Voici la liste des articles publiés par notre cabinet.

Peu de temps après la sanction de OPTICAL CENTER à payer une amende de 250 000 euros pour une atteinte à la sécurité des données, c’est au tour de la plateforme d’hébergement de contenus vidéos Dailymotion d’être sanctionnée par la CNIL pour une atteinte à la sécurité des données de ses utilisateurs.

L’amende appliquée à DAILYMOTION fut de 50 000 euros. Moins lourde, elle reste révélatrice de la particulière vigilance à adopter quant à la sécurité des données à caractère personnel.

Les faits

Fin de l’année 2016, un article de presse révélait que Dailymotion était victime d’une importe fuite de données à caractère personnel, conduisant la CNIL a effectuer un contrôle de la plateforme.  

Dailymotion se défendait en évoquant un « problème de sécurité externe » et que les « mots de passe d’un certain nombre de comptes pourraient avoir été compromis » tout en précisant que « le hack semble être limité et ne concernait aucune donnée personnelle ».

Pourtant, il s’agissait d’une fuite de 82,5 millions d’adresses emails ainsi que 18,3 millions de mots de passe chiffrés ;représentant donc une fuite massive de données à caractère personnel qui permet aux hackers d’accéder aux comptes des utilisateurs et aux informations personnelles qui s’y trouvent.

La sanction

Cette sanction apparait cependant faible si nous la comparons à celle subie par OPTICAL CENTER. Quelle en est la raison ? La CNIL explique cette sanction en évoquant le contexte particulier des faits.

Tout d’abord, le fait que Dailymotion ait fait preuve de coopération dans le cadre de cette fuite, notamment en prenant immédiatement des mesures « afin d’atténuer les effets négatifs ». Quant aux données piratées à proprement dit, la CNIL précise dans sa décision que « les seules données à caractère personnel concernées sont des adresses de courriers électroniques dont une partie n’est pas identifiante car non associées à des personnes physiques mais à des comptes test ou à des noms de sociétés partenaires ».

La CNIL observe donc que ces éléments concourent « à diminuer le risque d’atteinte à la vie privée des personnes concernées ».

Nos recommandations

Une telle attaque subie, bien que sophistiquée comme le rappelle la CNIL en ce qui concerne Dailymotion, peut être évitée si les mesures en matière de sécurité sont mises en place en amont et respectées.

La CNIL précise en effet dans son communiqué que :

  • la société n’aurait pas dû stocker en clair au sein de son code source des identifiants relatifs à un compte administrateur

Dans cette situation, la CNIL considère en effet qu’un mot de passe qui permet de s’authentifier sur un système ne doit pas être divulgué comme c’était le cas en l’espèce. Il est recommandé de limiter l’accès à un mot de passe, en particulier en évitant de le stocker dans un fichier non protégé.

A retenir pour l’authentification des utilisateurs :

  • privilégier l’authentification forte
  • ne pas stocker les mots de passe dans un fichier en clair
  • limiter le nombre de tentatives d’accès
  • prévoir un renouvellement du mot de passe selon une période pertinente et raisonnable
  • stocker les mots de passe de façon sécurisée
  • encadrer les connexions à distance au réseau informatique interne par un système de filtrage des adresses IP ou un réseau privé virtuel (VPN)

A retenir pour la protection de son réseau informatique interne :

  • limiter les accès interne en bloquant les services non nécessaires
  • gérer les réseaux Wi-Fi qui doivent utiliser un chiffrement à l’état de l’art (WPA2-PSK avec un mot de passe complexe) et les réseaux ouverts aux invités doivent être séparés du réseau interne
  • prévoir un VPN pour l’accès à distance avec, si possible, une authentification forte de l’utilisation (exemple utilisez un générateur de mots de passe)
  • s’assurer qu’aucune interface d’administration n’est accessible directement depuis internet
  • limiter les flux réseaux au strict nécessaire

 

Les recommandations devant être mises en œuvre pour prévenir les atteintes à la sécurité des données sont consultables sur le guide de la sécurité des données à caractère personnel publié par la CNIL, faisant suite au renforcement des obligations des responsables de traitement avec l’application du Règlement général sur la protection des données (RGPD).

 

Claudia Weber, Avocat Fondateur & Eugénie Richard, Avocat

Le principe d’équivalence de l’envoi par lettre recommandée électronique (LRE) à l’envoi par lettre recommandée papier n’est pas nouveau en droit français.

Initialement prévu par l’Ordonnance du 16 juin 2005 (créant l’article 1369-8 du code civil), puis précisé par le Décret n°2011-144 du 2 février 2011 et le Décret n° 2011-434 du 20 avril 2011, ce principe a fait peau neuve grâce à la Loi pour une République Numérique du 7 octobre 2016 (LRN) dont l’applicabilité de l’encadrement de la LRE dépendait de la publication d’un décret d’application.

C’est désormais chose faite avec la publication du décret n°2018-347 du 9 mai 2018.

Ce décret, qui entrera en vigueur le 1er janvier 2019, fixe les modalités d’application de l’article 93 de la LRN, qui vise à garantir le principe d’équivalence précité et à unifier les règles régissant l’utilisation de la LRE, désormais encadrée par le seul article L-100 du code des postes et des communications électroniques (CPCE).

L’avènement d’un nouveau régime unifié

L’envoi de lettres recommandées électroniques n’est plus cantonné au cadre des relations contractuelles, l’article 93 de la LRN ayant abrogé l’article 1127-5 du code civil qui disposait : « Une lettre recommandée relative à la conclusion ou à l'exécution d'un contrat peut être envoyée par courrier électronique à condition que (…) ».

A compter du 1er janvier 2019, l’envoi d’une lettre recommandée électronique sera, pour toutes ses potentielles utilisations, équivalent à un envoi réalisé par recommandé papier.

Une limite importante à cette utilisation subsiste néanmoins : lorsque le destinataire n’est pas un professionnel, l’expéditeur devra recueillir le consentement préalable du destinataire à la réception d’une lettre recommandée sous forme électronique.

Il est également à noter que les envois de lettres recommandées effectuées en application de l’ancien régime restent régis par les dispositions du Décret n°2011-144 du 2 février 2011.

Un renvoi aux normes européennes

Dans la lignée du décret d’application relatif à la signature électronique (n° 2017-1416 du 28 septembre 2017), le nouveau décret du 9 mai 2018 (créant les articles 53-1 à 53-4 du CPCE) renvoie directement, s’agissant des critères fiabilité et de validité du dispositif de LRE, aux exigences du Règlement Européen 910/2014 du 23 juillet 2014 dit « Règlement e-IDAS » (en particulier son article 44) ainsi qu’à celles du règlement d’exécution 2015/1502 du 8 septembre 2015.

Le droit français laisse ainsi le soin à ces deux textes européens de définir les obligations pesant sur les prestataires de LRE en matière de vérification d’identité, de preuve du dépôt et d’information du destinataire de la LRE.

Vérification d’identité

A partir du 1er janvier 2019, la vérification de l’identité de l'expéditeur et celle du destinataire devront être assurées par le prestataire de lettre recommandée dans les conditions prévues par ce même Règlement e-DIAS.

Postérieurement à cette identification, le Prestataire pourra leur attribuer un moyen d'identification électronique que ces derniers utiliseront pour attester de leur identité à chaque envoi ou réception.

Preuve du dépôt

Ce même prestataire doit délivrer à l'expéditeur une preuve du dépôt électronique de l'envoi, qu’il devra conserver pendant un an. La preuve de dépôt comporte les informations suivantes :

  • Le nom et le prénom ou la raison sociale de l'expéditeur, ainsi que son adresse électronique ;
  • Le nom et le prénom ou la raison sociale du destinataire ainsi que son adresse électronique ;
  • Un numéro d'identification unique de l'envoi attribué par le prestataire ;
  • La date et l'heure du dépôt électronique de l'envoi indiquées par un horodatage électronique qualifié tel que défini par l'article 3 du Règlement e-IDAS ;
  • La signature électronique avancée ou le cachet électronique avancé tels que définis par l'article 3 du Règlement e-IDAS utilisé par le prestataire de services qualifié lors de l'envoi.

Information du destinataire

Le prestataire de LRE informe le destinataire, par voie électronique, qu'une LRE lui est destinée et qu'il a la possibilité, pendant un délai de quinze jours à compter du lendemain de l'envoi de cette information, d'accepter ou non sa réception.

Le destinataire n'est pas informé de l'identité de l'expéditeur.

En cas d'acceptation par le destinataire de la LRE, le prestataire procède à sa transmission.

Le prestataire conserve une preuve de la réception par le destinataire des données transmises et du moment de la réception, pour une durée qui ne peut être inférieure à un an. Cette preuve comporte notamment la date et l'heure de réception de l'envoi, indiquées par un horodatage électronique qualifié.

En cas de refus de réception ou de non-réclamation par le destinataire, le prestataire met à disposition de l'expéditeur, au plus tard le lendemain de l'expiration du délai de quinze jours, une preuve de ce refus ou de cette non-réclamation. Là encore, cette preuve précise notamment la date et l'heure du refus telles qu'indiquées par un horodatage électronique qualifié.

Le prestataire conserve la preuve de refus ou de non-réclamation du destinataire pour une durée qui ne peut être inférieure à un an.

Recours de l’expéditeur

En cas de retard dans la réception ou en cas de perte des données, la responsabilité du prestataire peut être engagée, mais les indemnités susceptibles d’être mise à sa charge ne pourront excéder la somme de 16 euros (article R2-1 du CPCE).

 

Claudia Weber, Avocat Fondateur & Arthur Poirier, Avocat

L’autorité de contrôle évoque le nouveau cadre légal en place, notamment par la modification de la loi Informatique et Libertés et de son décret d’application, dont la lisibilité sera améliorée par une ordonnance qui devrait arriver dans les six mois.

Les professionnels, conscients de leurs nouvelles obligations

Du côté des professionnels, les obligations sont bien comprises et les démarches de mise en conformité progressives. La première étape étant la mise en place d’une gouvernance « Informatique et libertés », la CNIL dresse le constat de la nomination de DPO au sein de 24 500 organismes, soit 13 000 DPO (seulement 5 000 correspondants informatique et libertés désignés jusqu’alors).   

S’agissant de la sécurité des données, la CNIL a reçu, à ce jour, 600 notifications de violations de données. Un constat qui doit alerter sur la nécessité de mettre en place des mesures appropriées de sécurité.

Les professionnels sont de plus en plus nombreux à prendre contact avec la CNIL qui relève plus de 45% d’appels téléphoniques sur les 7 premiers mois de 2018 et plus de 83% de consultations en ligne. Un volume important de demandes d’autorisation dans le secteur de la santé est aussi à noter.

Enfin, le site de la CNIL a vu son trafic fortement augmenter (3 millions de visites depuis mai 2018), notamment pour accéder aux outils de conformité qu’elle met à disposition du public (son modèle de registre simplifié a été téléchargé 150 000 fois).

Les particuliers, conscients de leurs droits

La CNIL a constaté une « prise de conscience inédite » des personnes concernées par les traitements s’agissant des nouveaux droits qui leur sont conférés. Ceux-ci n’hésitent pas à saisir la CNIL de plaintes (64% en plus par rapport à la même période en 2017), la forte médiatisation autour de l’entrée en application du RGPD et de certaines affaires liées à la confidentialité des données, notamment sur les réseaux sociaux, étant vraisemblablement à l’origine de cette recrudescence. Enfin, plus de 200 plaintes transfrontalières sont traitées actuellement, elles portent, pour la plupart, sur le consentement des mineurs. Mais ce sont aussi des organismes qui ont saisi la CNIL de plaintes collectives.

Les « CNIL » européennes coopèrent de manière engagée

Depuis mai 2018, le Contrôleur européen de la protection des données (CEPD), qui remplace le G29 dont la mission est de coordonner l’action des différentes autorités de contrôle nationales, a défini 18 lignes directrices, sept supplémentaires étant en cours d’élaboration. La CNIL lui a transmis la « liste des traitements devant faire l’objet d’une analyse d’impact » qui sera publiée ultérieurement de sorte à permettre aux responsables de traitement d’identifier les traitements à risques et de savoir s’ils sont soumis ou non à cette l’obligation.

De nouveaux outils proposés par la CNIL à venir

La CNIL annonce enfin de nouveaux outils de régulation, parmi lesquels trois référentiels (gestion clients et prospects, ressources humaines et vigilances sanitaires) qui seront soumis à concertation auprès des professionnels concernés et, pour certains, portés par la CNIL au niveau européen. Sont aussi attendus, un règlement-type portant sur la biométrie, une procédure de certification « DPO », l’adaptation de plusieurs packs de conformité, plusieurs codes de conduite, un MOOC pédagogique et de nouvelles fiches pratiques.

Autant d’outils destinés à réussir au mieux sa mise en conformité au RGPD !

 

Claudia WEBER, Avocat Fondateur & Eugénie Richard, Avocat

ITLAW Avocats

 

Le 24 septembre 2018, la CNIL a publié ses premiers éléments d’analyse sur le RGPD et son application à la Blockchain. (voir le texte ici )

 

  • La Blockchain et ses principes

La CNIL définit la Blockchain comme « une base de données dans laquelle les données sont stockées et distribuées sur un grand nombre d'ordinateurs et dans laquelle toutes les écritures effectuées dans ce registre, appelées « transactions », sont visibles de l'ensemble des utilisateurs, depuis sa création ».

En résumé, la Blockchain permet à des participants de créer une transaction qu’ils vont ensuite soumettre à la validation des « mineurs », qui vont créer des blocs conformes aux règles de la Blockchain afin qu’ils soient acceptés par la communauté.

Comme l’indique le rapport, la Blockchain comporte les quatre principes suivants : transparence, décentralisation, irréversibilité et désintermédiation.

La Blockchain est donc avant tout une technologie qui permet de réaliser des traitements d’une très grande diversité. Le RGPD est également applicable au traitement réalisé par le biais de la Blockchain.

  • La qualification des acteurs

La décentralisation liée à la Blockchain a conduit la CNIL à considérer que chaque participant qui a la possibilité de créer une écriture, doit être considéré comme étant responsable de traitement dès lors qu’il

  • est une personne physique et que le traitement est en lien avec son activité professionnelle ou commerciale ; ou
  • est une personne morale.

Les « mineurs », c’est-à-dire les personnes habilitées à valider une transaction et à créer les blocs, pourraient selon la CNIL, être considérés comme des sous-traitants dans la mesure où ils ne font que « valider » des transactions, donc ils exécutent les instructions des participants, responsables de traitement.

Lorsqu’un groupe de participants décident de mettre en œuvre un traitement, ils sont susceptibles d’être qualifiés de responsables conjoints. La CNIL recommande d’identifier préalablement le responsable de traitement (un participant désigné par les autres ou une personne morale créée à cet effet (GIE, association, etc..).

  • Les données personnelles concernées

La CNIL a reçu de nombreuses demandes relatives à la mise en œuvre de traitement utilisant la Blockchain. Elle a pu constater que majoritairement deux catégories de données à caractère personnel étaient concernées :

  • l’identifiant des participants et des « mineurs », élément indispensable pour permettre l’authentification des acteurs,
  • des données diverses inscrites dans une transaction et qui dépendent de l’usage de la Blockchain (diplôme, titre de propriété).
  •  Les obligations

Lorsque la Blockchain concerne des données personnelles, le RGPD s’applique.

Aussi et avant d’utiliser cette technologie, la CNIL rappelle qu’il convient notamment de :

  • Privacy by design : prendre des mesures appropriées pour tenir compte de la protection des données dans les projets impliquant la Blockchain depuis leur origine ;
  • encadrer contractuellement le traitement : respecter l’article 28 du RGPD sur la sous-traitance, anticiper les possibles transferts de données à l’international ;
  • respecter le principe d’accountability: les sous-traitants et les responsables de traitement doivent être en mesure de démontrer le respect des obligations posées par le RGPD ;
  • mettre en œuvre les mesures de sécurité adaptées au risque ;
  • réaliser une étude d’impact relative à la protection des données pour analyser la nécessité et la proportionnalité du dispositif et identifier, le cas échéant, les cas pour lesquels d’autres solutions sembleraient plus adaptées ;
  • respecter les droits des personnes concernées : la Blockchain semble permettre de faire droit à une demande d’accès ou de portabilité. En ce qui concerne les droits à l’effacement, de rectification et d’opposition au traitement, la CNIL indique que certaines solutions technologiques, permettraient de se rapprocher des exigences de conformité du RGPD, mais que leur conformité mérite d’être évaluée.  Enfin, des interrogations subsistent, tel le cas des droits des personnes concernées.

 

Claudia Weber, Avocat Fondateur & Pauline Vital, Avocat

ITLAW Avocats

www.itlaw.fr

Passation dématérialisée, open data et signature électronique

Le plan de Transformation Numérique de la Commande Publique, adopté en décembre 2017, prévoit la dématérialisation complète de la commande publique sur une période de 5 ans, de 2017 à 2022.

Ce plan a été initié par la nécessité de transposer plusieurs directives européennes[1], et s’inscrit dans le cadre de la numérisation des services publics et dans la perspective de la République numérique.

Les trois chantiers majeurs de ce plan de transformation sont :

  • la dématérialisation de la passation des marchés,
  • l’encadrement de la signature électronique et
  • l’accès au public des données essentielles des marchés.

Depuis le 1er avril 2018, les acheteurs ont déjà l’obligation d’accepter le Document Unique de Marché Européen (DUME) électronique, lorsque celui-ci est transmis par une entreprise candidatant à la passation d’un marché public. La signature électronique a également été réalignée récemment sur les règles européennes[2].

La prochaine étape est la généralisation de la passation des marchés publics par voie électronique, déjà en vigueur depuis le 1er avril 2017 pour les centrales d’achat. Cette dématérialisation « par défaut » s’accompagnera, pour le 1er octobre 2018 également, du déploiement d’une démarche d’open data sur les données essentielles des marchés publics et contrats de concessions.

Les modalités de cette dématérialisation sont fixées par le Décret n° 2016-360 du 25 mars 2016 relatif aux marchés publics (pris en application de l’ordonnance n°2015-899 du 23 juillet 2015).

 

La fin de la passation des marchés publics sur document papier

A partir du 1er octobre 2018, les marchés publics dont la valeur du besoin est estimée égale ou supérieure à 25.000 euros HT (hors marchés de la défense et de la sécurité notamment[3]) devront obligatoirement être passés sous forme numérique. Les offres « papier » ne seront alors plus recevables.

La procédure de ces marchés devra intégralement être conduite via une plate-forme d’achat dématérialisée, dite « Profil d’acheteur », qui sera mise à disposition sur internet par les acheteurs, à destination des entreprises candidates. Elle permettra l’accès aux marchés et aux documents de consultation et permettra le dépôt des offres par voie électronique.

Accessibilité de l’information

Le profil d’acheteur en ligne permet à l’acheteur et aux candidats d’échanger via une messagerie électronique sécurisée (questions/réponses, informations, décisions, notification d’attribution…).

Il permet également au candidat de consulter les données essentielles du marché : identification de l’acheteur, nature et objet du marché, la procédure de passation, la durée, le montant et les principales conditions financières du marché, le lieu principal d’exécution du marché...

La plateforme présentera aussi les prérequis techniques et permettra de réaliser des tests de configuration de postes ainsi que des simulations de dépôt d’urgence.

Obligations pour l’acheteur

Accès universel

Les dispositifs utilisés pour communiquer par voie électronique (ainsi que leurs caractéristiques techniques) ne doivent pas être discriminatoires, ni restreindre l'accès des candidats à la procédure de passation : ils devront ainsi être communément disponibles et compatibles avec les solutions IT généralement utilisées sur le marché.

Sécurité des échanges

Il revient à l'acheteur d’assurer la confidentialité et la sécurité des transactions selon des modalités fixées par arrêté.

Les communications, les échanges et le stockage d'informations devront par ailleurs être effectués de manière à assurer l'intégrité des données et la confidentialité des candidatures, des offres et des demandes de participation et devront garantir que l'acheteur ne prendra connaissance de leur contenu qu'à l'expiration du délai prévu pour leur présentation.

L'acheteur pourra, si nécessaire, exiger l'utilisation d'outils et de dispositifs qui ne sont pas communément disponibles, tels que des outils de modélisation électronique des données du bâtiment ou des outils similaires.

Dans ce cas, l'acheteur se devra d’offrir d'autres moyens d'accès, (jusqu'à ce que ces outils et dispositifs soient devenus communément disponibles aux opérateurs économiques).

Les suites de la procédure dématérialisée

La signature électronique

Si l’opérateur économique est retenu par l’acheteur, ce dernier pourra exiger la signature du marché via l’utilisation de la signature électronique[4].

L'arrêté du 12 avril 2018 a modifié les modalités d'utilisation de la signature électronique et du certificat qualifié nécessaire pour que le signataire d'un marché public puisse être considéré comme ayant valablement donné son consentement, en renvoyant notamment aux exigences du règlement européen dit « eIDAS »[5].

La facturation électronique

Les règles de la facturation électroniques sont distinctes de celles qui encadrent la passation de marchés publics.

L’ordonnance de 2014 relative à la facturation électronique a fixé le calendrier suivant concernant l’obligation de facturation électronique pour les émetteurs de factures :

  • 1er janvier 2017 : obligation pour les grandes entreprises et les personnes publiques ;
  • 1 er janvier 2018 : obligation pour les entreprises de taille intermédiaire ;
  • 1 er janvier 2019 : obligation pour les petites et moyennes entreprises ;
  • 1er janvier 2020 : obligation pour les très petites entreprises.

 

Claudia Weber, Avocat Fondateur & Arthur Poirier, Avocat

ITLAW Avocats

www.itlaw.fr

 

[1] En particulier la Directive 2014/24/UE du 26 février 2014 sur la passation des marchés

publics (dite directive « secteurs classiques »)

[2] Arrêté du 12 avril 2018 relatif à la signature électronique dans la commande publique et abrogeant l'arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics

[3] Liste des exclusions au II de l’article 41 du décret ° 2016-360 du 25 mars 2016 relatif aux marchés publics

[4] L’article 102 du décret marchés publics du 25 mars 2016 dispose que « Le marché public peut être signé électroniquement, selon les modalités fixées par un arrêté du ministre chargé de l'Economie »

[5] Règlement européen n°910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques