Voici la liste des articles publiés par notre cabinet.

La compagnie aérienne British Airways a révélé jeudi soir avoir subi un vol en ligne de données via son site internet de réservation de vol en ligne en les termes suivants : "Entre 22h58 (21h58 GMT) le 21 août 2018 et 21h54 le 5 septembre, les données personnelles et financières des clients faisant des réservations sur notre site internet et notre application mobile ont été compromises".

Les cyberattaques touchent de plus en plus d’entreprise et sont de plus en plus techniquement complexes.

Comment se préparer et y faire face ?

  1. Prévenir :

Il est aujourd’hui devenu indispensable et obligatoire dans certains cas[1] de protéger de manière efficace les systèmes d’informations, réseaux, objets connectés, site web d’une entreprise.

Cette sécurité passe par :

  • la mise en œuvre d’une politique de sécurité régulièrement mise à jour,

 

  • un audit régulier de l’ensemble de son système d’information, voire le recours à des procédures de bug bounty encadrées contractuellement,

 

  • identifier et respecter ses obligations légales et contractuelles par exemple assurer la sécurité des données à caractère personnel dans le respect de l’article 32 du RGPD, l’établissement d’un registre des failles de sécurité (en matière de données à caractère personnel), connaitre et maîtriser ses obligations contractuelles vis-à-vis de ses clients et tout tiers,

 

  • l’encadrement contractuel des obligations de ses prestataires et sous-traitants en matière de sécurité informatique,

 

  • la sensibilisation du personnel de l’entreprise par des formations internes (administrateurs et RSSI, salariés, direction générale) et la mise en œuvre de procédures internes efficaces (BYOD, nomadisme, procédure d’alerte, etc),

 

  • anticiper les risques avec un contrat de cyber assurance.

 

Enfin, n’oublions pas que l’ANSSI publie de nombreux guides en la matière, à destination des entreprises régulièrement mis à jour.

 

  1. Réagir en cas d’atteintes à son système d’information

 

  • S’organiser pour mettre fin dans les plus brefs délais à l’atteinte :

 

  • mettre en place une organisation de crise : afin de pouvoir investiguer rapidement et efficacement, il est nécessaire de définir les acteurs et actions nécessaires en vue de mobiliser les expertises et compétences pour la gestion de l’incident.

 

  • identifier et documenter précisément l’ensemble des caractéristiques de l’incident de sécurité. En matière de données à caractère personnel, l’entreprise devra notamment fournir les informations suivantes à la CNIL :
  • décrire la nature de la violation ;
  • les catégories et le nombre approximatif de personnes concernées par la violation ;
  • les catégories et le nombre approximatif d’enregistrements de données concernées ;
  • décrire les conséquences probables de la violation ;
  • décrire les mesures prises ou envisagées pour éviter que l’incident ne se reproduise ou atténuer les éventuelles conséquences négatives.

 

  • préserver des preuves fiables de l’incident de sécurité par l’organisation d’un constat réalisé par un huissier de justice et/ou une équipe d’experts techniques.

 

  • Identifier ses obligations légales, notamment en matière de :

 

  • notification à la CNIL[2] à dans les 72h « après avoir pris connaissance » de la violation de données à caractère personnel, « à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

 

  • notification aux personnes concernées[3] à En matière de données à caractère personnel, « lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ».

 

  • notification à l’ANSSI[4] à les « fournisseurs de service numérique » à savoir les Place de marché en ligne, les moteurs de recherche en ligne et les services d'informatique en nuage « déclarent, sans délai après en avoir pris connaissance, (…)  lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l'ampleur de son impact sur le fonctionnement de la société ou de l'économie. »

 

 

  • Définir une stratégie efficace de gestion du risque de l’entreprise :

 

  • déterminer une stratégie de communication à destination des clients, partenaires et tiers pour préserver l’image de l’entreprise.

 

  • envisager les recours judiciaires pour obtenir l’indemnisation de son préjudice. Il est possible soit d’engager des procédures d’identification des auteurs de l’infraction ou devant les juridictions civiles, soit de confier l’affaire au Procureur de la République en le saisissant pour un dépôt d’une plainte pénale avec constitution de partie civile.

 

Pour rappel, les atteintes aux systèmes de traitement automatisé de données sont sanctionnées par les articles 323-1 et suivants du Code pénal qui prévoient notamment que « Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 30000 euros d'amende » et « Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de cinq ans d'emprisonnement et de 75000 euros d'amende.

 

Enfin, il existe par ailleurs de nombreuses autres infractions prévues par le Code pénal, le Code de la propriété intellectuelle, etc

 

En conclusion, si l’anticipation de toutes formes cyberattaques apparaît être une chimère, sécuriser son système d’information et pouvoir le prouver est devenu une obligation pour chaque entreprise pour répondre à ses obligations légales.

 

Marine Hardy, Avocat responsable du Pôle « Sécurité » et Claudia WEBER, Avocat Fondateur

ITLAWAvocats

 

[1] L’article 226-17 du code pénal dispose « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »

[2] Article 33 du Règlement (UE) 2016/679 dit RGPD

[3] Article 34 du Règlement (UE) 2016/679 dit RGPD

[4] Article 13 de la Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité

Depuis une ordonnance du 3 août 2016, il est possible de procéder à l’expérimentation de « véhicules à délégation de conduite », plus communément appelés les voitures autonomes.

Condition préalable pour une telle expérience : obtenir une « autorisation de circulation » auprès du Ministre de l’intérieur et au Ministre des transports.

Classiquement, les conditions d’obtentions précises de cette autorisation ont été renvoyées à la publication d’un décret (publié le 20 mars 2018) puis d’un arrêté.

Deux ans après l’ordonnance précitée, un arrêté du 17 avril 2018 énonce les détails du contenu du dossier de demande d’autorisation.

Le dispositif légal encadrant l’expérimentation des véhicules à délégation de conduite en conditions réelles est donc complet.

Outre, les détails techniques et administratifs fixés par l’arrêté, nous avons relevé qu’il est pris soin de définir le « Véhicule DPTC » (véhicule à Délégation Partielle ou Totale de Conduite), comme un véhicule « (…) muni d'une ou plusieurs fonctionnalités permettant de déléguer au véhicule tout ou partie des tâches de conduite pendant tout ou partie du parcours du véhicule (….) la délégation est partielle lorsque le conducteur délègue au système électronique du véhicule une partie des tâches de conduite mais conserve a minima une action physique de conduite »  et qu’elle est totale « lorsque le conducteur délègue complètement au système électronique du véhicule l'ensemble des tâches de conduite ».

Il a été pris soin de préciser que « Cette définition exclut les aides à la conduite, qui ne dispensent pas le conducteur d'exercer les tâches de conduite »          

Au travers de cette définition apparait la notion de « délégation », par le conducteur, d’une partie de ses « tâches de conduite » à un « système électronique » mais qui doit pouvoir assurer de manière totalement autonome lesdites « taches » déléguées.

A la question de savoir si et dans quelle mesure cette délégation opérationnelle s’accompagnera un jour d’une délégation de responsabilité ou d’un partage de responsabilité, l’arrêté ne se prononce pas mais défini le « Conducteur de véhicules DPTC » comme la « personne physique responsable de la conduite d'un véhicule DPTC, titulaire du permis de conduire valide requis par les caractéristiques du véhicule concerné, que ce dernier fonctionne en mode délégué ou en mode conventionnel. »

La mise en place de l’expérimentation de « véhicules à délégation de conduite » ouvre la voie pour d’autres expériences de nouvelles technologies innovantes via des procédures de ce type.

Nos recommandations : Effectuer au préalable une analyse approfondie de l’ensemble des risques (notamment cachés) de ce type de projet : maitrise de sa responsabilité, conformité RGPD, protections des droits (brevets, propriété intellectuel, secret des affaires), etc

 

Claudia Weber, Avocat Associée & Marine Hardy, Avocat

ITLAW Avocats

www.itlaw.fr

Par délibération du 24 juillet 2018[1], la CNIL a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de l’Office Public de l’Habitat de Rennes pour avoir utilisé ses fichiers d’usagers pour des finalités incompatibles avec les finalités initiales. 

  • Les faits étaient les suivants 

En octobre 2017, la CNIL a été saisie d’une plainte faisant état de l’envoi par la Présidente de l’Office Public Habitat (OPH) de Rennes, également maire de la commune, d’un courrier tenant des propos particulièrement critiques à l’égard d’une décision du gouvernement de diminuer le montant des aides personnalisées au logement (APL). Ce courrier était adressé à l’ensemble des locataires du parc social, bénéficiaires, ou pas, de l’aide personnalisé au logement.

Une telle pratique étant susceptible de révéler une utilisation abusive du fichier des locataires de l’OPH à des fins politiques, la CNIL a demandé ses observations au responsable de traitement.

Celui-ci a répondu que la seule finalité de ce courrier était d’informer les locataires sur les nouvelles dispositions réglementaires relatives au montant des APL, ce qui s’inscrivait pleinement dans ses missions de gestion locative et de mise en œuvre de politiques publiques concernant l’habitat social. 

Ce dossier a été présenté devant la formation restreinte de la CNIL.

  • Le manquement à l’obligation de traiter les données de manière compatible avec les finalités pour lesquelles elles ont été collectées

Aux termes des dispositions de l’article 6 2° de la loi du 6 janvier 1978 modifiée, « les données sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités ».

Afin de vérifier si l’envoi d’une telle correspondance s’inscrivait dans le cadre des finalités initiales du traitement des usagers, la formation restreinte de la CNIL a été amenée à apprécier la réelle fonction du courrier adressé à l’ensemble des locataires.

Malgré les arguments avancés par l’OPH, elle a considéré qu’un tel envoi ne revêtait pas une fonction purement informative, ne relevait en conséquence pas de la dispense de déclaration au bénéfice des traitements d’informations qui exclut notamment les correspondances à des fins politiques ou électorales, et ne s’inscrivait ni dans le cadre des missions légales de l’OPH, ni des finalités principales d’un traitement de locataires du parc social.

Ainsi, en usant de la sorte des fichiers de ses usagers, alors même que la communication par voie d’affichage dans les entrées de l’immeuble, effectuée en parallèle, permettait d’éviter un usage incompatible avec la finalité initiale de la collecte, l’OPH avait méconnu les dispositions de l’article 6 2° de la loi du 6 janvier 1978 modifiée.

La formation restreinte a prononcé une sanction pécuniaire de 30 000 euros à l’encontre de l’OPH et, décidé, par délibération distincte du même jour, de rendre publique sa décision, notamment du fait du traitement intentionnel des données au mépris de leur finalité initiale et du nombre important de personnes concernées par une telle utilisation de leurs données.

  • En résumé sur les finalités

Les faits ayant conduits la CNIL à une telle décision sont antérieurs à l’entrée en application du RGPD, alors que les responsables de traitements étaient tenus à des formalités auprès de la CNIL faisant mention des finalités de leurs traitements.

Aujourd’hui, ces formalités ne sont plus requises. Pour autant, les dispositions de l’article 6 2° de la loi du 6 janvier 1978 dans sa nouvelle rédaction sont maintenues : les données sont « collectées pour des finalités déterminées explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités », disposition reprise par le RGPD en son article 5 b.

L’appréciation du respect de la finalité initiale, autrefois faite à partir de la déclaration à la CNIL, le sera désormais au regard des finalités dont les intéressés ont été informés en application des articles 14 du RGPD et 32 de la loi modifiée, ou encore de celles mentionnées dans le registre des activités traitements. Cela participe du principe d’un traitement de données licite, loyal et transparent.

Il est important de relever que, par cette décision, publiée, la CNIL, alors même qu’elle a relevé la mise en place par l’OPH de plusieurs mesures appropriées conformes à la nouvelle réglementation (registre des traitements, diagnostic de conformité des traitements, action de sensibilisation et de formation auprès des collaborateurs…) a tenu à alerter les acteurs du secteur social de l’importance du respect des principes fondateurs des dispositions relatives à la protection des données personnelles.

  • Nos recommandations

Les responsables de traitements sont tenus à des obligations de plus en plus nombreuses et complexes dans la mise en œuvre et l’utilisation de leurs fichiers. Pour autant, ils doivent respecter les principes fondamentaux de transparence, de pertinence et de loyauté.

Aussi, de manière permanente et pour toute utilisation des données à caractère personnel qu’ils détiennent dans le cadre de leurs activités, les responsables de traitement doivent cadrer et gérer :

  • Le périmètre des finalités pour lesquelles la collecte est opérée,
  • la teneur de l’information des personnes concernées quant à l’usage précis de leurs données,
  • le respect de l’exercice des droits des personnes concernées, en particulier le droit d’opposition.

En cas de modification des finalités nous recommandons aux responsables de traitement :

  • de procéder à une nouvelle information des intéressés et à une mise à jour de leur registre des traitements.
  • de procéder à une réévaluation de la nécessité de la conservation des données collectées si la finalité du traitement était amenée à être réduite. En effet, cette finalité initiale est l’élément de référence dans l’appréciation de la pertinence des données collectées et de leur durée de conservation

 

Odile Jami-Caston, Directrice du Pôle Protection des Données & Claudia Weber, Avocat Associée

ITLAW Avocats

www.itlaw.fr

 

[1] https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000037261399

Le Conseil, la Commission et le Parlement européens sont parvenus à un accord relatif à la nouvelle directive sur les services de médias audiovisuels. Cette nouvelle directive met l’accent sur l’encadrement des plates-formes en ligne, telle que Netflix, qui devront respecter un quota de 30 % d’œuvres d’origine européenne et verser les contributions financières prévues par la réglementation des pays ciblés, c’est-à-dire des pays à qui le service est destiné, quel que soit le pays d’établissement. (Lire)

 

ITLAW Avocats

http://www.itlaw.fr

La Commission de contrôle des organismes de gestion des droits d’auteur et des droits voisins a rendu public son rapport annuel 2018 le 16 mai. Dans une première partie, la commission passe en revue les flux et les ratios financiers des organismes de gestion et constate que les droits perçus ont connu une forte progression sur la période 2011 – 2016 et que la croissance des charges de gestion a été maîtrisée. Dans une seconde partie, la commission procède à l’étude des charges de gestion pour lesquelles elle n’a pas relevé d’abus manifeste. Elle fait néanmoins une trentaine de recommandations relatives, notamment, au renforcement de la transparence de l’information des sociétaires sur le poids réel des charges de gestion. (Lire)

ITLAW Avocats

http://www.itlaw.fr