commission de l’infraction, ce stratagème consistant en la création du forum d’infiltration par le FBI, sur lequel les deux hommes se sont rencontrés. Par un arrêt du 30 avril 2014, la Cour de cassation rappelle la distinction entre provocation à la commission de l’infraction et provocation à la preuve : seule la première est contraire au principe de loyauté de la preuve. Or, les juges ont souligné que « le site de surveillance et d’enregistrement des messages échangés a seulement permis de rassembler les preuves de la commission de fraudes à la carte bancaire et d’en identifier les auteurs, aucun élément ne démontrant qu’il ait eu pour objet d’inciter les personnes qui l’ont consulté à passer à l’acte ». Ainsi, la Cour de cassation a estimé que les autorités américaines n’avaient pas réalisé de provocation à la commission d’infractions, et elle a donc rejeté la demande d’annulation des actes de procédure. SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709 L’obligation de sécurité des données personnelles implique la réalisation d’un audit après la découverte d’un défaut de sécurité CNIL, Délib. de la formation restreinte n°2014-238 du 12 juin 2014 prononçant un avertissement rendu public à l’encontre de la société DHL Informée d’un éventuel défaut de sécurité sur un site web de la société DHL, la CNIL (Commission nationale de l’informatique et des libertés) a réalisé un contrôle au sein des locaux de l’entreprise en février 2014. Elle a notamment constaté que près de 685 000 fiches de clients étaient accessibles aux internautes sur simple requête. Ces fiches comportaient l’identité, l’adresse postale, le numéro de téléphone, l’adresse électronique et les instructions détaillées de livraison. Certaines comportaient même des informations liées à l’intimité des clients ou à leur état de santé. Les entretiens réalisés lors du contrôle ont révélé que la société DHL avait connaissance de l’existence d’un défaut de sécurité similaire affectant l’application depuis plusieurs mois, mais uniquement exploitable en interne. La société DHL a fait valoir que, dès la connaissance du défaut de sécurité à l’issue du contrôle, elle avait mis en œuvre les procédures nécessaires pour sécuriser l’application, et qu’elle avait pleinement coopéré avec la Commission. Pour autant, la CNIL a estimé que la société avait manqué à son obligation de sécurité érigée à l’article 34 de la loi du 6 janvier 1978, dite « informatique et libertés ». Si la Commission a rappelé que l’obligation de sécurité n’est pas une obligation de résultat, elle a estimé que, dès lors que DHL avait eu connaissance de l’existence d’une faille de sécurité en interne, elle aurait dû entreprendre un audit de sécurité sur l’ensemble de l’application. Cette omission constitue pour la CNIL un manquement à la loi « informatique et libertés », sanctionné en l’espèce par un avertissement public. Par cette délibération, la Commission apporte une précision quant à l’obligation de sécurité mise à la charge des responsables de traitement. Cette obligation implique ainsi, en cas de découverte d’un défaut de sécurité, la réalisation d’un audit sur le périmètre concerné par le problème. Reste désormais à préciser l’étendue de ce périmètre, afin de ne pas créer une obligation de contrôle disproportionnée. Le pack de conformité, un nouvel outil de régulation « informatique et libertés » CNIL, « Pack de conformité : Les Compteurs communicants », éd. Mai 2014 En 2013, la CNIL a débuté des travaux en vue de la réalisation d’un « pack de conformité » dans le secteur du logement social, afin de remédier aux difficultés rencontrées par les acteurs du secteur dans la mise en application des exigences « informatique et libertés ». Le 13 juin 2014, la Commission a publié un pack de conformité consacré aux déploiements des compteurs intelligents. Nouvel outil pour faciliter la mise en conformité « informatique et libertés », le pack comprend des fiches pratiques, qui traitent des principales problématiques liées à la gestion des traitements : leurs finalités, le recueil du consentement, les données collectées, la durée de conservation, les destinataires, le droit des personnes concernées, la sécurité et les formalités préalables. Dans les secteurs pourvus de dispenses de déclaration, de normes simplifiées ou d’autorisations uniques, le pack aura également pour objet de pointer vers les délibérations de la CNIL et d’expliciter leur articulation. L’objectif de la Commission est de défendre ses packs à l’échelon européen via le G29 (groupe des « CNIL » européennes). La Commission a annoncé la production de prochains packs dans les domaines de l’assurance, des collectivités locales, de la banque et des actions sociales et médico-sociales. SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709 Entrée en vigueur du RGS v.2.0 Arrêté du 13 juin 2014 portant approbation du RGS et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques Le 24 juin 2014 a été publié au Journal officiel l’arrêté approuvant la version 2.0 du RGS (Référentiel général de sécurité). Cette nouvelle version est entrée en vigueur le 1er juillet 2014. Les autorités administratives doivent donc être conformes à la version 2.0 depuis cette date. Pour autant, en vue d’une mise en application progressive, elles peuvent encore accepter des certificats conformes au RGS version 1.0 jusqu’au 1er juillet 2015. Ces certificats devront néanmoins avoir une durée de vie maximum de 3 ans. Le premier objectif de cette révision majeure était la simplification. Ainsi, les 12 annexes A du référentiel v.1.0 ont été regroupées en 5 annexes, dont l’articulation correspond mieux aux usages des certificats en pratique. Le corps du nouveau RGS présente la procédure de mise en conformité, et délivre des recommandations relatives à l’application du référentiel. La principale nouveauté se trouve à l’annexe C, consacrée aux prestataires d’audit de la sécurité des systèmes d’information (PASSI) : les autorités administratives peuvent désormais recourir à des prestataires d’audit qualifiés dans le cadre de leur mise en conformité. L’ANSSI (Agence nationale de la sécurité des systèmes d’information) a rappelé l’importance des clauses relatives à la sécurité dans les contrats que l’Administration conclut avec ses prestataires. À ce titre, l’agence précise que la conformité au RGS peut être imposée par une clause contractuelle, le référentiel étant annexé au contrat. L’ANSSI souligne également l’importance de la sensibilisation des agents. Les chartes informatiques gagnent ainsi progressivement du terrain dans le secteur public. Si des sanctions ne sont toujours pas prévues en cas de non-conformité, l’ANSSI rappelle toutefois qu’une non-conformité est susceptible d’engager la responsabilité de l’Administration. Un tel manquement peut en effet constituer une violation de l’obligation de sécurité des traitements de données personnelles érigée à l’article 34 de la loi « informatique et libertés », et donc être sanctionné par la CNIL ou le juge pénal. Cette version 2.0 du RGS reste une version de transition. La version 3.0 permettra d’intégrer la réglementation européenne, en cours d’évolution, et notamment les apports du projet de règlement eIDAS (voir BAJ n°31 du 19 mai 2014). Pour une présentation des aspects techniques du RGS v.2.0, voir l’éditorial de la Newsletter HSC n°120 d’août 2014 à paraître. Cloud computing, la Commission européenne publie ses lignes directrices Cloud Service Level Agreement Standardisation Guidelines, 24 juin 2014 Le 26 juin dernier, la Commission européenne a présenté ses lignes directrices relatives à l’utilisation des services de cloud computing. Ce document vise à normaliser le contenu des SLA (Service Level Agreements – accords de niveau de service). Il offre aux entreprises une base de travail pour la rédaction de leurs SLA, et l’analyse des contrats standards proposés par les prestataires. Cette version, encore expérimentale, devra faire l’objet de retours d’expérience et d’une étude d’experts. La Commission travaille également sur des lignes directrices consacrées aux codes de conduite des prestataires de cloud, qui ont été présentées au G29 et devraient paraître prochainement. De la protection des internautes à l’Internet sous haute surveillance Protéger les internautes – Rapport sur la cybercriminalité, remis le 30 juin 2014 En 2013, un groupe de travail interministériel, composé de professionnels du droit et présidé par le procureur général près la Cour d’appel de Riom, Marc Robert, a été chargé de faire des propositions en matière de lutte contre la cybercriminalité. Le résultat de ces travaux, un rapport de 277 pages, auxquelles s’ajoutent 207 pages d’annexes, a été remis le 30 juin 2014 aux ministres concernés. Le SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709 groupe de travail formule 55 recommandations devant permettre de renforcer l’efficacité de la réponse pénale. Le groupe de travail recommande notamment une aggravation des peines principales pour les infractions d’usurpation d’identité et d’atteinte aux systèmes de traitements automatisés de données (STAD), ainsi que la généralisation de la circonstance aggravante d’utilisation d’un réseau de communication lors de la commission d’une infraction. Il invite au retour de la peine complémentaire de suspension de l’accès à Internet pour les infractions les plus graves. Le rapport préconise également la création d’une infraction spécifique de vol de biens immatériels. Concernant la procédure pénale, le groupe suggère la reconnaissance explicite du droit, pour tout internaute, de signaler les contenus lui apparaissant comme illicites à la plateforme PHAROS, qui devra ensuite l’aviser des suites données à son signalement. Le rapport propose d’étendre les pouvoirs d’investigation sous pseudonyme sur Internet, en allant jusqu’à recommander la possibilité, pour les officiers et agents de police judiciaire, de mener une surveillance sur Internet, sans que cela n’implique des actes d’enquête. Le groupe recommande également la coopération des moteurs de recherche, aux côtés des hébergeurs et fournisseurs d’accès, avec les autorités judiciaires. Il suggère ainsi la création d’une obligation de détection des contenus illicites d’une particulière gravité, à la charge de ces trois intermédiaires techniques. Le rapport propose par ailleurs l’extension aux atteintes aux STAD des moyens exceptionnels prévus pour la lutte contre la délinquance organisée. Enfin, concernant la preuve numérique, le groupe recommande la création d’une méthodologie de collecte et de conservation des preuves. Il invite à une certification externe de cette modélisation et des principaux matériels et logiciels qui seraient employés par les officiers et agents concernés. L’équipe juridique HSC [email protected], 01 41 40 97 00 Les prochaines formations juridiques HSC Formations principalement juridiques Correspondant informatique et libertés Paris, 24-26 Marseille, 19-21 Paris, 3-5 déc. sept. nov. Essentiels juridiques pour gérer la SSI Marseille, 15-16 Paris, 13-14 oct. sept. Essentiels Informatiques et libertés Paris, 12 nov. Formations comportant une partie juridique RSSI Paris, 6-10 oct. Sécurité du cloud computing Paris, 27-29 oct. Tests d’intrusion avancés, exploits, Paris, 13-17 oct. hacking éthique (SANS SEC560)** ** : Formation certifiante [email protected], 01 41 40 97 00 Ce bulletin d’actualités juridiques est édité par la société Hervé Schauer Consultants, EURL au capital de 300 000 euros, inscrite au RCS Nanterre B 444 475 891, sise 4 bis, rue de la Gare, 92 300 Levallois-Perret. Son directeur de publication est Hervé Schauer, gérant. Contact : [email protected] ou 01 41 40 97 00. INFORMATIQUE ET LIBERTES Conformément à l’article 32 de la loi n°78-17 du 6 janvier 1978, nous vous informons que les données à caractère personnel recueillies lors de votre abonnement font l’objet d’un traitement. Le responsable du traitement est la société Hervé Schauer Consultants. La finalité poursuivie par ce traitement est la constitution d’un fichier d’adresses de courrier électronique à des fins d’envoi périodique du bulletin d’actualités juridiques HSC. En application des articles 38 et suivants de la loi susmentionnée, vous disposez de droits d’opposition, d’accès et de rectification. Pour faire valoir ces droits, vous pouvez contacter le correspondant informatique et libertés d’HSC à l’adresse [email protected]. SOCIÉTÉ HERVÉ SCHAUER CONSULTANTS EURL au capital de 300 000,00 € - RCS Nanterre B 444 475 891 - Code NAF : 6202A Siège & correspondance : 4bis, rue de la Gare - F-92300 LEVALLOIS-PERRET Tél. : +33 (0)141 409 700 - Fax : +33 (0) 141 409 709