Voici la liste des articles publiés par notre cabinet.


Lors d’un audit effectué en interne en janvier 2019, Facebook a constaté que les mots de passe de plusieurs centaines de millions d’utilisateurs d’Instagram et de Facebook « étaient enregistrés de manière lisible dans [leurs] serveurs internes » et accessibles depuis 2012 par 20 000 de leurs salariés.

 

Or, le cryptage (ou chiffrement) des mots de passes est une des mesures de sécurité élémentaires préconisées par la CNIL pour la gestion des mots de passe : « S'agissant des modalités de conservation, la commission considère que le mot de passe ne doit jamais être stocké en clair. Elle recommande qu'il soit transformé au moyen d'une fonction cryptographique non réversible et sûre (c'est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l'utilisation d'un sel ou d'une clé » (Délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe).

 

 

Pour rappel, le RGPD impose au responsable du traitement de données personnelles, dont la violation a entraîné « un risque élevé » pour les droits et libertés des personnes concernées, de communiquer dans les meilleurs délais cette violation aux utilisateurs eux-mêmes. Cette communication doit a minima décrire les conséquences probables de la violation, de même que les mesures prises ou envisagées afin de remédier à la violation de données personnelles, y compris si besoin les mesures pour en atténuer les éventuelles conséquences négatives

 Arthur Poirier, avocat


Le conseil d’Etat, dans un arrêt du 3 octobre 2018, confirme la position de la CNIL refusant de faire droit à la demande de rectification d’un plaignant.

 

Si, aux termes de l'article 40 de la loi du 6 janvier 1978 modifiée : " Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées… »,  la CNIL dispose d’un pouvoir d'appréciation pour décider des suites à donner à la demande d’un plaignant s’étant vu opposer une fin de non-recevoir par un responsable de traitement.

 

En l’espèce, un particulier avait demandé que soit corrigée la graphie de son nom de famille dans les fichiers d’une société auprès de laquelle il avait souscrit un abonnement : il souhaitait que la particule de son nom apparaisse en lettres minuscules et non plus en lettres majuscules.

 

La CNIL, saisie au vu d’un tel refus, avait considéré qu'il ne lui appartient pas de veiller au respect des dispositions de l'article 1er de la loi du 6 fructidor an II aux termes duquel : " Aucun citoyen ne pourra porter de nom, ni de prénom autres que ceux exprimés dans son acte de naissance... " et de l'article 4 de la même loi qui dispose qu'il " est expressément défendu à tous fonctionnaires publics de désigner les citoyens dans les actes autrement que par le nom de famille, les prénoms portés en l'acte de naissance (...) ».

 

Le Conseil d’Etat a considéré que la CNIL avait fait une exacte application des dispositions précitées de l'article 40 de la loi du 6 janvier 1978 en considérant que la graphie en lettres majuscules de la particule du patronyme de M. de X...n'entachait pas d'inexactitude ses données personnelles et n'entraînait aucun risque de confusion ou d'erreur sur la personne.

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance


Un parent d’élève s’étant opposé à ce que ses enfants figurent dans les traitements bases élève de l’éducation nationale, le Conseil d’Etat a été amené à se prononcer sur les motifs légitimes invoqués par les intéressés sur le fondement des dispositions de l’article 38 de la loi du 6 janvier 1978 modifiée.

 

La Haute juridiction administrative a considéré que les craintes d’ordre général, notamment liées à la sécurité du fonctionnement de la base, invoquées par le parent n’étaient pas de nature à justifier cette opposition.

 

Celui-ci aurait dû faire état de considérations qui lui seraient propres ou qui seraient propres à ses enfants.

 

Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance



Après la loi relative à la lutte contre la manipulation de l’information du 22 décembre 2018 (n°2018-1202), le législateur porte de nouveau son attention sur les modalités d’exercice de la liberté d’expression sur Internet.

 

Ainsi, le 20 mars 2019, deux propositions de loi ont été enregistrées à l’Assemblée nationale. D’une part un texte visant à lutter contre la haine sur Internet et d’autre part une proposition de loi « visant à obliger les utilisateurs des réseaux sociaux à s’y inscrire sous leur identité réelle ».

 

Selon l’exposé des motifs de cette dernière proposition de loi, les réseaux sociaux « […] représentent un outil formidable d’expression, de partage et de communication ». En revanche, « le recours aux pseudonymes bénéficie avant tout aux harceleurs et aux militants politiques radicaux qui propagent des arguments politiques erronés ou de fausses informations ».

 

Le texte prévoit de modifier l’article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique en intégrant une nouvelle disposition imposant, dans sa rédaction actuelle, aux hébergeurs de services de communication au public en ligne, catégorie de prestataires de services Internet qui inclut les réseaux sociaux, de vérifier l’identité des destinataires de leurs services « sur présentation de tout document écrit à caractère probant ».

 

Les rédacteurs de ce texte s’inspirent du mécanisme de vérification d’identité imposé par l’article L.561-5 du Code monétaire et financier dans le cadre de la lutte contre le blanchiment de capitaux et le financement du terrorisme.

 

La proposition de loi prévoit l’intervention d’un décret en Conseil d’Etat, pris après avis de la CNIL, pour la détermination des modalités d’application de cet article. Pour l’heure, le parcours législatif de ce texte ne fait que commencer : la proposition de loi a été renvoyée pour examen par la Commission des affaires culturelles et de l’éducation.


Arthur Poirier, avocat et Mathieu Vincens, juriste



Le 27 mars 2019,  le Parlement européen a adopté un règlement pour la cybersécurité relatif  "à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité)". 

 

Le considérant n°1 du règlement est parfaitement explicite sur les enjeux ayant conduit à l’adoption de ce règlement en les termes suivants :

 

 « Les réseaux et systèmes d'information et les réseaux et services de communications électroniques remplissent une fonction essentielle dans la société et sont devenus le nerf de la croissance économique. »

 

Dans ce contexte, l’article 1 explicite les deux objectifs du règlement européen, à savoir :  

 

  • "les objectifs, les tâches et les questions organisationnelles concernant l’ENISA"

« La principale tâche de l'ENISA consiste à promouvoir la mise en œuvre cohérente du cadre juridique applicable, et notamment la mise en œuvre effective de la directive (UE) 2016/1148 [communément appelée NIS] ainsi que des autres instruments juridiques pertinents comportant des aspects liés à la cybersécurité, ce qui est essentiel pour renforcer la cyber-résilience » (considérant 24).

 

  • un cadre pour la mise en place de schémas européens de certification de cybersécurité dans le but de garantir un niveau adéquat de cybersécurité des produits TIC, services TIC et processus TIC dans l'Union, ainsi que dans le but d'éviter la fragmentation du marché intérieur pour ce qui est des schémas de certification dans l'Union. »

 

Ce second objectif du présent règlement vise à établir un cadre de certification de cybersécurité unifié à savoir « un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie. »

 

Le certificat de cybersécurité européen est défini comme  « un document délivré par un organisme compétent attestant qu'un produit TIC, service TIC ou processus TIC donné a été évalué en ce qui concerne sa conformité aux exigences de sécurité spécifiques fixées dans un schéma européen de certification de cybersécurité ».


Il sera donc possible de faire certifier :

 

  • un produit TIC, « un élément ou un groupe d'éléments appartenant à un réseau ou à un schéma d'information » ;

 

  • un service TIC, « un service consistant intégralement ou principalement à transmettre, stocker, récupérer ou traiter des informations au moyen de réseaux et de systèmes d'information » ;

 

  • un processus TIC, « un ensemble d'activités exécutées pour concevoir, développer ou fournir un produit TIC ou service TIC ou en assurer la maintenance ».


Il est intéressant de noter que l’article 55 du Règlement prévoit que le fabricant ou le fournisseur disposant d’une certification « met les informations supplémentaires en matière de cybersécurité qui suivent à la disposition du public :

 

a) des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l'installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC ;

 

b) la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité ;

 

c) les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d'utilisateurs finaux et de chercheurs dans le domaine de la sécurité ;

 

d) une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité. »

 

Si ce cadre juridique était souhaité et est souhaitable face aux nouveaux enjeux en matière de cybersécurité, il apparait évident qu’un certain temps sera nécessaire pour la mise en place de ces mécanismes de certifications complexes.



Marine Hardy, avocate, responsable des pôles Innovations et Sécurité