Voici la liste des articles publiés par notre cabinet.


Nouvelle étape pour le renforcement des capacités de détection des attaques informatiques en France, le décret d’application des dispositions de la LPM en la matière est entrée en vigueur le 1er janvier 2019


Le Décret du 13 décembre 2018, pris pour l'application de l'article L. 2321-2-1 du Code de la défense et de l’article L. 33-14 du Code des postes et des communications électroniques, est entrée en vigueur au 1er janvier 2019 en matière de cybersécurité.

Il concerne la prévention des menaces affectant la sécurité des systèmes d’information.

Pour mémoire, la loi relative à la programmation militaire pour les années 2019 - 2025 du 13 juillet 2018 a créé des dispositions relatives au renforcement des capacités de détection des attaques informatiques, à savoir notamment :

  • l’article L. 33-14 du Code des postes et communications électroniques disposant que « pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs de communications électroniques   peuvent recourir, sur les réseaux de communications électroniques [1] qu'ils exploitent, après en avoir informé l'Autorité nationale de sécurité des systèmes d'information, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. (….)
    Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs de communications électroniques en informent sans délai l'Autorité nationale de sécurité des systèmes d'information. »

  • l’article L. 2321-2-1 du Code de la défense permettant à l'Autorité nationale de sécurité des systèmes d'information (ANSSI), lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information de certains acteurs (autorités publiques, opérateurs d’importance vital, opérateurs de services essentiels), d’instaurer « des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information » desdits acteurs.

    Faire obstacle à la mise en œuvre desdits dispositifs est sanctionné pénalement.

Le décret précise les modalités d’application de ces textes  sur le plan technique et définit donc :

a) Les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés, les catégories de données pouvant être conservées ainsi que des modalités d'échange entre ces opérateurs et l'ANSSI.

Les opérateurs ont l’obligation de communiquer à l’ANSSI une documentation qui décrit pour chaque dispositif :

« 1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d'être exploités par ce dispositif ;

« 2° Les capacités d'analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d'échantillonnage des flux de données analysés ainsi que la fréquence d'analyse ;

« 3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d'information ;

« 4° Les catégories de données susceptibles d'être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l'article L. 33-14. »

Lorsque l’utilisation d’un marqueur est à l’origine d’une alerte pour la sécurité des systèmes d’information d’un abonné, la durée de conservation des données techniques est de 6 mois maximum.

Les marqueurs techniques exploités par les dispositifs sont des :

« éléments techniques caractéristiques d'un mode opératoire d'attaque informatique, permettant de détecter une activité malveillante ou d'identifier une menace susceptible d'affecter la sécurité des systèmes d'information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace. »


Les opérateurs sont autorisés à conserver les données suivantes, lorsqu'elles sont associées à une alerte et à l'exclusion du contenu des correspondances échangées :

« 1° Les données techniques permettant d'identifier l'origine de la communication et l'utilisateur ou le détenteur du système d'information affecté par l'événement détecté ;

« 2° Les données techniques relatives à l'acheminement de la communication par un réseau de communications électroniques, notamment le routage et le protocole utilisé ;

« 3° Les données techniques relatives aux équipements terminaux de communication concernés ;

« 4° Les caractéristiques techniques ainsi que la date, l'horaire, le volume et la durée de chaque communication ;

« 5° Les données techniques relatives à l'accès des équipements terminaux aux réseaux ou aux services de communication au public en ligne ;

« 6° Les caractéristiques techniques ainsi que la date et l'horaire de l'alerte dont l'utilisation des marqueurs techniques est à l'origine.

« La conservation de ces données est limitée au temps strictement nécessaire à la prévention et à la caractérisation des événements susceptibles d'affecter la sécurité des systèmes d'information des abonnés sans excéder six mois. »

Lorsque l’utilisation de marqueurs fournis par l’ANSSI  est à l’origine d’une alerte, l’opérateur doit en informer sans délai l’ANSSI l’autorité.  

Les opérateurs ont une obligation d’information envers leurs abonnés concernant les vulnérabilités de leurs systèmes d’information ou des atteintes subies par ces systèmes.

b)    les conditions selon lesquelles l'ANSSI peut mettre en œuvre sur le réseau d'un opérateur de communications électroniques ou le système d'information d'un hébergeur, des dispositifs de détection des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et de certains opérateurs.

L’ANSSI doit notifier aux acteurs concernés sa décision de mettre en place des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques.

Cette notification est accompagnée « d'un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d'organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. Il prévoit, le cas échéant, une phase de test préalable sur les réseaux ou systèmes d'information concernés. »

Les dispositifs sont mis en œuvre « pour une période maximale de trois mois, prorogeable en cas de persistance de la menace et dans cette limite. Toute prorogation fait l'objet d'une décision de l'Agence nationale de la sécurité des systèmes d'information » et doit être communiquée à l’Autorité de régulation des communications électroniques et des postes (ARCEP).

 

[1] L’article L. 32 du Code des postes et des communications électroniques définit un opérateur comme suit : « On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques. »

Marine Hardy, avocate, responsable des pôles Innovations et Sécurité


 Le 29 janvier 2019 dernier un arrêté crée un traitement automatisé d’analyse prédictive fondé sur la technologie de l’intelligence artificielle pour les comptables publics.

 

Est ainsi créé :

« un traitement automatisé d’analyse prédictive destiné à assister les comptables publics (…) dans la mise en œuvre des modalités de contrôle de la dépense ».

 

L’article 2 dudit arrêté précise explicitement que « Le traitement automatisé s'appuie sur des techniques d'intelligence artificielle ».

 

Le mécanisme est présenté comme suit :

« Le traitement automatisé analyse les résultats des contrôles de la dépense effectués par les comptables publics assignataires de l'Etat en fonction des caractéristiques des opérations. Ces caractéristiques comprennent notamment des données relatives aux fournisseurs, à l'organisation de la chaîne de la dépense et aux imputations budgétaires et comptables.

A partir de cette analyse, il détermine la liste des dépenses présentant des risques d'irrégularité.

 

Le traitement automatisé est enrichi périodiquement des résultats des contrôles des comptables publics assignataires de l'Etat. »

 

La mise en œuvre de ce traitement est gérée par l’agence pour l’informatique financière de l’Etat (AIFE).

 

Le déploiement de cette solution informatique est effectif depuis le 6 février 2019.

 

Il sera intéressant de voir le résultat de l’utilisation de ce traitement.


Marine Hardy, avocat, responsable des pôles Innovations et Sécurité

 

#Innovations

IA et PI : les droits existants sont-ils suffisants ?

 

Nous remercions chaleureusement l’ensemble des participantes et participants au second Café de l'expertise IT & IP, consacré à l'intelligence artificielle, ce mardi 16 avril.

Nous nous sommes interrogés sur la question du droit de la propriété intellectuelle pour ce qui est des IA ; le droit existant est-il adapté aux particularités de l’intelligence artificielle ?

L’intervention de Nicolas Gaude, directeur général et CTO de Prevision.io, a permis une approche très pratique de cette problématique.

Ainsi, nous avons conclu que :

  • la PI est un réel allié de l’IA comme en atteste l’explosion du nombre de demandes de brevets dans le domaine ;
  • les droits existants ne sont pas toujours adaptés. En effet, comment enrichir des algorithmes apprenants sans porter atteinte à des droits de tiers ? Quel régime de protection pour les créations de l’IA ?

Nous analyserons comment sécuriser la propriété intellectuelle de vos IA lors de notre prochain Café de l'expertise IT & IP qui traitera de l’IA et des contrats.


Claudia Weber, avocat associé fondateur du cabinet ITLAW AvocatsJean-Christophe Ienné, avocat, directeur des pôles Propriété intellectuelle & industrielle, Médias & Audiovisuel et Internet et Lamia El Fath, avocat

#Innovations    #Propriétés intellectuelles

 

La graphie en lettres majuscules de la particule du patronyme de l’intéressé n'entache pas d'inexactitude ses données personnelles

Le conseil d’Etat, dans un arrêt du 3 octobre 2018, confirme la position de la CNIL refusant de faire droit à la demande de rectification d’un plaignant.

Si, aux termes de l'article 40 de la loi du 6 janvier 1978 modifiée : "Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées…",  la CNIL dispose d’un pouvoir d'appréciation pour décider des suites à donner à la demande d’un plaignant s’étant vu opposer une fin de non-recevoir par un responsable de traitement.

En l’espèce, un particulier avait demandé que soit corrigée la graphie de son nom de famille dans les fichiers d’une société auprès de laquelle il avait souscrit un abonnement : il souhaitait que la particule de son nom apparaisse en lettres minuscules et non plus en lettres majuscules.

La CNIL, saisie au vu d’un tel refus, avait considéré qu'il ne lui appartient pas de veiller au respect des dispositions de l'article 1er de la loi du 6 fructidor an II aux termes duquel "Aucun citoyen ne pourra porter de nom, ni de prénom autres que ceux exprimés dans son acte de naissance..." et de l'article 4 de la même loi qui dispose qu'il "est expressément défendu à tous fonctionnaires publics de désigner les citoyens dans les actes autrement que par le nom de famille, les prénoms portés en l'acte de naissance (...)".

Le Conseil d’Etat a considéré que la CNIL avait fait une exacte application des dispositions précitées de l'article 40 de la loi du 6 janvier 1978 en considérant que la graphie en lettres majuscules de la particule du patronyme de M. de X n'entachait pas d'inexactitude ses données personnelles et n'entraînait aucun risque de confusion ou d'erreur sur la personne.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

#Protection des données personnelles

 

Droit d’opposition à figurer dans un traitement de données personnelles : nécessité pour les intéressés de faire état de considérations qui leur sont propres.

Un parent d’élève s’étant opposé à ce que ses enfants figurent dans les traitements bases élève de l’éducation nationale, le Conseil d’Etat a été amené à se prononcer sur les motifs légitimes invoqués par les intéressés sur le fondement des dispositions de l’article 38 de la loi du 6 janvier 1978 modifiée.

La Haute juridiction administrative a considéré que les craintes d’ordre général, notamment liées à la sécurité du fonctionnement de la base, invoquées par le parent n’étaient pas de nature à justifier cette opposition.

Celui-ci aurait dû faire état de considérations qui lui seraient propres ou qui seraient propres à ses enfants.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance

 #Protection des données personnelles