Pro Bono : le cabinet aux côtés de la Fondation Abbé Pierre

Fondation Abbé PierreLe cabinet assiste la Fondation Abbé Pierre dans la sécurisation de son système d’information et sa conformité au RGPD.

Déjà actif de longue date dans le cadre de projets Pro Bono (v. notre post du 4-5-2017), le cabinet Lexing Alain Bensoussan Avocats vient de signer un partenariat avec la Fondation Abbé Pierre.

Objectifs du partenariat avec la Fondation Abbé Pierre

  • renforcer la sécurité du système d’information de la Fondation et la doter d’une charte informatique définissant les droits et obligations de ses utilisateurs ;
  • mettre en place les dispositions nouvelles issues du règlement européen sur la protection des données (RGPD), pour l’ensemble des données informatiques qu’elle est amenée à traiter.

Au regard des objectifs qu’elle poursuit, le cabinet a souhaité mettre son expertise au service de la Fondation en l’accompagnant dans ses démarches pour la conception et la réalisation des objectifs précités.

Les deux parties ont signé dans ce cadre une convention de mécénat de compétences ayant pour objet de définir les modalités et conditions d’intervention de la société Alain Bensoussan Avocats pour la Fondation à laquelle elle apporte son soutien.

Eric Bonnet
Directeur Département communication juridique




Etat d’urgence et cadre des perquisitions informatiques

Etat d’urgence et cadre des perquisitions informatiquesLes données informatiques, accessibles depuis les lieux faisant l’objet de perquisitions, peuvent être saisies.

Les perquisitions informatiques sont entendues ici comme les perquisitions réalisées sur des supports électroniques et effectuées dans le cadre de l’état d’urgence.

Cadre des perquisitions administratives

L’état d’urgence, encadré par la loi n° 55-385 du 3 avril 1955 (1), a été instauré en France pour un délai de trois mois par la loi du 20 novembre 2015 puis a fait l’objet de quatre prorogations. La quatrième prorogation a été votée le 13 décembre 2016 et court jusqu’au 15 juillet 2017.

Certains pans de la loi du 3 avril 1955 ont été modifiés par ces cinq lois, afin notamment d’adapter ce cadre aux enjeux technologiques actuels.

Ainsi, la troisième prorogation, adoptée le 21 juillet 2016, a ouvert la possibilité d’effectuer une analyse des données informatiques accessibles depuis le lieu faisant l’objet d’une perquisition administrative.

L’intérêt que suscitent les données informatiques dans le cadre de perquisitions n’est évidemment pas nouveau. En 2004, la loi pour la confiance dans l’économie numérique avait modifié l’article 56 du Code de procédure pénale (2) et inséré en son sein la possibilité d’une saisie, dans le cadre d’une perquisition, de « données informatiques » (3).

Les données informatiques faisaient alors textuellement leur entrée dans le cadre des perquisitions judiciaires (4).

Les perquisitions administratives mises en place dans le cadre de l’état d’urgence suivent un régime dérogatoire.

Ces perquisitions sont effectuées en dehors du cadre judiciaire prévu par l’article 56 du Code de procédure pénale. Une telle perquisition est ainsi décidée par un préfet qui aura constaté que le comportement d’une personne est constitutif d’une « menace pour la sécurité et l’ordre publics ».

Ainsi aucun contrôle a priori de la mesure par un juge n’est nécessaire à la mise en œuvre d’une telle perquisition.

Par conséquent, ces perquisitions, par essence, contreviennent à l’effectivité d’un nombre important de droits fondamentaux, ce qui est critiqué par une partie de la doctrine (5).

Ces perquisitions peuvent mener à la saisie de données informatiques, volonté du législateur, notamment dans la mesure où il est considéré que l’outil informatique joue un rôle important dans la réalisation d’infraction de terrorisme.

Implémentation des perquisitions informatiques par la loi sur l’état d’urgence

Cette volonté n’est pas récente. Déjà, lors de la première version de la loi sur l’état d’urgence, votée le 20 novembre 2015, un texte prévoyait la mise en œuvre d’une telle prérogative.

Permettant de « copier toutes les données informatiques auxquelles il aura été possible d’accéder au cours de la perquisition », le Conseil constitutionnel, le 19 février 2016 [1] l’avait assimilé à une saisie sans encadrement et censuré (6).

Encadrement des perquisitions informatiques

L’article 11 (7) de la loi renseignement, tel que découlant de la loi du 21 juillet 2016, a pris en compte cette censure, et prévu le cadre nécessaire à la mise en œuvre d’un tel acte d’enquête. Les « éléments dépourvus de tout lien avec la menace que constitue le comportement de la personne concernée pour la sécurité et l’ordre publics » ne peuvent ainsi plus faire l’objet d’une exploitation par l’administration.

Le texte prévoit la possibilité de copier des données enregistrées sur les supports physiques présents sur les lieux perquisitionnés mais également les données accessibles depuis ces supports. Ainsi toute donnée présente en ligne peut faire l’objet de l’intérêt des enquêteurs, notamment celles enregistrées dans le cloud.

La perquisition est effectuée par un officier de police judiciaire qui rédige un procès-verbal adressé au procureur de la République.

Par la suite, les données ne pourront être exploitées par l’administration que si un juge donne son accord dans les 48 heures. Les supports devront être restitués dans les 15 jours, après copie de leurs données ou non, en fonction de la décision du juge [2].

Il est à noter que si ce cadre permet l’accès aux données accessibles depuis le lieu qui fait l’objet de la perquisition, il ne permet en revanche pas la saisie administrative des données (sauf si elles s’avèrent constitutives d’armes).
Néanmoins, dans le cadre de l’ouverture d’une procédure judiciaire incidente, ces données pourront, conformément aux dispositions de l’article 56 du Code de procédure pénale, faire l’objet d’une saisie.

Evolution récente

Le 2 décembre 2016 [3], le Conseil constitutionnel a, en partie, censuré ce texte. Ainsi, depuis le 1er mars 2017, une importante modification de l’article 11 de la loi de 1955 avait été effectuée pour prendre en compte la décision des sages de la rue Montpensier.

Le texte précisait ainsi notamment que :

« Pendant le temps strictement nécessaire à leur exploitation autorisée par le juge des référés, les données et les supports saisis sont conservés sous la responsabilité du chef du service ayant procédé à la perquisition et à la saisie. Les systèmes informatiques ou équipements terminaux sont restitués à leur propriétaire, le cas échéant après qu’il a été procédé à la copie des données qu’ils contiennent, à l’issue d’un délai maximal de quinze jours à compter de la date de leur saisie ou de la date à laquelle le juge des référés, saisi dans ce délai, a autorisé l’exploitation des données qu’ils contiennent. Les données copiées sont détruites à l’expiration d’un délai maximal de trois mois à compter de la date de la perquisition ou de la date à laquelle le juge des référés, saisi dans ce délai, en a autorisé l’exploitation».

L’article 38 de la loi du 28 février 2017 (8) est venu apporter une nouvelle modification de ce texte, qui prévoit désormais que « la perquisition ne peut avoir lieu entre 21 heures et 6 heures, sauf motivation spéciale de la décision de perquisition fondée sur l’urgence ou les nécessités de l’opération » là où auparavant cette perquisition pouvait s’effectuer « de jour et de nuit ».

Ce cadre reste néanmoins très ouvert. Il a notamment été considéré, par un jugement du 7 janvier 2017, que l’adhésion à un groupe Facebook pouvait justifier une perquisition administrative (9).

Virginie Bensoussan-Brulé
Raphaël Liotier
Lexing Droit presse et pénal numérique

(1) Loi 55-385 du 3-4-1955
(2) Next INpact, Article de Marc Rees du 19-7-2016
(3) CPP, art. 56
(4) Assemblée nationale, Avis 608 du 11-2-2003
(5) Mediapart, Article de Paul cassia du 16-12-2015
(6) Next INpact, Article de Marc Rees du 19-2-2016
(7) Loi 55-385 du 3-4-1955, art. 11
(8) Loi 2017-258 du 28-2-2017, art. 38
(9) Next INpact, Article de Marc Rees du 7-2-2017




Le tableau de bord juridique du DSI 2016 est paru

Tableau de bord du DSI 2016L’édition 2016 du tableau de bord juridique du DSI, rédigée sous la direction d’Alain Bensoussan, vient de paraître.

L’ouvrage se présente sous forme d’un véritable tableau de bord qui contient des check-lists d’opérations à effectuer, renvoyant à des fiches pratiques destinées à permettre au DSI de mener à bien ces opérations.

Il a pour finalité de faciliter la démarche du DSI au quotidien. D’une part, en l’aidant à acquérir les bons réflexes. D’autre part, en lui fournissant de nombreuses informations pratiques, à la suite de brefs développements juridiques.

La Direction des Systèmes d’Information doit en effet tenir compte d’une réglementation complexe et éparse dont le non-respect est susceptible d’exposer le responsable à des sanctions pénales. Et ce, que ce soit en matière de traitement des données, de contenu des informations diffusées, d’atteintes à ces informations ou encore de relations avec les salariés et les cocontractants.

L’édition 2016 tient notamment compte des nouvelles obligations issues de l’Ordonnance du 24 août 2011 (notification des failles de sécurité, interdiction du spam, consentement préalable aux cookies ou témoins de connexion, etc.), des nouvelles dispositions de la loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2) en matière de vidéosurveillance, d’usurpation d’identité et de captation de données informatiques mais aussi de la loi sur le renseignement.

Enfin, il est également fait référence au droit prospectif, à savoir principalement, le règlement européen sur les données personnelles et la loi pour une République numérique.

Cette nouvelle édition s’appuie également sur la jurisprudence actualisée au 1er janvier 2016, notamment celle relative au droit à l’image des salariés sur leur lieu de travail, à l’accès de l’employeur aux SMS de leurs salariés sur smartphone professionnel ou encore sur le périmètre contractuel de l’assistance à la maîtrise d’ouvrage.

La version PDF donne un accès direct aux documents cités et commentés dans l’ouvrage. Sont ainsi consultables à partir de la version électronique, les articles de loi, circulaires et autres documents officiels, la jurisprudence ainsi que les articles de presse du cabinet Alain Bensoussan.

Eric Bonnet
Directeur du département Communication juridique

Les Clubs OLG, Edition 2016




Renseignement et transmissions hertziennes : censure

Renseignement et transmissions hertziennes : censure

Plusieurs questions prioritaires de constitutionnalité (QPC) ont été déposées contre la loi renseignement.

La loi renseignement (n° 2015-912) promulguée le 24 juillet 2015 (1) a autorisé les services de renseignement à mettre en œuvre des techniques de renseignement sur autorisation du Premier ministre.

Ce ne sont pas moins de sept recours qui ont été déposés devant le Conseil d’Etat et le Conseil Constitutionnel contre les décrets d’application de la loi renseignement. Ces sept recours sont toujours pendants.

Les requêtes (2) ont été déposées devant le Conseil d’Etat par La Quadrature du Net(LQDN), la French Data Netwok (FDN) et la Fédération des fournisseurs d’accès à Internet associatifs (FFDN) ainsi que par le Conseil National du Numérique (CNN), Génération Libre (GL), le French American Bar Association et le Conseil des barreaux européens, le Bâtonnier de Paris, le Conseil National des Barreaux et l’Association de la Presse Judiciaire.

Quelle est la situation des recours et les décrets d’application concernés de la loi renseignement ?

Les recours sont dirigés contre :

  • le décret du 28 septembre 2015 (3) portant désignation des services spécialisés de renseignement ;
  • le décret du 1er octobre 2015 (4) relatif aux contentieux de la mise en œuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’Etat ;
  • le décret du 11 décembre 2015 (5) relatif à la désignation de services autres que les services spécialisés de renseignent ;
  • le décret du 29 janvier 2016 (6) relatif aux techniques de recueil de renseignement.

Ces recours ont pour objectif de :

  • démontrer que les décrets d’application de la loi renseignement sont contraires aux libertés et droits fondamentales ;
  • soulever une question préjudicielle de constitutionnalité relative à une disposition de la loi renseignement permettant de ne pas encadrer par des procédures de contrôle instituées par les techniques de renseignement empruntant les transmissions de communications par voie hertzienne.

Ces recours sont toujours pendants.

Quelles sont les dispositions du Code de la sécurité intérieure visées par les questions prioritaires de constitutionnalité ?

Des questions prioritaires de constitutionnalités ont également été déposées devant le Conseil d’Etat (7). Ces QPC ont toutes pour objet les dispositions de l’article L811-5 du Code de la sécurité intérieure (8).

Cet article dans sa rédaction issu de la loi relative au renseignement dispose que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions » du livre du Code de la sécurité intérieure.

Quels étaient les arguments de droit soulevés ?

Les recours engagés sont fondés sur la Charte des droits fondamentaux de l’Union  européenne et la Convention européenne de sauvegarde des droits de l’homme.

Les arguments de droit soulevés devant le Conseil d’Etat pour les quatre décrets d’application sont relatifs aux atteintes aux droits et libertés fondamentales, par la mise en œuvre d’un dispositif légal de surveillance qui implique notamment des accès administratifs aux données de connexion.

La méconnaissance du droit au respect de la vie privée et du droit à un recours effectif en raison de l’absence de possibilité effective de contestation des mesures de surveillance est soulevée dans les quatre mémoires complémentaires.

Ainsi que l’atteinte au droit au respect de la vie privée et à un droit au recours effectif garantis par les articles 8 et 13 de la Convention européenne de sauvegarde des droits de l’homme (9).

En effet, les demandeurs précisent que les quatre décrets contiennent des dispositions qui ne garantissent pas une possibilité effective de contester rétrospectivement les techniques de renseignement mises en œuvre.

Les dispositions en cause issues de la loi relative au renseignement ne prévoient aucun mécanisme destiné à compenser effectivement et suffisamment l’absence de toute notification a posteriori.

Le décret n° 2015-1639 du 11 décembre 2015 soulève également un autre moyen relatif à la méconnaissance de la Constitution par l’article L811-5 du Code de la sécurité intérieure tel qu’issu de la loi relative au renseignement

L’article L. 811-4 de la loi renseignement prévoit que la surveillance des transmissions empruntant la voie hertzienne ne peuvent être utilisées que par les services spécifiquement désignés.

Le décret contesté exclut implicitement mais nécessairement la surveillance des transmissions empruntant la voie hertzienne des mesures susceptibles d’être utilisées par les services ainsi désignés.

Il s’abstient totalement de déterminer les autorités compétentes pour recourir aux dix techniques de surveillance des transmissions empruntant la voie hertzienne.

Les QPC visent à déterminer les conditions d’application de l’article L811-5 du Code de la sécurité intérieure. Cet article est la reprise d’un ancien article abrogé en 2012.

« En édictant les dispositions de l’article L811-5 du code de la sécurité intérieure – lesquelles excluent « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne » de tout encadrement légal –, le législateur a-t-il, d’abord, méconnu sa propre compétence en affectant des droits et libertés que la Constitution garantit, en l’occurrence le droit au respect de la vie privée et le droit au recours effectif, en ce qu’il s’est abstenu, d’une part, de définir dans la loi les conditions de collecte, d’exploitation, de conservation et de destruction des « transmissions empruntant la voie hertzienne » et, d’autre part, de prévoir un quelconque contrôle de ces opérations ; et ensuite porté une atteinte disproportionnée à ces mêmes droits et libertés ? ».

Persistance des dispositions de l’ancien article 20 de la loi de 1991

La loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie des communications électroniques encadrait les activités de surveillance en France.

L’article 20 de cette loi (10) disposait que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions » d’encadrement des services de renseignement.

La transmission d’information par voie hertzienne permet une absence de support matériel et la possibilité de transmission à longue portée, elle comprend les communications par la téléphonie mobile sur les réseaux GSM, 3G/4G, par satellite, ainsi que le Wi-Fi, le Bluetooth, une balise GPS, une puce NFC (Near Filed Communcation), une clé 3G/4G, un badge de télépéage.

Ces types de communication n’étaient déjà pas pris en compte dans l’encadrement des services de renseignement issu de la loi de 1991.

Au surplus, l’article 20 de la loi de 1991 a été abrogé par une ordonnance n°2012-351 du 12 mars 2012.

Cependant, l’article L811-5 du Code de la sécurité intérieure (7) reprend in extenso l’article 20 abrogé dans sa rédaction issue de la loi 1991.

Les conséquences de la reprise de cet article 20 de la loi de 1991 dans le Code de la sécurité intérieure sont multiples :

  • les pouvoirs publics non définis dans l’article peuvent comprendre des ministres, des préfets, des directions relatives aux services de renseignement, DGSI, DGSE ;
  • toutes les dispositions encadrant la surveillance n’ont aucun impact sur les techniques employées pour la « défense des intérêts nationaux », sur les transmissions empruntant la voie hertzienne ;
  • toutes les communications hertziennes sont de droit exclues du champ des procédures de contrôle instituées par les techniques de renseignement.

La loi renseignement n’encadre que les techniques de communication intégralement filaires.

Or, les communications hertziennes représentent de vastes moyens de transmission de l’information qui ne sont pas encadrées par la loi renseignement et sont donc hors de tous contrôles.

Les dispositions de l’article L811-5 du Code de la sécurité intérieure semble contraire à la volonté première de la loi renseignement qui était d’encadrer les techniques de surveillance utilisées par les agents de renseignement dans des situations illégales.

Risque de détournement possible de l’article L811-5 du Code de la sécurité intérieure

La surveillance permise par l’article L811-5 du Code de la sécurité intérieure permet la surveillance de masse allant au-delà de la collecte de métadonnées. Cette collecte peut être effectuée sur les communications empruntant la voie hertzienne.

La décision du Conseil d’Etat du 22 juillet 2016

Dans sa décision du 22 juillet 2016, le Conseil d’Etat a décidé que la question de la conformité à la Constitution de l’article L811-5 du Code de la sécurité intérieure est renvoyée au Conseil Constitutionnel.

La motivation de la décision du Conseil d’Etat du 22 juillet 2016

Le Conseil d’Etat a pour renvoyer la question de la conformité à la Constitution des dispositions de l’article L811-5 du Code de la sécurité intérieure motivé sa décision en trois axes.

Il a d’abord rappelé que les dispositions de l’article L811-5 du Code de la sécurité intérieure n’ont pas été déclarées conformes à la Constitution par le Conseil constitutionnel.

Il a en outre précisé que le législateur n’avait pas exercé pleinement la compétence qui lui est confiée par l’article 34 de la Constitution. Et que la soustraction de la surveillance et du contrôle des transmission par voie hertzienne à tout dispositif d’encadrement et de contrôle, méconnaissait le droit au respect de la vie privée et familiale. Ce droit étant garanti par les articles 2 et 4 de la Déclaration des droits de l’homme et du citoyen de 1789.

Le droit à un recours effectif garanti par l’article 16 de la Déclaration soulevait une question présentant un caractère sérieux.

Le projet d’arrêté notifié par la France devant la Commission européenne

Un parallèle peut être fait entre les recours, les QPC devant le Conseil d’Etat, la décision du Conseil d’Etat et le projet d’arrêté notifié par la France devant la Commission européenne. Ce projet d’arrêté a pour objet la modification de l’arrêté du 4 juillet 2012. Cet arrêté fixe en effet la liste d’appareils et de dispositifs techniques prévue par l’article R226-3 du Code pénal.

Ce projet d’arrêté notifié auprès de la Commission européenne sous le numéro 2016/96/F (France) le 26 février 2016 concerne certains appareils d’accès aux réseaux de communications mobiles de 3e et 4e générations. Ces appareils sont mis en œuvre par les opérateurs de communications électroniques. Ils sont susceptibles d’intégrer des fonctionnalités de duplication des communications à des fins d’interception légale.

Les investissements à réaliser par les opérateurs de communications électroniques sur ce type d’appareils sont importants. L’article 2 du projet d’arrêté prévoit une entrée en vigueur différée de cinq ans pour permettre aux opérateurs une mise en conformité.

La décision attendue du Conseil Constitutionnel

Le Conseil Constitutionnel a trois mois pour se prononcer sur la constitutionnalité des dispositions de l’article L811-5 du Code de la sécurité intérieure.

Le Conseil Constitutionnel pourra, soit le déclarer conforme à la Constitution, soit apporter une règle d’interprétation, soit annuler purement et simplement cet article s’il n’est pas considéré conforme à la Constitution.

Pour en savoir plus sur le contenu des décrets d’application contestés

Le décret n°2015-1185 du 28 septembre 2015 désigne les services spécialisés de renseignement et notamment les services dont les agents peuvent être autorisés à recourir aux techniques de sonorisation de certains lieux et véhicules ainsi que de captation d’images et de données informatiques.

C’est l’article L811-2 du Code de la sécurité intérieure issu de cette loi qui prévoit le recours aux techniques de renseignement.

Parmi les techniques de renseignement visées aux articles L853-1 et L853-3 du Code de la sécurité intérieure figure la sonorisation de certains lieux et véhicules et la captation d’images et de données informatiques.

Le décret n°2015-1186 du 29 septembre 2015 prévoit que la Commission nationale de contrôle des techniques de renseignement (CNCTR) peut employer des fonctionnaires civils et militaires, des fonctionnaires des assemblées parlementaires et des magistrats placés auprès d’elle dans une position conforme à leurs statuts respectifs.

Les articles L. 243-1 à L. 243-11 du Code de la sécurité intérieure sont relatifs à l’organisation administrative et financière de la Commission nationale de contrôle des techniques de renseignement.

Le décret n° 2015-1211 du 1er octobre 2015 fixe la procédure contentieuse concernant la mise en œuvre des techniques de renseignement et l’accès aux fichiers intéressant la sûreté de l’Etat.

Le décret n° 2015-1639 du 11 décembre 2015 détermine les services relevant des ministres de la Défense et de l’Intérieur qui peuvent être autorisés à recourir aux techniques mentionnées au titre V du livre VIII de la partie législative du Code de la sécurité intérieure, dans les conditions prévues au même livre, à l’exclusion des techniques prévues aux articles L. 851-2 et L. 851-3.

La censure de l’article L811-5 par le Conseil constitutionnel

La décision du Conseil constitutionnel vient d’être rendue ce 21 octobre 2016 (11).

Le Conseil constitutionnel retient que l’article L811-5 du Code de la sécurité intérieure donne l’autorisation aux pouvoirs publics de prendre des mesures de surveillance et de contrôle de toute transmission en empruntant la voie hertzienne.

Ces mesures de surveillance ne permettent pas d’exclure que puissent être interceptées des communications ou recueillies des données individualisables.

C’est pourquoi le Conseil affirme que ces dispositions portent atteinte au droit au respect de la vie privée et au secret des correspondances.

En outre, le Conseil précise également que bien que ces mesures de surveillance et de contrôle ne peuvent être prises qu’aux seules fins de la défense des intérêts nationaux, l’article L811-5 du Code de la sécurité intérieure n’interdit pas que ces mesures puissent être utilisées à des fins plus larges.

Enfin, le Conseil constitutionnel estime que l’article L811-5 du Code de la sécurité intérieure ne définit pas la nature des mesures de surveillance et de contrôle que peuvent prendre les pouvoirs publics. Le recours à ces mesures n’est d’ailleurs soumis à aucune condition de fond ni de procédure. La mise en œuvre de ces mesures n’est également encadrée par aucune garantie.

Le Conseil Constitutionnel reconnait alors que faute de garanties, l’article L811-5 du Code de la sécurité intérieure porte une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances.

L’article L811-5 du Code de la sécurité intérieure est donc déclaré contraire à la Constitution par le Conseil constitutionnel.

Afin de permettre au législateur de remédier à l’inconstitutionnalité constatée, il y a donc lieu de reporter au 31 décembre 2017 la date de cette abrogation.

Le Conseil a cependant reporté au 31 décembre 2017 la date d’effet de cette déclaration d’inconstitutionnalité étant donné que l’abrogation immédiate de l’article L811-5 du Code de la sécurité intérieure entraînerait des conséquences manifestement excessives.

Elle aurait pour effet selon le Conseil constitutionnel de priver les pouvoirs publics de toute possibilité de surveillance des transmissions empruntant la voie hertzienne.

Il est alors précisé par le Conseil que jusqu’à l’entrée en vigueur d’une nouvelle loi ou, au plus tard, jusqu’au 30 décembre 2017, les dispositions de l’article L811-5 du Code de la sécurité intérieure ne pourront servir de fondement à des mesures d’interception de correspondances, de recueil de données de connexion ou de captation de données informatiques.

Les dispositions de l’article L811-5 du Code de la sécurité intérieure ne pourront être mises en œuvre sans que la Commission nationale de contrôle des techniques de renseignement (CNCTR) soit régulièrement informée sur le champ et la nature des mesures prises en application de cet article.

Didier Gazagne
Audrey Jouhanet
Lexing, Sécurité & Défense

(1) Loi renseignement 2015-912 du 24-7-2015
(2) Mémoire sur la requête n° 394.922, n° 394.924, n°394.925, n°397.844
(3) Décret 2015-1185 du 28-9-2015
(4) Décret 2015-1211 du 1-10-2015
(5) Décret 2015-1639 du 11-12-2015
(6) Décret 2016-67 du 29-1-2016
(7) QPC posée à l’appui des requêtes n°397.844, n°394.922, n°394.925, n°397.851
(8) Code de la sécurité intérieure, art. L811-5
(9) Convention européenne des droits de l’homme, art. 8 et 13
(10) Loi 91-646 du 10-7-1991, art. 20
(11) Décision 2016-590 QPC du Conseil constitutionnel du 21-10-2016




Usine du futur : enjeux technologiques et réglementaires

Usine du futur : enjeux technologiques et réglementairesConstruire une usine du futur (industrie 4.0) induit la maîtrise de défis technologiques et enjeux réglementaires.


En effet, tout secteur industriel confondu, l’usine du futur (1) se construit sur des technologies clés (2) transversales et des écosystèmes technologiques spécifiques qui présentent également des enjeux réglementaires.

L’usine du futur appuie la conception d’une production entièrement intégrée d’un point de vue numérique. Elle repose d’une part sur des technologies transversales et un volume très important de données, d’autre part sur des écosystèmes technologiques spécifiques.

L’usine du futur: les technologies transversales

Les technologies transversales dans l’usine du futur sont toutes dépendantes de la maîtrise des données et des écosystèmes de production de données (IIoT, analyse et algorithme prédictifs, etc…).

Numérisation 3D de l’environnement industriel ou de l’outil de production

Enjeux technologiques. Dans l’usine du futur, le développement de la numérisation 3D permet de disposer d’un modèle numérique de l’ensemble des outils de production. Ceci afin de pouvoir interagir avec ce modèle pour simuler ou optimiser les équipements de production. Mais également de faire de la simulation des zones à risques ou dangereuses. Ou encore d’analyser ou d’identifier des équipements ou composants critiques. Cette technologie est transversale puisqu’elle pourra être couplée ou faire appel à plusieurs autres technologies également transversales, comme la réalité augmentée ou le cloud.

La numérisation en 3D de l’environnement industriel, des équipements et des outils de production de l’usine du futur permet de rendre la production plus intelligente. Et plus flexible. La numérisation en 3D de l’outil ou système de production est appuyée par la numérisation de toutes les opérations de production.

Flexibilité de l’outil de production

La numérisation en 3D contribue à la flexibilité de l’outil de production. Il s’agit d’un enjeu majeur de l’usine du futur. Idem de la numérisation de la globalité de l’environnement de production et des équipements. Celle-ci permet en effet de disposer en temps réel d’information directement exploitable. Et ce pour personnaliser, adapter, calibrer au plus près la production. Et rendre les données issues de l’outil de production accessibles aux différents décideurs de l’entreprise sur le site industriel. Mais également à distance ou encore pour permettre un accès ou un partage d’information via le cloud avec des fournisseurs, clients ou sous-traitants.

Après la numérisation, le modèle numérique en 3D de production permet dans l’usine du futur d’exploiter à partir de logiciels d’analyse les données de chaque équipement ou machine. Le modèle numérique en 3D permet aussi de géo-taguer la documentation industrielle disponible des fabricants. et de vérifier plus facilement la conformité aux normes industrielles applicables. L’accès à un modèle numérique en 3D permet également de connecter les systèmes robotiques ou les machines au modèle numérique de l’entreprise.

A terme l’analyse des modèles numériques en 3D qui auront été spécifiés par secteur d’activité. Ceci grâce également à l’Internet Industriel des Objets (IIoT), permettra une meilleure adaptation de l’entreprise à son (ses) marché(s). Ainsi que la réalisation de tests en conditions réelles de nouveaux scénarios de production.

Enjeux réglementaires de l’usine du futur

L’accès ou la publication de maquette numérique en 3D spécifiée pourra présenter des risques de propriété intellectuelle. La réalisation de modèle numérique de production en 3D accessible en ligne ou à distance augmente également la capacité d’exposition aux risques de cybersécurité. Et aggrave ceux existants. Principalement du fait de la possibilité de connaître les interactions entre les différents équipements de production grâce au modèle numérique en 3D.

Ce modèle numérique en 3D permet également d’optimiser le monitoring, la surveillance et la maintenance prédictive de l’outil de production.

Usine du futur : Big Data et valorisation de données massives

L’usine du futur produit un volume de données massives, structurées ou non, qu’il faut valoriser et rendre intelligible pour les managers et décideurs.

Ce volume de données n’a d’intérêt que s’il permet de générer de la valeur. Ceci afin de permettre aux managers et décideurs d’anticiper sur les décisions afin de disposer d’un avantage compétitif et concurrentiel.

Les technologies de valorisation de ces volumes de données sont interdépendantes des technologies de traitement et d’analyse des données (data mining, deep learning). Et plus généralement des technologies de software de modélisation, virtualisation et simulation des données massives ainsi que des technologies de cybersécurité.

Si l’on laisse volontairement de côté la question du traitement en temps réel des données du big data, les défis technologiques concernent essentiellement les procédés d’anonymisation irrréversibles et absolus des données personnes du big data.

Usine du futur: ingénierie numérique des données industrielles

Les technologies d’ingénierie numérique des données industrielles permettent de décrire un phénomène en fonction de dimensions physiques, mécaniques, chimiques, biologiques. Ceci grâce à un ensemble de fonctions mathématiques. Elles sont utilisées pour traiter « la bonne information à la bonne échelle ». Les modèles mathématiques sont également présents. Et ce à toutes les étapes de la chaîne de valeur numérique de l’industrie du futur. Ces technologies sont amenées à se développer. Compte tenu principalement du développement et l’augmentation exponentielle des puissances de calcul des supercalculateurs.

Enjeux réglementaires de l’usine du futur. L’enjeu réglementaire des technologies big data et d’ingénierie des données industrielles est la définition d’une stratégie globale de valorisation des données et aussi d’intelligence des données respectant le cadre réglementaire des données personnelles et les exigences de cybersécurité.

L’usine du futur: écosystèmes technologiques spécifiques
Robotique collaborative

Enjeux technologiques de l’usine du futur. Les robots collaboratifs sont définis dans la norme NF EN ISO 10218-2. Il s’agit des robots conçus pour pouvoir travailler en interaction directe avec un opérateur humain dans un espace de travail collaboratif.

A la différence des systèmes robotisés non collaboratifs, le robot collaboratif est conçu pour augmenter la flexibilité d’un poste de travail. Ainsi également que la polyvalence des outils de production. Il doit également pouvoir être intégré sans recourir à des enceintes périmétriques de sécurité. Le couplage du robot collaboratif avec un opérateur humain permet de réduire voire de supprimer la pénibilité pour l’opérateur humain. Les tâches répétitives ou pénibles pouvant être, dans l’usine du futur, assurées par le robot collaboratif.

Un robot collaboratif, du fait de son interaction directe avec l’opérateur humain, est ainsi conçu pour disposer de fonctionnalités spécifiques de sécurité :

  • arrêt nominal de sécurité contrôlé ;
  • contrôle de la vitesse et de la distance de séparation avec l’opérateur humain ;
  • limitation de la puissance et de la force, soit par conception, soit par circuit de commande.

Enjeux réglementaires. L’intégration dans l’usine du futur de robots collaboratifs nécessite de suivre une démarche d’intégration structurée qui s’articule autour des 5 phases suivantes :

  • expression des besoins : l’entreprise va définir dans un cahier des charges ses besoins en robots collaboratifs ;
  • identification et d’analyse des risques ;
  • mise en place des robots collaboratifs ;
  • test et recette des robots collaboratifs ;
  • mise en conformité avec les autres exigences de la réglementation européenne (Marquage CE, Conformité à la Directive CEM (Compatibilité électromagnétique) , conformité à la directive ATEX, etc….).
Santé et sécurité

Du fait de la proximité de l’opérateur humain avec les robots collaboratifs, il est nécessaire de procéder à une analyse des risques pour la santé et la sécurité.

Les exigences essentielles de santé et de sécurité de la directive machine 2006/42/CE sont à prendre en compte. L’analyse des risques peut être réalisée en s’appuyant sur les normes publiées en matière de robots industriels.

Le référentiel normatif des normes est aujourd’hui constitué de normes identiques au niveau mondial. Les normes de ce référentiel applicables aux robots collaboratifs sont la norme NF EN ISO 10218-1, la norme NF EN ISO 10218-2 et EN ISO 12100.

Par ailleurs, il conviendra de prendre en compte les questions relatives à l’acceptabilité sociale des robots collaboratifs. Sans oublier la conduite du changement et la valorisation de l’opérateur humain dans une collaboration homme-robot, la formation des personnels et la conduite du changement.

Usine du futur : Internet Industriel des objets (IIoT)

Enjeux technologiques. L’Internet Industriel des Objets sera un très fort contributeur dans l’usine du futur. Selon les experts, à l’horizon 2025, 50 milliards d’objets devraient être connectés à Internet. Par conséquent, le potentiel disruptif de l’IIoT pourrait être aussi disruptif que l’a été l’Internet. L’IIoT va également transformer la chaîne de valeur.

L’IIoT consiste à faire communiquer entre eux tous les « objets » (robots, machines, capteurs, actionneurs..). Ainsi que l’ensemble des acteurs (collaborateurs, fournisseurs, sous-traitant, clients) de la chaîne de valeur dans l’usine du futur. Sans l’IIoT, la numérisation en 3D de l’environnement et l’outil de production n’est pas globale. Et surtout ne permet pas de faire vivre en temps réel le modèle numérique en 3D de l’environnement industriel et de l’outil de production.

L’enjeu technologique de l’IIoT est de pouvoir disposer de données issues des objets et des acteurs. Et de pouvoir les exploiter dans le cadre de l’intelligence opérationnelle en temps réel.

Collecte des données sur les produits

Dans la mesure ou l’IIoT collecte des données sur les produits, il permet également de connaître l’expérience client en temps réel. Et d’évaluer la pertinence et l’adéquation d’un produit ou d’un service aux besoins des clients.

L’IIOT permet le développement du « manufacturing as a service ». Et par conséquent la création de nouveaux modèles économiques et de business modèles. Pour certains produits ou services, l’IIoT et le manufacturing as a service modifient profondément les habitudes de consommation. En permettant de proposer une offre basée sur l’usage du produit et donc une tarification basée exclusivement sur l’usage du produit.

L’usine du futur qui souhaite tirer profit de l’avantage de l’IIoT doit naturellement s’assurer qu’elle intègre bien dans le système d’information l’ensemble des données issues de son outil de production.

Enjeux réglementaires. S’agissant des enjeux réglementaires, l’IIOT augmente également considérablement la surface d’attaque et les risques de cybersécurité. Ce qui implique de définir et mettre en place dans l’usine du futur une véritable politique globale de sécurité. En ayant préalablement défini une stratégie de cybersécurité. Et dans certains cas de cyberdéfense en fonction du secteur d’activité industriel de l’entreprise. L’IIoT nécessite également de gérer les aspects juridiques relatifs à la protection des données. Et d’anticiper les nouvelles formes de responsabilité résultant des nouveaux usages des produits.

Le volume des données collectées provenant du modèle numérique 3D et de l’IIoT sont très important. Cela nécessite également de définir une véritable politique de sauvegarde des données. Et une véritable politique sur les durées de conservation des données. Dans la mesure où les données doivent pouvoir être utilisées sur de longues périodes, il convient également de pouvoir rendre les données interopérables.

Usine du futur: fabrication additive

La fabrication additive est définie dans la norme NF EN 67001 comme un procédé qui permet de fabriquer, couche par couche, par ajout de matière, un objet physique à partir d’un objet (fichier) numérique. Les technologies de la fabrication additive se développent dans tous les secteurs de l’usine du futur.

Enjeux technologiques. Le potentiel de la fabrication additive permet une personnalisation de la production industrielle. Les enjeux technologiques de l’intégration de la fabrication additive dans l’usine du futur impliquent une étude poussée et rigoureuse de la chaîne de valeur. Ainsi que de l’apport de la fabrication additive à la chaîne de production et passe par un choix rigoureux des procédés (procédés thermoplastiques ou métalliques), des machines et des matériaux.

Intégration de la fabrication additive dans l’usine du futur

L’intégration de la fabrication additive dans l’usine modifie naturellement les chaînes de valeur de la R&D, du mode de fabrication. L’autre enjeu technologique de la fabrication additive porte sur la réalisation de pièces et d’objets avec une assurance qualité au moins égale à des procédés plus classiques de fabrication.

Enjeux réglementaires. En fonction des procédés, machines et matériaux utilisés pour la production additive, il convient de définir ou redéfinir la stratégie juridique en matière d’innovation en prenant en compte :

  • la politique d’innovation et de R & D ainsi que notamment les conditions de protection du savoir-faire et la lutte contre la contrefaçon. Avec la chaîne de valeur numérique, les risques de captation de données informatiques sont multiples. Et ces risques existent à tous les jalons de la chaîne numérique. Et ce bien qu’un contrefacteur ne pourra s’affranchir de détenir un savoir-faire industriel pour la réalisation d’objets exigeant sur le plan technologique ;
  • la politique de sécurité qui pourra nécessiter par exemple de revoir les exigences de la directive ATEX ainsi que les exigences de sécurité et de santé.

Les enjeux réglementaires portent sur les problématiques de dissémination pour des objets complexes et à très forte valeur ajoutée ou stratégique pour la base industrielle et technologique française.

Contrôles non destructifs (CND) innovants

Situées aux frontières de la métrologie, de l’instrumentation industrielle, scientifique et médicale, les méthodes et technologies de contrôles non destructifs (CND) se généralisent dans l’usine du futur.

Les différentes technologies de CND (technologies électromagnétiques, ultrasonores et acoustiques) utilisées traditionnellement pour la détection de défauts dans les industries métallurgiques ou dans le transport et le nucléaire, se diversifient. Ceci via l’utilisation de technologies d’imagerie numérique et de traitement du signal et avec l’utilisation de capteurs. Et s’étendent désormais aux domaines des biens de consommation et aux objets produits dans l’usine du futur.

Enjeux technologiques. L’utilisation de nouvelles méthodes et technologies de CND dans l’usine du futur concerne le choix de la technologie de CND la mieux adaptée. Et ce en fonction des contrôles de qualité des objets à effectuer et la qualification des conditions de mise en œuvre. Sans oublier la formation des opérateurs à ces nouveaux CND et les transferts de technologies nécessaires le cas échéant. Un autre enjeu est l’intégration de la stratégie de contrôle non destructif dans le modèle numérique 3D de l’usine du futur.

Enjeux réglementaires. Les enjeux réglementaires du développement de nouvelles technologies de CND concernent principalement la problématique de la traçabilité des contrôles. En particulier sur les pièces détachées, du fait de la personnalisation de la production avec la fabrication additive. celles-ci peuvent être produites désormais dans des micro-usines déportées du lieu de production principal voire à distance, sur le lieu de production de sous-traitants.

Monitoring – Surveillance – Maintenance prédictive

Le recours accru aux technologies et méthodes de monitoring, de surveillance et de simulation à partir de scénarios grâce à l’utilisation des modèles numériques 3D et de l’IIOT, et du développement des CND, permet de modifier profondément la chaine de valeur de la maintenance de l’outil de production.

Enjeu technologique. Grâce aux modèles numériques 3D, à l’IIOT et aux CND, managers et décideurs de l’usine du futur peuvent mieux détecter les dysfonctionnements, incidents ou pannes de l’outil de production. Et ainsi mieux connaître les incidences sur la durée de vie des équipements et de l’outil de production. Et mieux diagnostiquer et mettre en œuvre une maintenance prédictive de l’outil de production.

Le développement dans l’usine du futur des technologies de monitoring, de surveillance et de maintenance prédictive se confronte à un enjeu majeur. Celui de l’intégration à la chaîne numérique pour optimiser en temps réel l’outil de production et pouvoir le reconfigurer de manière automatique et optimiser sa performance. Un autre enjeu : le développement de système de système de supervision non limité à la supervision d’une partie. Ou d’un écosystème de production. Mais capable d’influer et de reconfigurer de manière globale l’outil de production en temps réel.

Enjeux réglementaires. Ils concernent au premier plan la cybersécurité, mais aussi la gestion de la transparence et de la traçabilité des simulations et des outils de diagnostic et de simulation. Egalement les conséquences en termes de responsabilité qui découle de l’information et de la connaissance des modes de défaillances. Ou encore des fragilités des objets ou produits fabriqués dans l’usine du futur. Sans oublier la question de l’acceptabilité par les opérateurs et par les clients des capteurs intégrés respectivement sur le système de production ou dans les objets fabriqués.

Evaluation de l’ensemble des enjeux réglementaires et normatifs

L’ensemble des enjeux réglementaires et normatifs propres aux technologies transversales ainsi qu’à chaque écosystème technologique doit également doit être évalué. Ceci dans le cadre d’une approche globale. L’analyse en silo des impacts et incidences des enjeux réglementaires d’un écosystème technologique ne suffit pas. L’analyse et l’évaluation des enjeux réglementaires doivent être conduites en prenant en compte l’ensemble des écosystèmes technologiques. Ainsi que les liens de dépendance ou de convergence entre eux.

L’usine du futur n’est pas une prospective futuriste. Elle est déjà là. L’usine du futur va également modifier la relation avec le consommateur-acteur. Ainsi que les rapports de force et l’expérience du consommateur-acteur.

Enfin, elle va également entraîner une modification en profondeur de l’écosystème des compétences. Principalement en créant de nouveaux savoir-faire et en rendant obsolète des savoir-faire existants.

Didier Gazagne
Lexing Droit Intelligence économique

(1) Ministère de l’Economie, de l’Industrie et du Numérique, Article « Nouvelle France Industrielle : construire l’industrie française du futur »
(2) Ministère de l’Economie, de l’Industrie et du Numérique, Article « Technologies clé 2020 ».




Terrorisme : renforcement des investigations judiciaires

Terrorisme : renforcement des investigations judiciairesLa loi 2016-731 du 3 juin 2016 vise à renforcer la lutte contre le crime organisé et le terrorisme et leur financement.

De nombreuses mesures sont instaurées par la loi du 3 juin 2016. Ainsi, le délit de consultation habituelle de sites invitant à la commission d’actes de terrorisme (article 421-2-5-2 du code pénal). Ou faisant l’apologie de ces actes (article 421-2-5-1 du code pénal). Ainsi également, le délit d’entrave au blocage de sites faisant l’apologie du terrorisme (article 421-2-5-1 du code pénal).

La loi prévoit aussi des actes entrant dans le champ de la lutte contre la criminalité et la délinquance organisées. Trois nouveaux actes d’investigation sont ainsi offerts aux enquêteurs. Il s’agit  :

  • de l’accès à distance aux correspondances électroniques accessibles au moyen d’un identifiant informatique ;
  • du recours aux IMSI-catchers ;
  • de l’accès à distance à des données stockées sur un système informatique.

Ces actes sont particulièrement attentatoires à la vie privée (article 8 de la déclaration des droits de l’Homme et du citoyen). Ils sont par conséquent strictement encadrés. Et ont d’ailleurs été soumis pour avis à la Commission nationale consultative des droits de l’Homme (CNCDH). La CNCDH souligne que « tel qu’il est pensé, le contrôle de la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR) pourrait être largement ineffectif ». Et précise : « Celle-ci est composée de manière pléthorique ». Et ne comporte « qu’un seul scientifique spécialiste des nouvelles technologies ».

Lutte contre le terrorisme : accès à distance aux correspondances électroniques accessibles au moyen d’un identifiant informatique

La loi introduit dans le code de procédure pénale (CPP) trois nouveaux articles 706-95-1 à 706-95-3. Les deux premiers  permettent , si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent, au juge des libertés et de la détention (JLD), à la requête du procureur de la République et au juge d’instruction d’autoriser par ordonnance motivée, l’accès à distance et à l’insu de la personne visée, aux correspondances stockées par la voie des communications électroniques accessibles au moyen d’un identifiant informatique.

Cette nouvelle loi permet par exemple aux enquêteurs d’accéder aux boîtes emails d’individus faisant l’objet d’une enquête.

Les données auxquelles il a été permis d’accéder « peuvent être saisies et enregistrées ou copiées sur tout support » (art. 706-95-3). Les opérations mentionnées ci-avant doivent être  » effectuées sous l’autorité et le contrôle du magistrat qui les a autorisées ». Et elles « ne peuvent, à peine de nullité, avoir un autre objet que la recherche et la constatation des infractions visées dans la décision de ce magistrat » (art. 706-95-3) .

Afin de procéder aux opérations visées aux articles 706-95-1 et 706-95-2, le magistrat ou l’OPJ commis peut notamment « requérir tout agent qualifié d’un exploitant de réseau ou fournisseur de services de communications électroniques autorisé ».

Lutte contre le terrorisme : Interception des correspondances des communications électroniques et recueil des données techniques de connexion

La loi insère également dans le CPP les articles 706-95-4 à 706-95-10. Ceux-ci ont pour objet le renforcement de l’efficacité des interceptions de correspondances émises par communications électroniques. Ainsi que le recueil des données techniques de connexion. Ces nouveaux articles permettent ainsi le recours aux IMSI-catchers.

Les IMSI-catchers permettent de capter, par le biais d’une fausse antenne relais, des données de connexion. Celles « de toutes les personnes détenant un périphérique électronique (téléphone cellulaire, ordinateur, tablette, etc.). Ceci  dans une zone géographique déterminée » (CNCDH, avis préc.).

Les IMSI-catchers pouvaient déjà être utilisés par les services de renseignement. Ceci dans les conditions de l’ article L.852-1 du code de la sécurité intérieure. Ils sont qualifiés par la loi du 3 juin 2016 d’ « appareil ou dispositif technique mentionné au paragraphe 1° de l’article 226-3 du code pénal ». Et utilisés afin de recueillir les données techniques de connexion. celles-ci « permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».

L’utilisation des IMSI-catchers peut (art. 706-95-4) être autorisée par le JLD. Le code précise dorénavant que « si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent, l’utilisation d’IMSI-catchers peut être aussi autorisée par le JLD ». et ce « à la requête du procureur de la République ». L’autorisation doit alors être délivrée « pour une durée maximale d’un mois, renouvelable une fois dans les mêmes conditions ».

Ce nouveau régime ne permet pas seulement le recueil de données de connexion. Il permet aussi et surtout de recueillir le contenu des conversations. En effet, le II. de l’article 706-95-4 prévoit que les IMSI-catchers peuvent également être utilisés. Ceci « afin d’intercepter des correspondances émises ou reçues par un équipement terminal ». Dans cette hypothèse l’autorisation est délivrée « pour une durée maximale de 48 heures, renouvelable une fois dans les mêmes conditions ».

L’utilisation des IMSI-catchers peut aussi être autorisée par le procureur de la République. En cas d’urgence résultant d’un « risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens » (art. 706-95-4). L’autorisation « peut être délivrée par le procureur de la République ». Dans ce cas, l’autorisation doit alors être confirmée par le JLD dans un délai maximal de 24 heures.

Le JLD qui a délivré ou confirmé l’autorisation est alors informé dans les meilleurs délais par le procureur de la République des actes accomplis dans le cadre de l’utilisation d’IMSI-catchers.

Enfin, le juge d’instruction peut également autoriser l’utilisation des IMSI-catchers. Après avis du procureur de la République. Ceci si les nécessités de l’information relative à l’une des infractions entrant dans le champ de la criminalité et de la délinquance organisées l’exigent. L’autorisation est délivrée pour une durée maximale de deux mois. Elle renouvelable dans les mêmes conditions « sans que la durée totale des opérations ne puisse excéder six mois ».  Le juge d’instruction peut aussi autoriser l’utilisation d’IMSI-catchers. Afin d’intercepter des correspondances émises ou reçues par un équipement terminal. L’autorisation est alors délivrée pour une durée maximale de 48 heures, renouvelable une fois.

Les autorisations permettant l’utilisation d’IMSI-catchers font l’objet d’une « ordonnance écrite et motivée ». Celle-ci n’a pas de caractère juridictionnel et n’est susceptible d’aucun recours (article 706-95-6).

Lutte contre le terrorisme : accès à distance à des données stockées sur un système informatique

L’ancien article 706-102-1 CPP permettait la captation de données en temps réel. Les nouveaux articles 706-102-1 à 706-102-3 permettent dorénavant l’accès à distance à des données stockées sur un système informatique.

Cet accès est qualifié de dispositif ayant pour objet, « sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques ». Et de les enregistrer, de les conserver et de les transmettre. Ceci « telles qu’elles sont stockées dans un système informatique, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données, telles qu’il les y introduit par saisie de caractères, ou telles qu’elles sont reçues et émises par des périphériques audiovisuels ».

La mise en place d’un tel dispositif peut être autorisée « par ordonnance motivée » du JLD. Ceci « à la requête du procureur de la République » (article 706-102-1). Ainsi que par le juge d’instruction « après avis du procureur de la République » (article 706-102-2). Une fois encore, si les nécessités de l’enquête relative à la criminalité et à la délinquance organisées l’exigent.

La décision qui autorise l’accès à distance à des données stockées sur un système informatique doit préciser (article 706-102-3) :

  • « l’infraction qui motive le recours à ces opérations ;
  • la localisation exacte ou la description détaillée des systèmes de traitement automatisé de données ;
  • la durée des opérations ».

Ceci à peine de nullité.

Cette autorisation prise par le JLD est délivrée pour une durée maximale d’un mois. Celle-ci est renouvelable une fois dans les mêmes conditions. L’autorisation prise par le juge d’instruction est délivrée pour une durée maximale de quatre mois. Elle est renouvelable dans les mêmes conditions, sans que la durée totale des opérations ne puisse excéder deux ans.

Afin d’installer ou de désinstaller le dispositif permettant l’accès à distance à des données stockées sur un système informatique, le JLD ou le juge d’instruction peuvent autoriser (article 706-102-5) :

  • l’introduction dans un véhicule ou dans un lieu privé (…) à l’insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l’occupant des lieux ou de toute personne titulaire d’un droit sur celui-ci »;
  • la transmission par un réseau de communications électroniques de ce dispositif ».

L’accès à distance ne peut concerner les systèmes automatisés de traitement se trouvant dans un cabinet d’avocat,. Elle ne peut pas davantage être réalisée dans le véhicule, le bureau ou le domicile d’un député, sénateur, avocat ou magistrat (article 706-102-5).

Les données utiles à la manifestation de la vérité doivent être décrites ou transcrites dans un procès-verbal. Lequel doit être versé au dossier. Aucune séquence relative à la vie privée étrangère aux infractions visées dans les décisions autorisant la mesure ne peut être conservée dans le dossier de la procédure (article 706-102-8).

La mention, par l’article 706-102-5, de la notion de véhicule, peut renvoyer à l’attentat de Nice. Et ainsi poser la question de savoir si un accès à distance à des données stockées dans le système informatique d’un véhicule serait envisageable. En effet, l’informatique prend une place de plus en plus grande dans les véhicules. Celle-ci va de la facilitation de la conduite (système GPS) à l’autonomie totale (tel que le véhicule « Olli » développé par Local Motors et IBM).

Prenons l’hypothèse où un véhicule autonome serait programmé pour commettre un acte de terrorisme. Ce nouveau régime d’accès à distance permettrait, dans le cadre d’une procédure judiciaire, au JLD et au juge d’instruction d’autoriser les forces de l’ordre à accéder à distance au système informatique d’un véhicule afin d’enquêter sur une infraction passée ou d’empêcher la réalisation d’une infraction programmée.

Didier Gazagne
François Gorriez
Lexing Sécurité et Défense




La saisie administrative de données informatiques invalidée

saisie administrative de données informatiquesAlain Bensoussan est intervenu sur France culture sur la décision invalidée par le Conseil constitutionnel concernant la saisie administrative de données informatiques

Au programme du Journal de 22 heures, présenté par Anne Fauquembergue :

  • la décision rendue ce jour par le Conseil constitutionnel de censurer une partie de la loi sur l’état d’urgence concernant les saisies informatiques lors des perquisitions.
  • les différences de traitement entre la France et les Etats-Unis en matière de décryptage des données informatiques.

Quelles sont les conséquences d’une telle décision ?

Le cadre de l’état d’urgence – Les « sages » du Conseil constitutionnel ont validé les interdictions de réunion (Décision n° 2016-535 QPC) et les perquisitions mais retoquent les copies de dossiers informatiques (Décision n° 2016-536 QPC) faites par les forces de l’Ordre lors des perquisitions administratives dans le cadre de l’état d’urgence.

La notion d’état de droit – Nous sommes en présence d’une décision extrêmement importante. Elle montre que malgré le moment très particulier de barbarie et en plein état d’urgence, la notion d’état de droit à un sens.

La saisie administrative de données informatiques – Le Conseil constitutionnel, dans sa décision 2016-536 QPC, définit de nouveau le caractère d’inviolabilité du domicile et, dans ce cas, de la possibilité, de manière exceptionnelle, de pouvoir faire certaines des opérations telles que les perquisitions. Mais lorsqu’il s’agit de la saisie administrative de données informatiques et que les agents font des copies de données personnelles sans qu’aucune limite ne permette d’organiser la protection de la vie privée, alors le Conseil dit non.

La perquisition à domicile – Au domicile des « personnes dont le comportement constitue une menace pour la sécurité et l’ordre publics », s’il y a des ordinateurs qui peuvent contenir des données susceptibles d’intéresser la sécurité nationale, ceux-ci renferment aussi des données à caractère personnel, quant à la santé par exemple, relevant de la vie privée. Et non seulement des données sur la personne en ligne de mire des services de police mais aussi sur les autres personnes vivant à son domicile.

Accès aux données personnelles – Cette restriction va incontestablement gêner les forces de l’ordre dans leur travail mais la saisie administrative de données informatiques – possibilité offerte par l’état d’urgence – est beaucoup trop large, ouvrant la porte à un accès élargi aux données personnelles de toute la famille et des proches.

Équilibre entre démocratie et ordre public – L’état d’urgence permet la saisie sans l’autorisation d’une autorité judiciaire, d’un juge : c’est la « Saisie administrative ». Toutefois, il faut y mettre certaines limites. La sécurité de tous ne peut se faire au détriment de la liberté de chacun. Il faut trouver un équilibre entre démocratie et sécurité.

Décision n° 2016-536 QPC du 19 février 2016 – Ligue des droits de l’homme [Perquisitions et saisies administratives dans le cadre de l’état d’urgence] – JORF n°0044 du 21 février 2016, texte n° 27 [Non conformité partielle]

Décision n° 2016-535 QPC du 19 février 2016 – Ligue des droits de l’homme [Police des réunions et des lieux publics dans le cadre de l’état d’urgence] – JORF n°0044 du 21 février 2016, texte n° 26 [Conformité]

France culture, Journal de 22 heures, présenté par Anne Fauquembergue, vendredi 19 février 2016.




Lutte antiterroriste : dépôt d’une proposition de loi

Le sénateur Philippe Bas a déposé une proposition de loi tendant à renforcer l’efficacité de la lutte antiterroriste.

Cette proposition s’inscrit dans la continuité des attaques terroristes du 13 novembre 2015 et dans la perspective de l’achèvement de la situation d’exception que constitue l’état d’urgence (1).

Coup de projecteur sur ce qui pourrait être le nouveau cadre législatif de la lutte antiterroriste.

Le premier des cinq titres composant la proposition de loi se donne pour objectif d’accroître l’efficacité des enquêtes et des informations judiciaires menées dans le domaine de la lutte antiterroriste.

Les deux premiers articles proposent de modifier le cadre des enquêtes préliminaires et de flagrance en matière de terrorisme.

Pour les premières, il est proposé d’aligner la procédure de perquisition dans les locaux d’habitation sur celle de l’enquête de flagrance afin, notamment, de permettre de réaliser la perquisition sans l’accord et en l’absence de l’occupant.

Pour les enquêtes de flagrance, il est envisagé de porter à 15 jours la durée de renouvellement du régime de flagrance, qui est actuellement de 8 jours, lorsque l’infraction projetée constitue certains des crimes et délits se rapportant au terrorisme.

Quatre articles du titre I élargissent les technologies auxquelles pourraient recourir les enquêteurs en matière de terrorisme.

Tout d’abord, il est prévu d’élargir le champ de la saisie de données de messageries électroniques hors du cadre de la perquisition et d’alléger la procédure de captation de données informatiques en supprimant l’autorisation ministérielle préalable.

Ensuite, le texte octroie au parquet des techniques d’investigation plus larges en lui permettant :

  • de recourir à la technique de l’IMSI catcher, qui est un matériel en forme de boitier constitué d’une sorte d’antenne relais permettant d’intercepter le trafic téléphonique ;
  • d’aligner ses pouvoirs sur celui du juge d’instruction s’agissant de l’installation de dispositifs techniques permettant la captation, la fixation, la transmission et l’enregistrement de paroles et d’images dans les lieux privés.

Parallèlement, il propose une compétence concurrente du Tribunal de grande instance de Paris pour toute les affaires de cybercriminalité, notamment celles qui relèvent de l’atteinte à un système de traitement automatisé de données et, dans le même temps, entend supprimer la compétence exclusive de cette juridiction pour les délits d’apologie et provocation à des actes terroristes et de consultation de sites terroristes.

Le titre I s’achève en prévoyant la possibilité pour le juge des libertés et de la détention d’autoriser par courrier électronique la réalisation d’une perquisition en dehors des horaires de droit commun, soit avant 6 heures et après 21 heures.

Les sept articles du titre II sont consacrés à la répression des infractions terroristes.

Son ainsi créées trois nouvelles infractions, celle de consultation habituelle de sites terroristes, celle d’entrave au blocage judiciaire ou administratif de contenus faisant l’apologie d’actes de terrorisme et le délit de séjour intentionnel sur un théâtre étranger d’opérations terroristes, étant précisé que pour cette dernière infraction le seul séjour suffit à caractériser le délit sans qu’il soit nécessaire de démontrer la réalisation ou la prévision d’une entreprise terroriste.

Les autres articles prévoient des aggravations de peine et de détention, en :

  • criminalisant l’infraction d’association de malfaiteurs en vue d’une entreprise terroriste, l’assortissant d’une peine de quinze ans de réclusion criminelle ;
  • doublant à deux ans la durée maximale de détention provisoire pour les mineurs de 15 ans révolus en lien avec une entreprise terroriste ;
  • systématisant la peine complémentaire d’interdiction du territoire français en cas de condamnation pour l’une des infractions visées aux articles 421-2-5 à 421-2-5-2 du Code pénal, sauf motivation contraire de la juridiction saisie.

Le titre III porte, quant à lui, sur les mesures d’exécution des peines. Il prévoit principalement :

  • de mettre en place des unités dédiées où l’encellulement individuel prévaudra au sein des établissements pénitentiaires pour les détenus radicalisés ou en voie de radicalisation ;
  • l’établissement d’une période de sûreté ou de surveillance pour les personnes condamnées pour terrorisme à l’issue de l’exécution de leur peine ;
  • d’exclure les condamnés pour une infraction terroriste de la plupart des procédures de réduction de peine.

Le titre IV contient un seul article qui apporte des précisions sur les conditions d’exercice des perquisitions administratives consacrées par la loi du 20 novembre 2015.

Il détaille les conditions de saisie d’objets ne permettant pas de démontrer la commission d’une infraction pénale, mais qui serait de nature à prévenir des menaces à l’ordre public.

Il précise la possibilité de saisir non pas seulement la copie de données informatiques mais également, dans un souci technique, les supports sur lesquels ces données sont contenues, afin de pouvoir les extraire a posteriori. Précisant, par ailleurs, que lesdites données ne pourront être conservées que pendant trois mois.

Enfin, le titre V contient des dispositions transitoires.

De ce patchwork répressif émane un double sentiment. Un sentiment de légitimité, au regard des atrocités commises et de l’impériosité d’y mettre un terme, et un sentiment de crainte quant aux dérives qu’il pourrait générer, tant certaines des dispositions envisagées sont attentatoires aux libertés individuelles.

Or le nécessaire équilibre qui doit gouverner à l’application de telles mesures rencontre une difficulté majeure relative à l’appréciation des articles 421-1 et suivants du Code pénal qui définissent le terrorisme d’une manière aussi large qu’imprécise.

Avant de redéployer l’arsenal répressif, il conviendrait de préciser la notion de terrorisme afin d’éviter la dérive sécuritaire redoutée.

Virginie Bensoussan-Brulé
Julien Kahn
Lexing Droit presse et pénal numérique

(1) PLO Sénat n°280 du 17-12-2015.




Skype : surveillance des conversations sur internet

Skype : surveillance des conversations sur internetLes logiciels de communication audiovisuelle, tel que le logiciel Skype, permettent de passer des appels téléphoniques et vidéo via Internet.

Pour lutter contre la criminalité et notamment contre le terrorisme, l’écoute de ces conversations audiovisuelles est devenue un enjeu majeur au même titre que l’interception des appels téléphoniques ou des courriers électroniques des internautes.

Encore impossible il y a quelques mois, une évolution des textes en vigueur a progressivement permis aux services de police, sous le contrôle du juge d’instruction, de surveiller ces « conversations Skype » dans le cadre de l’enquête, grâce à l’installation de logiciels mouchards.

La possibilité de surveiller les conversations échangées par les internautes via le logiciel Skype a été le fruit de plusieurs textes successifs dont un arrêté du 17 juillet 2015 (1). Cet arrêté élargit la définition des dispositifs offerts aux officiers et agents de police judiciaire pour capter les données informatiques émises et reçues par les utilisateurs. Cet arrêté permet désormais d’espionner les conversations audiovisuelles sur des ordinateurs privés grâce à l’installation de logiciels mouchards.

Cet arrêté a ainsi pour objectif de renforcer le dispositif de lutte contre le terrorisme, de faciliter le renseignement et d’accroître les moyens de surveillance sur internet.

Il était déjà possible de capter les données saisies au clavier ou affichées sur l’écran, depuis l’entrée en vigueur de la loi d’orientation et de programmation pour la sécurité intérieure du 14 mars 2011 (LOPPSI) (2). Cette mesure ne peut toutefois être décidée que dans le cadre d’une procédure judiciaire, sur autorisation du juge d’instruction.

Cette disposition présentait des lacunes, dans la mesure où elle ne permettait d’intercepter que les conversations écrites, à l’exclusion des données émises oralement par des logiciels de communication type « Skype ».

Dans un second temps, la loi de programmation militaire (LPM) (3) a autorisé diverses agences de l’Etat à avoir accès au détail des données relatives aux communications des internautes. Cette loi permet notamment de savoir qui appelle ou écrit, à qui, à quelle heure, quels sites sont visités et permet de géolocaliser, en temps réel, les utilisateurs hors de toute procédure judiciaire.

La loi anti-terroriste du 13 novembre 2014 (4) a multiplié les procédures, alourdi les peines pour les délits d’apologie de terrorisme commis sur internet et a autorisé le blocage de sites internet « provoquant à des actes terroristes ou en faisant l’apologie ».

Cette loi a également permis d’intercepter les données « reçues et émises par des périphériques audiovisuels », notamment via le logiciel Skype, toujours sous le contrôle du juge d’instruction. Elle a ainsi complété l’article 706-102-1 du Code de procédure pénale. Toutefois un article du Code pénal faisait obstacle à la mise en œuvre du dispositif.

En effet, l’article 226-3 du Code pénal punit la fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils ou de dispositifs techniques ayant pour objet la captation de données informatiques prévue par l’article 706-102-1 du Code de procédure pénale et figurant sur une liste dressée dans des conditions fixées par décret en Conseil d’Etat, en l’absence d’autorisation ministérielle.

Or l’arrêté du 4 juillet 2012 (5) listant des outils sensibles prévus à l’article 226-3 du Code pénal n’avait pas été adapté à la suite de l’entrée en vigueur de la loi du 13 novembre 2014. En effet, les logiciels mouchards n’étaient pas listés au titre des outils autorisés par le texte. L’arrêté n’autorisait que l’utilisation d’outils permettant de capter les données obtenues par saisie de caractère. Par l’arrêté du 17 juillet 2015, le Premier ministre a modifié la liste prévue par l’arrêté du 4 juillet 2012 et l’a complétée par la formulation suivante : les données « reçues et émises par des périphériques audiovisuels ».

Les logiciels mouchards permettant d’espionner les données échangées par le biais d’outils de communication tel que le logiciel Skype peuvent donc désormais être commercialisés en France et être utilisés par les services de police.

Virginie Bensoussan-Brulé
Caroline Gilles
Lexing Droit pénal numérique

(1) Arrêté du 17-7-2015 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal.
(2) Loi 2011-267 du 14-3-2011 d’orientation et de programmation pour la performance de la sécurité intérieure.
(3) Loi 2013-1168 du 18-12-2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.
(4) Loi 2014-1353 du 13-11-2014 renforçant les dispositions relatives à la lutte contre le terrorisme.
(5) Arrêté du 4-7-2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du Code pénal.




Contrat de Cloud computing : les conseils d’un expert (2/2)

Contrat de Cloud computing : les conseils d'un expert (2/2)Jean-François Forgeron évoque pour Owentis les bonnes pratiques relatives au cloud computing (2ème partie).

Cette seconde partie consacrée plus particulièrement à la négociation et la rédaction des contrats, s’inscrit dans le prolongement de précédents échanges ayant fait l’objet d’une première publication sur notre site.

L’avocat revient sur le dispositif européen de réglementation, en cours d’adoption, qui, selon lui, représente une étape supplémentaire vers l’unification européenne du cadre légal de la protection des données personnelles, amorcée par la directive de 1995, cette unification constituant un gage de sécurité juridique.

Il revient sur le dispositif européen de réglementation qui se construit actuellement autour de la protection des données personnelles et les questions que se pose le client du Cloud computing.

Selon lui, l’adoption d’un tel règlement va dans le bon sens. C’est un pas de plus, décisif, vers l’unification européenne du cadre légal de la protection des données personnelles et ce, de façon coordonnée. Entamée depuis la directive de 1995, la démarche aura pris son temps ! Quand on est confronté à une circulation de données massives en Europe, l’adoption d’une règle unique est un gage de sécurité juridique.

La loi sur le renseignement que s’apprête à adopter la France, va influencer cet espace de confiance. Un chapitre de la loi est consacrée à la captation des données informatiques. Ce dispositif prévoit l’autorisation d’accès à des fichiers de données dans le Cloud computing, par le biais d’un fournisseur d’accès à l’internet.

Jean-François Forgeron pour Owentis le 25 juin 2015 « Cloud, l’avis de l’expert juridique : négocier son contrat, se protéger (2/2) »

Article original à consulter ici




Les techniques de recueil du renseignement

Les techniques de recueil du renseignementAucune technique de recueil du renseignement concernant la collecte de données rendues publiques sur internet ou les réseaux sociaux n’est présente dans le projet de loi relatif au renseignement (1).

I. Accès administratif aux données de connexion

Les projets d’articles L.851-1 à L.851-9 du Code de la sécurité intérieure. L’accès administratif aux données de connexion sont actuellement régis par les articles L.246-1 à L.246-5 du code de la sécurité intérieure.

Le projet de loi relatif au renseignement va harmoniser le régime d’autorisation de l’accès administratif aux données de connexion.

Le projet d’article L.851-1 du Code de la sécurité intérieure définira le champ d’application de la mesure : finalité, définition des données, source de données.

Le projet d’article L.851-2 du Code de la sécurité intérieure précisera la procédure d’autorisation.

Un nouveau mode d’exploitation des données de connexion et de réseau est introduit dans le projet de loi relatif au renseignement pour les besoins de prévention du terrorisme.

Est autorisée la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces (2).

Afin d’identifier l’existence de menaces, les services de renseignement doivent pouvoir recueillir, traiter et analyser un nombre important d’élément techniques anonymes pour détecter les signaux de faible intensité traduisant une menace à l’encontre de la France.

Cette détection anonymisée de certains comportements de communication est prévue dans le projet de loi relatif au renseignement. La levée de l’anonymat pesant sur les données collectées, justifiée par la révélation d’une menace, sera effectuée par la procédure de droit commun d’autorisation par le Premier ministre après avis de la CNCRT.

La localisation en temps réel d’une personne, d’un véhicule ou d’un objet est encadrée par le projet de loi relatif au renseignement.

Les services spécialisés de renseignement auront la possibilité en vue des atteintes aux intérêts publics de recourir à la technique du « balisage » actuellement réservée à la police judiciaire.

Deux modalités de géolocalisation sont possibles (3) :

  • le suivi d’un terminal de télécommunication, actuellement autorisé par le Code de la sécurité intérieure ;
  • l’utilisation d’une balise GSM ou GPS placée sur un objet ou un véhicule ou à l’intérieure de celui-ci.

Les possibilités de géolocalisation simultanée ou géolocalisation en temps réelle consiste à surveiller en simultané les déplacements d’une personne ou d’un objet sur l’ensemble du territoire, soit de reconstituer a posteriori son itinéraire grâce aux données de connexion et à l’usage du téléphone connecté à un réseau GSM.

Le balisage d’un véhicule ou de tout autre objet par les services spécialisés de renseignement est autorisé par le projet de loi relatif au renseignement.

Cette technique de recueil de données est soumise au régime de droit commun d’autorisation, sur demande du ministre compétent au Premier ministre après avis de la CNCRT.

Des dispositions spéciales sont présentées dans le projet de loi en cas d’urgence liées à une menace imminente ou d’un risque très élevé de ne pouvoir effectuer l’opération ultérieurement. Dans ce cas précis, l’installation et l’exploitation de la technique de géolocalisation est effectuée sans autorisation préalable (4).

Un dispositif technique de proximité est également introduit dans le projet de loi relatif au renseignement.

Ce dispositif est une technique complémentaire des surveillances physiques. Un capteur permet de recueillir les données techniques de connexion strictement nécessaire à l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou des données de géolocalisation d’un équipement terminal.

En pratique ce dispositif qui consiste à placer une fausse antenne relais à proximité de la personne dont on souhaite intercepter les échanges électroniques, afin de capter les données transmises entre le périphérique électronique et la véritable antenne relais

L’utilisation de ce dispositif est encadrée par plusieurs garanties (5) :

  • inscription du dispositif dans un registre spécial, qui est tenu à la disposition de la CNCRT ;
  • mise en œuvre par un agent individuellement désigné et habilité ;
  • autorisation du Premier ministre, prise après avis de la CNCRT ;
  • autorisation qui peut être portée sur un lieu ou une période déterminée, dans la limite de 6 mois après autorisation motivée et avis de la CNCRT.

Dans un contexte de prévention d’un acte de terrorisme, l’autorisation est donnée aux d’intercepter directement des correspondances émises et reçues par un équipement terminal, pour des lieux et période déterminé dans la limite de 72 H.

L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.

L’avis de la Cnil. La Cnil prend acte que le projet de loi relatif au renseignement ne modifie pas la formulation des dispositions du Code de la sécurité intérieure, elle en déduit alors que les informations concernées par l’accès aux données de connexion, ne pourront porter sur le contenu des correspondances électroniques.

Elle émet une réserve quant à l’augmentation de la durée de conservation des données portée à cinq ans compte tenu de la sensibilité des données.

Concernant la géolocalisation, elle estime que cette mesure doit réellement être encadrée dans la mesure où elle touche les libertés individuelles.

Elle indique que le périmètre exact des données concernées par l’accès administratifs aux données de connexions n’est pas clair.

Selon elle, les garanties prévues pour préserver les droits et libertés ne sont pas suffisamment garanties face au caractère intrusif de cette technique et son utilisation à l’insu des opérateurs sur leurs propres systèmes.

La Cnil rappelle que le traitement automatisé de détection des signaux faibles doivent faire l’objet de formalités préalables conformément aux dispositions de la loi du 6 janvier 1978.

Le décret en Conseil d’Etat pris après avis de la CNCRT devra prévoir les conditions de transmission adéquate des données une fois l’anonymat levé entre les operateurs et le service de renseignement demandeur.

Concernant les dispositifs technique de proximité (« IMSI catcher »), la Cnil précise que ce dispositif permettant de recueillir des données de connexion, il devrait figurer au sein de la liste des techniques de recueil du renseignement.

La Cnil fait remarquer que les techniques de sondes, dispositif de détection de « signaux faibles » et dispositif mobile de proximité permettent de collecter de manière indifférenciée, un volume important de données qui peuvent être relatives à des personnes étrangères à la mission de renseignement.

Elle estime alors que des conditions de mises en œuvre plus précises, limitant l’atteinte à des droits fondamentaux et des modalités de contrôle doivent être très encadrées.

La Cnil se réserve sur l’application d’un seul régime commun d’autorisation et de la seule information du Premier ministre et de la CNCTR s’agissant des dispositifs mobiles de proximité.

II. Les interceptions de sécurité

Le projet d’article L.852-1 du Code de la sécurité intérieure. Les interceptions de sécurité sont actuellement régies par les articles L.241-1 à L.245-3 du code de la sécurité intérieure.

Le projet de loi relatif au renseignement va inscrire ces interceptions de sécurité dans le cadre légal du régime général applicable à l’ensemble des techniques de recueil de l’information mise en œuvre par les services spécialisés de renseignement.

Deux garanties supplémentaires ont été ajoutées au régime de ces interceptions :

  • les interceptions seront soumis à l’avis préalable de la CNCRT ;
  • la durée de conservation des données recueillies est diminuée passant de un an à un mois à compter de l’enregistrement des correspondances.

Le projet d’articles L.852-1 du Code de la sécurité intérieure élargit la portée des écoutes. Dans la mesure où il permet que les écoutes puissent porter sur les correspondances échangées par des personnes appartenant à l’entourage de la personne visée, lorsqu’elle sont susceptible de jouer un rôle d’intermédiaire, volontaire ou non pour son compte, ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation.

L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil estime que le projet de loi relatif au renseignement modifie le cadre juridique applicable aux interceptions de sécurité déjà existantes.

Elle fait remarquer que le caractère exceptionnel présent à l’article L.241-2 du Code de la sécurité n’est plus mentionné dans le projet d’article L.852-1 du même code. Elle n’apporte pas plus d’observations les modalités de contrôle de ces techniques ayant été renforcées.

En revanche la Commission, souligne le caractère intrusif des écoutes qui peuvent être portées sur les personnes appartenant à l’entourage de la personne visée. Elle considère que des garanties doivent être apportées par le projet de loi relatif au renseignement.

La Cnil ajoute également le projet d’article L.852-1 du Code de la sécurité intérieure précise que l’autorisation de mise en œuvre d’une interception de sécurité vaut autorisation automatique du recueil des données de connexion. Elle estime que ce caractère automatique d’interception des données de contenu et des données de connexion ne peut être maintenu par le projet de loi. Une appréciation au cas par cas des interceptions de sécurité devrait être envisagée.

III. La captation des données.

Les projets d’articles L.853-1 et L.853-2 du Code de la sécurité intérieure. Les dispositifs techniques de captation de données réservées actuellement à la police judiciaire seront étendus aux services de renseignement (6) :

  • la captation, la fixation, la transmission et l’enregistrement de parole prononcées à titre privé ou confidentiel (sonorisation de lieux privés par micros) ;
  • la captation, la fixation, la transmission et l’enregistrement d’images dans les lieux privés ;
  • la captation, la transmission et l’enregistrement de données informatiques transitant par un système automatisé de données ou contenues dans un tel système.

Ces dispositifs techniques de captation de données ne sont pas actuellement prévus et encadré par un aucun texte.

Le projet de loi compte tenu de l’ingérence important porté à la vie privée par ces mesures a précisé que l’autorisation d’utilisation devrait être délivrée pour une durée de deux mois renouvelable (7).

Lorsque la mise en œuvre de ces techniques doit s’accompagner de l’introduction dans un véhicule ou dans un lieu privé, ou dans un système de traitement automatisé de données, des garanties supplémentaires sont ajoutées (8) :

  • la demande devra expressément justifier cette nécessité et préciser tous éléments permettant d’encadrer strictement cette pénétration ;
  • les opérations matérielles nécessaires à la mise en place, l’utilisation ou au retrait de ces dispositifs techniques ne pourront être effectuées que par des agents spécialement habilités aux seules fins de mise en place, l’utilisation ou le retrait du dispositif technique ;
  • l’avis de la CNCTR ne peut être rendu que de manière expresse ;
  • l’autorisation n’est délivrée que pour une durée maximale de 30 jours renouvelable ;
  • même en cas d’urgence, l’autorisation ne peut être donnée qu’après avis de la CNCTR, sauf lorsque l’autorisation ne concerne pas un lieu privé à usage d’habitation ;
  • lorsque l’autorisation est donnée en connaissance d’un avis défavorable de la CNCTR, deux de ses membres seulement peuvent saisir le Conseil d’Etat.

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat a estimé le principe de proportionnalité et de subsidiarité devait s’appliquer au techniques de captation des données étant des mesures intrusives.

Il a limité à six mois la possibilité d’utiliser ses dispositifs sur la base d’une autorisation portant sur un service, des lieux et périodes déterminées et à 72 heures la validité de l’autorisation.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil n’est pas opposée à ce que les services spécialisés de renseignement utilisent les techniques dont bénéficient-les services de polices judiciaires, sous réserves de garanties appropriées.

Cependant elle relève que la nature exacte des données informatiques qui peuvent faire l’objet de captation ne sont pas précisés.

Elle relève également que le projet de loi relatif au renseignement n’a pas prévu de mesures particulières s’agissant de la captation de données envers des personnes ayant un statut spécifique (avocats, journalistes, médecins, parlementaires, etc.).

IV. Les mesures de surveillance internationale

Le projet d’article L.854-1 du Code de la sécurité intérieure. Le projet de loi relatif au renseignement permet d’encadrer les interceptions de communications électroniques émises ou reçues à l’étranger.

Les mesures de surveillance et de contrôle mises en œuvre ne peuvent être effectuées que pour les finalités prévues dans le projet d’article L811-4 du Code de la sécurité intérieure.

Des communications rattachées au territoire national peuvent être concernées par la mesure de surveillance internationale, si les personnes surveillées entrent en communication avec des personnes utilisant des identifiants français (9).

Dans ce cas précis, le régime applicable est celui des interception de sécurité prévu au projet d’article L.822-2 du Code la sécurité intérieure. La seule différence réside dans la détermination du point de départ du délai de conservation des correspondances qui court à compter de la date de leur première exploitation dans la mesure où me contenu de ces correspondances sera vraisemblablement en langue étrangère.

Les conditions d’application de ces mesures seront précisées par décret en Conseil d’Etat, précisant ainsi les règles de conservation et de destruction des données collectées et des modalités de délivrance de l’autorisation d’exploitation des correspondances interceptées.

La CNCTR veillera à ce que la mise en œuvre de ces mesures par les services de renseignement soit conforme aux décisions du Premier ministre. Elle fera au moins chaque semestre un rapport de son contrôle au Premier ministre qui sera tenu de répondre aux recommandations et observations de la Commission.

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat indique que ces dispositions remplissent les exigences de prévisibilité de la loi découlant de l’article 8 de la Convention européenne de sauvegardes des droits de l’homme et des libertés fondamentales, les garanties étant suffisantes et proportionnées au but poursuivi.

Il prend acte que les conversations qui renvoient à des numéros d’abonnement ou à des identifiants rattachables au territoire national ou des personnes surveillées seront conservées et détruites dans les conditions du droit commun et sous le contrôle de la CNCTR.

Il note que de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt personnel et direct, la CNCTR s’assurera du respect des règles et garanties prévues pour ces mesures.

Le Conseil admet que face aux impératifs de défense et de sécurité nationale il est possible d’instaurer un régime d’exonération des actions offensives contre certains systèmes de traitement automatisés de données.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil observe qu’aucune précision n’est donnée sur les techniques utilisées dans le projet de loi relatif au renseignement.

Elle relève également qu’une procédure distincte de celle de la procédure unique à l’article L.821-1 et suivant du Code de la sécurité intérieure. Les mesures sont mises en œuvre sur seule autorisation de Premier ministre, sans avis de la CNCTR dont le contrôle a posteriori est limité à la simple formulation de recommandations et d’observations.

La Cnil considère alors que les décrets du Conseil d’Etat indiqué dans le projet d’article L.854-1 du Code de la sécurité intérieure devront apporter des précisions quant aux techniques utilisées et au contrôle de ces dispositifs.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.851-3 du Code de la sécurité intérieure.
(3) Projet d’article L.851-6 du Code de la sécurité intérieure.
(4) Projet d’article L.851-6 du Code de la sécurité intérieure.
(5) Projet d’article L.851-7 du Code de la sécurité intérieure.
(6) Projet d’article L.853-1 du Code de la sécurité intérieure.
(7) Projet d’article L.853-1 du Code de la sécurité intérieure.
(8) Projet d’article L.853-2 du Code de la sécurité intérieure.
(9) Projet d’article L.854-1 du Code de la sécurité intérieure.




Fraude informatique : décryptage de l’affaire Bluetouff

Fraude informatique : décryptage de l'affaire BluetouffFraude informatique – Le délit d’accès frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait d’accéder (…), frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende » (ancienne loi Godfrain sur la fraude informatique).

L’auteur doit avoir eu conscience d’accéder anormalement dans le système de traitement automatisée de données. Pour que ce délit de fraude informatique soit constitué, il n’est en revanche pas nécessaire qu’il ait eu l’intention de nuire.

Le délit de maintien frauduleux dans un système de traitement automatisé de données est prévu et réprimé par l’article 323-1 du Code pénal aux termes duquel « le fait (…) de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ». Comme pour le délit d’accès frauduleux, le maintien doit être volontaire et l’auteur doit avoir eu conscience qu’il se maintenait anormalement dans le système.

La protection du système par un dispositif de sécurité n’est pas une condition des incriminations d’accès et de maintien frauduleux dans un système de traitement automatisé de données. Il suffit que le maître du système ait manifesté son intention d’en restreindre l’accès aux seules personnes autorisées pour que les dispositions pénales relatives à la fraude informatique s’appliquent.

Ayant constaté un accès frauduleux sur son serveur extranet, et la diffusion sur internet d’information confidentielles provenant de fichiers disponibles sur ce seul extranet, l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail (Anses), opérateur d’importance vitale (OIV), a déposé plainte devant le procureur de la République de Créteil.

Les services enquêteurs ont constaté que certains des contenus avaient été publiés sous le pseudonyme « Bluetouff », identifié comme étant Monsieur Olivier L., ce dernier était renvoyé devant le tribunal correctionnel des chefs d’accès et de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques.

Dans son jugement du 23 avril 2013, la 11e chambre correctionnelle du Tribunal de grande instance de Créteil a jugé qu’aucune des trois infractions poursuivies n’étaient constituées en l’espèce et a, en conséquence, relaxé le prévenu des fins de la poursuite. Le tribunal a en effet considéré que dès lors que l’Anses n’avait pas pris de mesure pour sécuriser son système informatique et n’avait pas « manifesté clairement l’intention de restreindre l’accès aux données (…) aux seules personnes autorisées », l’accès et le maintien frauduleux dans un système de traitement automatisé de données ne pouvaient être caractérisés.

Hormis la fraude informatique, le tribunal a également jugé le vol de fichiers informatiques. Il a considéré qu’« en l’absence de toute soustraction matérielle de documents appartenant à l’Anses, le simple fait d’avoir téléchargé et enregistré sur plusieurs supports des fichiers informatiques de l’Anses qui n’en a jamais été dépossédée, puisque ces données, élément immatériel, demeuraient disponibles et accessibles à tous sur le serveur, ne peut constituer l’élément matériel du vol, la soustraction frauduleuse de la chose d’autrui, délit supposant, pour être constitué, l’appréhension d’une chose ». Le parquet a fait appel du jugement.

Si, dans son arrêt du 5 février 2014, la Cour d’appel de Paris a confirmé le jugement du Tribunal de grande instance de Créteil du 23 avril 2013 en ce qu’il a jugé que le délit d’accès frauduleux dans un système de traitement automatisé de données n’était pas constitué en l’espèce, aux motifs que « l’accès (…) a en fait été permis en raison d’une défaillance technique concernant l’identification existant dans le système, défaillance que reconnaît l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail », elle a, en revanche, infirmé le jugement en ce qu’il a jugé que les délits de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques n’étaient pas constitués en l’espèce.

La Cour a en effet considéré que « pour ce qui concerne les faits commis de maintien frauduleux dans un système de traitement automatisé de données et de vol, (…) il est constant que le système extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail n’est normalement accessible qu’avec un mot de passe dans le cadre d’une connexion sécurisée, que le prévenu a parfaitement reconnu qu’après être arrivé “par erreur” au cœur de l’extranet de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail, avoir parcouru l’arborescence des répertoires et être remonté jusqu’à la page d’accueil, il avait constaté la présence de contrôles d’accès et la nécessité d’une authentification par identifiant et mot de passe ; qu’il est ainsi démontré qu’il avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité où il a réalisé des opérations de téléchargement de données informatiques à l’évidence protégées ; que les investigations ont démontré que ces données informatiques avaient été téléchargées avant d’être fixées sur différents supports et diffusées ensuite à des tiers ; qu’il est, en tout état de cause, établi qu’Olivier L. a fait des copies de fichiers informatiques inaccessibles au public à des fins personnelles à l’insu et contre le gré de leur propriétaire ; que la culpabilité d’Olivier L. sera donc retenue des chefs de maintien frauduleux dans un système de traitement automatisé de données et de vol de fichiers informatiques au préjudice de l’Agence nationale de sécurité sanitaire de l’alimentation, de l’environnement et du travail ».

L’incrimination de vol de fichiers informatiques a donc été reconnue par la Cour d’appel de Paris même en l’absence de « dépossession » du propriétaire des fichiers. Le vol de fichiers informatiques, longtemps rejeté par les juridictions françaises, est une infraction aujourd’hui reconnue sur le fondement de l’article 311-1 du Code pénal disposant que le vol constitue la soustraction frauduleuse de la chose d’autrui.

Le prévenu s’est pourvu en cassation.

Virginie Bensoussan-Brulé
Lexing Droit pénal numérique




Réduire les coûts de maintenance informatique sans risque

Réduire les coûts de maintenance informatique sans risqueEn cette période de restrictions, il est très tentant pour les Directions des Systèmes d’Information (DSI) de réduire les coûts de maintenance informatique (matériel et logiciel) par l’arrêt de certaines applications.

Pour qu’il y ait un réel retour sur investissement, cette décision ne doit pas être réalisée sans prendre certaines précautions. Elle passe nécessairement par le recensement et l’étude des contrats concernés non seulement en termes de durée et de reconduction des prestations de maintenance informatique mais aussi en termes de financement associé et d’amortissement comptable des actifs informatiques. Un audit s’impose !

Il est également nécessaire de faire attention aux obligations de restitution prévues dans les contrats de licence. Elles peuvent en effet poser des difficultés pour la restauration des données informatiques, tout particulièrement au regard des normes SOX (loi Sarbanes-Oxley) ou encore du contrôle fiscal des comptabilités informatisées (contrainte du rejeu). En cas de changement d’applicatif, il conviendra de s’assurer des possibilités d’export des écritures aux formats requis et de la valeur probante conférée au fichier des écritures ainsi généré. La plus grande vigilance s’impose à l’heure où de nouvelles normes informatiques viennent d’être définies pour les copies de fichiers des écritures comptables devant être remises à l’occasion d’un contrôle fiscal.

A compter du 1er janvier 2014, toutes les entreprises tenant une comptabilité informatisée auront l’obligation de remettre à l’administration fiscale leurs documents comptables sous forme dématérialisée pour les vérifications de comptabilités engagées. Toutes les entreprises industrielles et commerciales relevant d’un régime réel d’imposition sont concernées. En pratique, la remise des documents comptables prend la forme de la communication d’une copie des fichiers des écritures comptables à l’administration fiscale.

Pour en assurer la lecture par cette dernière, les copies de fichiers doivent respecter des normes informatiques spécifiques qui viennent d’être définies par l’arrêté du 29 juillet 2013 (1). Sont concernés :

  • les fichiers destinés à faire l’objet de tris, de classements et de calculs ;
  • et ceux destinés à faire l’objet de traitements informatiques.

Le respect de ces normes est obligatoire pour les contrôles des comptabilités informatisées des exercices clos à compter du 1er janvier 2013.

Jean-François Forgeron
Isabelle Pottier
Lexing Droit Informatique

Arrêté du 29-7-2013




Les nouveaux risques TIC : quelle assurabilité ?

risques TICPetit-déjeuner nouveaux risques TIC et assurabilité, du 19 juin 2013 – Jean-François Forgeron, directeur du pôle Informatique & Droit et Nicolas Hélénon, Neotech Assurances (groupe LSN) ont animé un petit-déjeuner débat consacré aux nouveaux risques TIC : quelle assurabilité ?

Du piratage informatique, aux virus, en passant par la perte de données, quelles sont les menaces informatiques assurables ?

Le nombre d’attaques ciblées visant les entreprises a été multiplié par trois entre 2011 et 2012 (18e édition du rapport annuel de la société Symantec publié en avril 2013). Aucune taille d’organisation n’est épargnée, les sous-traitants offrant des portes d’entrées aisées vers de plus grosses entreprises.

Une politique de sécurité ne peut garantir contre toutes les menaces informatiques. Aucun réseau n’est à l’abri d’une faille sécuritaire. Or avec le futur règlement européen sur la protection des données, la notification des failles deviendra une obligation pour toute entreprise, à l’égard des clients en cas d’atteinte à leurs données informatiques.

L’assurance peut intervenir quand la sécurité n’a pas suffit.

  • Quelles sont les menaces informatiques assurables ?
  • Peut-on couvrir les frais de notification (Data Risks Protection) ? d’atteinte à la réputation ?
  • Comment estimer ce que vaut réellement une donnée ? (coût pour remédier à un data breach)
  • L’externalisation en mode cloud change-t-elle l’analyse du risque pour les entreprises clientes de ce type de services ?
  • Quels sont les audits de sécurité du SI à mener ? (tests d’intrusion, droits d’accès, etc.)

Telles ont été les questions qui ont été débattues lors de ce petit-déjeuner.

Le petit-déjeuner a eu lieu dans nos locaux, 29 rue du Colonel Pierre Avia, 75015 Paris.




Le fisc peut faire une saisie de données sur des serveurs à distance

saisie de données Le contribuable ne peut plus s’opposer à la saisie de données informatiques. La loi de finances rectificative pour 2012 autorise, désormais, l’administration fiscale à procéder à une saisie de données informatiques se trouvant sur des serveurs situés à distance dès lors qu’elle peut accéder à ces dernières depuis un ordinateur se trouvant dans tous lieux du contribuable vérifié (1). En application de l’article L.16 B du Livre des procédures fiscales (LPF) (2), l’administration fiscale peut être autorisée, par le juge des libertés et de la détention, à effectuer des visites en tous lieux, mêmes privés, où des pièces et documents révélant une fraude à l’impôt sur le revenu ou sur les bénéfices ou à la TVA sont susceptibles d’être détenus et procéder à la saisie de données, quel qu’en soit le support.

Avant le vote de ces nouvelles dispositions, le contribuable pouvait refuser de donner accès aux données informatiques notamment sur des serveurs situés à distance sans être sanctionné. Désormais, dans l’hypothèse où le contribuable fait obstacle à l’accès aux pièces ou documents présents sur un support informatique, à leur lecture ou à la saisie de données, l’administration mentionne ce refus sur le procès-verbal. Les agents de l’administration fiscale peuvent alors procéder à la copie de ce support et le placer sous scellés. Ils disposent, alors, d’un délai de quinze jours à compter de la date de la visite pour accéder aux documents qui y sont contenus, les lire et les saisir, et restituer le support. Ce délai de quinze jours peut être prorogé par le juge.

Ces dispositions ne doivent servir qu’aux opérations nécessaires à l’accès ou à la mise au clair des données contenues sur la copie du support. Le contribuable ou son représentant est avisé qu’il peut assister à l’ouverture des scellés, à la lecture et à la saisie de données, pièces et documents du support, qui ont lieu en présence de l’officier de police judiciaire.

Un procès-verbal décrivant les opérations réalisées est dressé par les agents de l’administration et un inventaire des pièces et documents saisis est annexé. Ils sont signés par les agents de l’administration, l’officier de police judiciaire et le contribuable ou son représentant. En son absence ou en cas de refus de signer, une mention en est faite au procès-verbal. L’administration procède en même temps à la restitution du support et de sa copie en main propre ou accomplie sans délai, toutes diligences pour les restituer en cas d’absence du contribuable.

L’administration fiscale ne peut opposer au contribuable les informations recueillies qu’après restitution des pièces et documents saisis ou de leur reproduction et mise en œuvre des procédures de contrôle fiscal (3). Rappelons que les bases d’imposition sont évaluées d’office lorsque le contrôle fiscal ne peut avoir lieu du fait du contribuable ou d’un tiers. L’évaluation d’office pour opposition à contrôle fiscal peut aussi être mise en œuvre dans le cadre de contrôle faisant suite à une perquisition fiscale au cours de laquelle le contribuable refuse de communiquer des documents tenus sur support électronique.

Pierre-Yves Fagot
Lexing Droit Entreprise

(1) Loi de finances rectificative pour 2012 n° 2012-354 du 14-3-2012, art. 11-I-2e.
(2) LPF, art. L.16 B-IV bis nouveau
(3) LPF, art. L.16 B – VI modifié




Vol de fichiers confidentiels et abus de confiance

Vol de fichiers confidentielsLes juges ont eu à examiner la question du vol de fichiers confidentiels et de l’abus de confiance.

Suite à la rupture conventionnelle de son contrat de travail, en raison du refus de son employeur (une société spécialisée dans le négoce) de lui accorder une prime, une ancienne salariée avait pris contact avec les clients de son ancien employeur pour leur proposer de leur vendre les fichiers « clients » et « fournisseurs » de ce dernier.

Le vol de fichiers confidentiels

Alertée par ses clients et découvrant la disparition, dans ses locaux, d’un ordinateur portable et d’une clé USB, la société de négoce avait alors déposé, les 16 et 17 février 2009, une plainte avec constitution de partie civile pour vol de matériel informatique et détournement de données informatiques contre son ancienne salariée.

Concernant le vol de fichiers, la perquisition au domicile de l’ancienne salariée avait permis de trouver l’ordinateur portable et la clé USB disparus. Ces derniers contenaient de nombreuses cartes de visite et un fichier correspondant aux données des clients de la société de négoce, créé le jour du départ de l’ancienne salariée de la société de négoce et transféré sur une clé USB ce même jour.

L’ancienne salariée se défendait en prétendant qu’elle avait effectué cette copie dans le seul objectif de fournir à son ancien employeur un fichier actualisé.

Le Tribunal de grande instance de Clermont-Ferrand a jugé que « les transferts d’informations aux fins d’actualisation des fichiers antérieurs sont constitutifs de soustraction frauduleuse ».

Le tribunal a également considéré que l’infraction d’abus de confiance était bien constituée, l’ancienne salariée ayant bénéficié d’une « remise délibérée ou précaire » des documents mis à sa disposition par son employeur dans le cadre de l’exécution de son contrat de travail, mais ne pouvant « bien évidemment transférer aucune des données confidentielles de la société en vue d’une utilisation à des fins personnelles ».

Il a donc déclaré la prévenue coupable des faits de vol et d’abus de confiance qui lui étaient reprochés, et l’a condamnée à verser 3.000 euros de dommages et intérêts au titre du préjudice moral. Le tribunal a cependant rejeté la demande d’indemnisation du préjudice économique de l’ancien employeur, qu’il avait évalué à 750.000 euros.

TGI Clermont-Ferrand 26-9-2011




Loppsi 2 : usurpation d’identité et captation de données informatiques

usurpation d’identitéDe nouveaux textes sur l’ usurpation d’identité et la captation de données informatiques.

Une circulaire du Ministère de la Justice et des libertés du 28 juillet 2011 sur la loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 (LOPPSI 2) apporte des précisions bienvenues sur l’application de l’article 2 de la loi précitée qui sanctionne l’ usurpation d’identité.

usurpation d’identité

Cet article prévoit en effet que : « le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende. Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne ».

La circulaire liste ainsi des exemples de « données permettant d’identifier [un tiers] » : adresse électronique, numéro de sécurité sociale, numéro de téléphone, numéro de compte bancaire, pseudonyme. Elle illustre également le fait de « troubler la tranquillité d’autrui ou de porter atteinte à son honneur ou à sa considération » par le fait notamment de participer à un forum internet en diffusant le numéro de téléphone d’une personne et en incitant les autres participants à contacter ce numéro de téléphone.

Captation de données informatiques

Une seconde circulaire du 4 août 2011 sur la LOPPSI 2 explique l’utilité de la captation de données informatiques. Elle permet de pallier le délai de mise en place d’une interception de télécommunications dans un lieu public tel un cybercafé en prenant connaissance d’un fichier en amont, avant qu’il ne soit transféré sur un appareil de stockage mobile (Clef USB, CD Rom, etc.) ou qu’il ne soit transmis par voie électronique.

Cela surmonte également la problématique du fichier qui n’est pas destiné à être transmis ou qui est crypté avant transmission. Contrairement à la sonorisation et à la fixation d’image qui sont, par essence, limitées aux paroles et aux images, la captation permet de prendre connaissance de fichiers informatiques de toute nature tout aussi révélateurs d’une infraction.

Enfin, la captation a l’avantage de s’effectuer en continu et à l’insu de la personne mise en cause, ce que ne permet pas la perquisition.

Circulaire du 4-8-2011

Circulaire du 28-7-2011




Loppsi 2 : L’espionnage logiciel, mythe ou réalité ?

Loppsi 2 : L'espionnage logiciel, mythe ou réalité ?Dans son rendez-vous bimestriel accordé à MyDSI-Tv, Maître Alain Bensoussan présente la Loppsi 2 et la fraude informatique.

Il répond aux questions posées par Luc Fayard sur les dispositifs techniques de lutte contre la fraude informatique, introduits en droit interne par la Loppsi 2 pour capter des données informatiques en liaison avec de graves infractions.

Emission du 18-3-2011, MyDSI-Tv, le média des DSI créé par Accenture.




Les premières circulaires de la LOPPSI 2 sur la vidéoprotection et le filtrage

Les premières circulaires consacrées à la loi d’orientation et de programmation pour la performance de la sécurité intérieure du 14 mars 2011 dite « LOPPSI 2 » ont été publiées le 5 avril 2011 sur le site « circulaires.gouv.fr ». Outre une circulaire de présentation générale de la loi, cinq autres circulaires d’application concernent notamment la prévention de la délinquance par la vidéoprotection et l’action de la police judiciaire au moyen de la captation des données informatiques.

La circulaire d’application relative à la prévention de la délinquance énonce ainsi les nouvelles finalités de la vidéoprotection, suite à la censure du Conseil constitutionnel du 10 mars 2011, mais aussi les mesures visant son développement et son amélioration, les modifications du régime d’autorisation préfectorale. Enfin, elle fixe les nouvelles modalités de contrôle attribuées à la CNIL ainsi qu’aux commissions départementales et nationale de vidéoprotection.

On notera également que l’article 4 de la loi relatif au filtrage par les fournisseurs d’accès à internet des sites pédopornographiques n’est pas d’application immédiate. Celui-ci nécessitant au préalable la publication de décrets relatifs aux modalités de notification des adresses électroniques et de compensation des surcoûts supportés par le fournisseur d’accès.

Circulaire d’application du 28-3-2011 (présentation générale)

Circulaire d’application du 28-3-2011 (prévention de la délinquance)

Circulaire d’application du 28-3-2011 (action de la police judiciaire)

Circulaire d’application du 28-3-2011 (pouvoirs de police administrative)

Circulaire d’application du 28-3-2011 (amélioration de la sécurité routière)

Circulaire d’application du 28-3-2011 (Conseil national des activités privées de sécurité)




Proposition de directive relative aux attaques visant les systèmesd’informations

Face aux évolutions de la cybercriminalité, une proposition de directive a été déposée par la Commission européenne le 30 septembre 2010. Celle-ci ne vise pas à mettre en place un nouveau système de répression, mais à adapter celui existant avec la décision cadre du 24 février 2005.

Cette décision avait pour objet de renforcer la coopération judiciaire entre les Etats membres face à l’augmentation des infractions liées aux nouvelles technologies.

Cette décision cadre présentant des lacunes et les dangers liés aux atteintes aux systèmes d’informations se développant, un nouveau texte a été déposé afin de répondre à ces nouvelles menaces.

Si le texte reprend les dispositions actuellement en vigueur, il ajoute de nouvelles infractions et prévoit une harmonisation des sanctions pénales. Les articles 3 à 5 de la proposition de directive reprennent des infractions existantes, à savoir l’accès et le maintien frauduleux dans un système d’informations, l’atteinte à l’intégrité des données et l’atteinte à l’intégrité des systèmes d’informations.

Le texte reprend également les dispositions relatives à la responsabilité des personnes morales dans les cas où elles tirent profit de la commission de ces infractions. En revanche, de nouvelles infractions relatives à l’interception de données et à la mise à disposition d’outils pour commettre les infractions relatives à l’attaques des systèmes informatiques, font leur apparition. L’article 6 prévoit ainsi que :

« Les Etats membres prennent les mesures nécessaires pour faire en sorte que l’interception intentionnelle, par des moyens techniques, de transmissions non publiques de données informatiques vers un système d’informations ou à partir ou à l’intérieur d’un tel système, y compris d’émissions électromagnétiques à partir d’un système d’informations contenant des données informatiques, devienne une infraction pénale punissable si l’auteur la commet sans en avoir le droit ».

Quant à l’article 7, il sanctionne le fait d’utiliser, produire ou encore faire l’acquisition, dans le but de commettre ces infractions :

  • d’un « dispositif, notamment un programme informatique, essentiellement conçu ou adapté aux fins de commettre l’une des infractions visées aux articles 3 à 6 » ;
  • d’un « mot de passe d’un ordinateur, un code d’accès ou des données de même nature, grâce auxquelles il est possible d’accéder à tout ou partie d’un système d’informations ».

Par ailleurs, la proposition de directive prévoit les peines applicables à ces infractions. Ainsi, l’article 9-1 de la proposition de directive impose aux Etats membres de sanctionner ces actes par des sanctions « effectives, proportionnées et dissuasives ». Elle met également en place une peine minimale d’emprisonnement de 2 ans.

Enfin, il est prévu à l’article 15 l’obligation pour les Etats membres de mettre en place un système d’enregistrement, de production et de communication des statistiques sur ces infractions.

Proposition de directive COD/2010/0273 du 30-9-2010

Observatoire législatif, Fiche de procédure




Pour le droit à des vies parallèles

Interviewé par le journal Libération, Alain Bensoussan défend la « multi-identité » sur Internet et explique pourquoi le secret des identités doit pouvoir être respecté aussi bien dans le monde réel que dans le monde virtuel, et que la détention de multiples identités permet de contrer les tentatives de « profilage » des internautes développées par les techniques de marketing grâce à la collecte de données informatiques.

Alain Bensoussan pour Libération le 4 décembre 2000




Interception légale et rétention de données au cœur du débat

Actualité

L’interception légale et la rétention de données au cœur du débat juridique

Les interceptions des communications sont au cœur de l’actualité. Derrière l’affaire des salariés licenciés pour avoir critiqué leur entreprise sur le web par l’intermédiaire du réseau communautaire Facebook ou dans le cadre de la procédure prévu dans la loi HADOPI, la recherche d’information à partir d’adresse IP est aujourd’hui autorisée.

Plus largement encore le projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure (LOPSSI 2) ouvre la voie à la captation de données informatiques dans le cadre de la lutte contre la cybercriminalité. La réflexion se poursuit…

Débat-séminaire dans le cadre du projet VIGIEs co-organisé par Alcatel-Lucent Bell Labs France et le cabinet Alain Bensoussan

(Mise en ligne Mai 2010)

Emmanuel Walle

Avocat, Directeur du département Informatique et libertés secteur public




Vidéo Captation de données informatiques

Dans son rendez-vous trimestriel accordé à la WebTV de SUPINFO, Maître Alain Bensoussan répond aux diverses questions d’ordre juridique posées par la lutte contre la fraude informatique dans le cadre du projet de loi LOPPSI 2, notamment en matière de captation des données informatiques. Ce terme fait référence aux logiciels espions mis en oeuvre par les services de la police et de la gendarmerie dans le cadre de leurs opérations. En pratique, il sera possible pour le juge d’instruction, après avis du procureur de la République, dans le cadre d’une autorisation particulière, de permettre aux officiers et agents de police judiciaire de pouvoir insérer un programme, appelé par certains « logiciel espion », en vue de suivre les actions des cyberdélinquants (émission du 27-4-2010).




responsabilité des opérateurs spatiaux en droit Français

Informatique

Secteur spatial

Le nouveau régime de responsabilité des opérateurs spatiaux en droit Français

Bien que la France s’inscrive parmi les premières puissances spatiales, le régime juridique encadrant ses activités sont principalement régies par les traités et accords internationaux. Or, selon les traités de 1967 et de 1972, la France est responsable de l’ensemble des dommages causés par des objets spatiaux lancés depuis son territoire ou par des opérateurs français depuis l’étranger. Compte tenu de l’émergence de nouveaux acteurs, la puissance étatique ne détenant plus le monopole des opérations spatiales, il devenait nécessaire pour l’Etat français de limiter la portée de sa garantie aux seules opérations bénéficiant d’un contrôle effectif de sa part. La loi du 3 juin 2008 (n°2008-518) relative aux opérations spatiales, vient ainsi clarifier en droit interne la répartition des responsabilités entre l’état et les opérateurs spatiaux. En outre, l’objectif de cette loi est d’assurer la sécurité des personnes et des biens, ainsi que la protection de la santé publique et de l’environnement, en instituant notamment un régime d’autorisation préalable, renforcé de sanctions pénales et administratives.

Toute opération spatiale à partir du territoire français ou à l’initiative d’un opérateur français depuis l’étranger, sera soumise à l’obtention d’une licence ou d’une autorisation préalable, délivrée par « l’autorité administrative » compétente. Cet agrément administratif, tend notamment à s’assurer des garanties morales, financières et professionnelles de l’opérateur ainsi que de la conformité des systèmes et procédures utilisées. Aussi, les systèmes de gestion et de traitement des données informatiques fournis par les sous-traitant à un opérateur spatial, pourraient être susceptible d’intégrer le périmètre des éléments soumis au contrôle de l’administration, sans que le sous-traitant concerné ait l’obligation de justifier lui même de l’agrément administratif préalable, qui ne vise que la personne qui conduit l’opération spatiale. Le régime d’autorisation préalable constitue désormais l’axe de la répartition des responsabilités entre l’état et les opérateurs spatiaux.

La loi établit un nouveau régime spécial de responsabilité des opérateurs spatiaux à l’occasion des dommages occasionnés aux tiers ou aux personnes participant à l’opération. Pour les opérations autorisées, l’état restera ainsi tenu d’apporter sa garantie financière pour les dommages causés à un tiers, dans la limite d’un plafond fixé par la loi de finance. Toutefois, cette garantie ne pourra entrer en jeu qu’une fois un certain seuil dépassé, également fixé par la loi de finance. L’état disposant de la possibilité d’engager des actions récursoires, dans la limite de cette tranche, la loi prévoit l’obligation pour l’opérateur spatial d’être couvert par une assurance ou de disposer d’une des garanties financières. Il est également institué un régime spécifique de responsabilité pour les dommages subis par les participants aux opérations, limitant les possibilités de recours entre eux.

Afin de renforcer ce dispositif, la loi prévoit la possibilité de sanctionner tout manquement par le retrait ou la suspension des autorisations administratives délivrées, et une amende de 200.000 €. Un décret en Conseil d’Etat doit consolider prochainement l’ensemble de ces règles en précisant notamment les conditions de délivrance des autorisations administratives, ainsi que le régime de mise en place des garanties financières.

Loi 2008-518 du 3 juin 2008
Décret 76-1 du 2 janvier 1976
Décret 70-960 du 19 octobre 1970

(Mise en ligne Janvier 2009)

Autres brèves

(Mise en ligne )