Déconfinement et responsabilité de l’employeur

Déconfinement et responsabilité

Déconfinement et responsabilité : si la sécurité au travail est de la responsabilité de l’employeur, il ne lui incombe pas de garantir l’absence de toute exposition des salariés au virus mais de l’éviter le plus possible.

Si ce risque est inévitable, l’employeur doit l’évaluer régulièrement en fonction notamment des recommandations du gouvernement. Il pourra ensuite prendre toutes les mesures utiles pour protéger les salariés exposés.

Dès lors, selon le ministère du Travail, il incombe à l’employeur dans la situation actuelle de :

  • procéder à l’évaluation des risques inévitables encourus sur les lieux de travail, du fait de la nature du travail ;
  • déterminer, en fonction de cette évaluation les mesures de prévention les plus pertinentes ;
  • associer les représentants du personnel à ce travail ;
  • solliciter lorsque cela est possible le service de médecine du travail. Il a pour mission de conseiller les employeurs, les salariés et leurs représentants. Il peut préconiser toute information utile sur les mesures de protection efficaces et la mise en œuvre des gestes barrière ;
  • respecter et faire respecter les gestes barrière recommandés par les autorités sanitaires.

Comment évaluer la responsabilité de l’employeur ?

Au cas par cas, au regard de plusieurs critères :

  • la nature des activités du salarié et son niveau d’exposition aux risques ;
  • les compétences de l’intéressé, l’expérience ;
  • l’étendue des mesures prises par l’employeur, en termes de formation, d’information, d’organisation du travail, d’instructions délivrées à la chaîne hiérarchique.

L’employeur doit réactualiser ces mesures, le cas échéant, en fonction de l’évolution de la situation dans l’entreprise mais aussi des instructions des pouvoirs publics.

En cas de contamination, il peut être pris en charge au titre d’un accident du travail par la sécurité sociale. Il y a toutefois des conditions. Une faute inexcusable de l’employeur ouvrant droit à réparation intégrale du préjudice ne sera retenue qu’en cas de démonstration  :

  • que celui-ci était conscient du danger auquel était exposé le salarié et ;
  • qu’il n’a pas pris les mesures nécessaires pour l’en préserver.

Déconfinement et responsabilité : les obligations de l’employeur

L’obligation de l’employeur est une obligation de moyen renforcée. L’employeur peut donc s’exonérer de sa responsabilité en prouvant qu’il a mis en œuvre les mesures de prévention. S’agissant de la responsabilité pénale de l’employeur, elle demeure en période de crise sanitaire.

Néanmoins, le ministère du Travail indique que l’employeur qui ne peut mettre en télétravail ses salariés mais qui :

  • met à leur disposition des moyens de protection recommandés par les pouvoirs publics (savons, gel hydro alcoolique, etc.) ;
  • les informe régulièrement et de façon actualisée sur la prévention des risques de contamination (rappel des gestes barrière et de distanciation) en adaptant leur formation à la situation de l’entreprise et à la nature des postes occupés (fiches métier disponibles sur le site du Ministère du travail),

ne devrait pas, sous réserve de l’appréciation souveraine des juges, encourir de sanction pénale.

Emmanuel Walle
Lexing Droit social numérique




Les risques liés à la digitalisation forcée par le Covid-19

digitalisation forcée par le Covid-19Les risques liés à la digitalisation forcée par le Covid-19 était le thème de la table ronde organisée par l’EFB le 27 avril 2020 à laquelle participait Anne Renard.

Avec le confinement, c’est une nouvelle organisation du travail qui nous a été imposée, et l’utilisation de nouveaux outils. Quels en sont les risques ? Comment s’en prémunir ?

Aussi, le 27 avril dernier, l’Ecole de Formation professionnelle des Barreaux de la Cour d’appel de Paris, et le Cercle Montesquieu, avaient convié avocats, juristes, universitaires et magistrats à en débattre dans le cadre d’une table ronde virtuelle.

Les risques liés à la digitalisation forcée par le Covid-19

Anne Renard

Animée par Marie Potel-Saville, fondatrice et CEO d’Amurabi, celle-ci réunissait :

  • Iohann le Frapper, ancien directeur juridique groupe Pierre Fabre, membre de l’Advisory Board, Elevate Services ;
  • Myriam Quemener, avocat général à la Cour d’appel de Paris, expert au conseil de l’Europe ;
  • Anne Renard, avocat, directeur du département Conformité et certification du cabinet Lexing Alain Bensoussan Avocats ;
  • Bertrand Warusfel, professeur à l’Université Paris 8, avocat, associé, cabinet FWPA ;
  • Georges Saunier, chef du département Sécurité et justice à l’Institut national des hautes études de la sécurité et de la justice (INHESJ) ;
  • Olivier Bélondrade, directeur juridique groupe Coface, la Factory, Cercle Montesquieu
  • Laure Lavorel, senior associate general counsel, Broadcom, présidente du Cercle Montesquieu.

Surtout, ce fut l’occasion pour Anne Renard d’évoquer les risques spécifiques liés à la protection des données à caractère personnel, et au-delà, comment accompagner au mieux les entreprises en fonction de leur degré de maturité dans le domaine digital.

Retrouvez donc la vidéo :

Eric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la communication juridique




Déconfinement et protection de la santé des salariés

Déconfinement et protectionDéconfinement et protection des salariés, dans cette perspective, un grand nombre d’entreprises s’interroge sur le retour de leurs employés dans leurs locaux et les mesures de sécurité pour assurer la santé des salariés.

Le ministère du Travail a publié à destination des employeurs, une plaquette d’information « Quelles mesures l’employeur doit-il prendre pour protéger la santé de ses salariés face au virus ? ».

L’employeur doit réévaluer les risques.

Concrètement, il s’agit de passer en revue les circonstances dans lesquelles les salariés peuvent être exposés au virus et mettre en œuvre les mesures nécessaires pour éviter ou, à défaut, limiter au plus bas le risque :

  • le télétravail ;
  • l’organisation du travail (règles de distances sociales) ;
  • équipements (éloignement des guichets, etc.) ;
  • information ;
  • sensibilisation et consignes de travail.

Les représentants du personnel sont bien placés pour aider à identifier les situations à risque au quotidien et la faisabilité réelle des actions que l’employeur envisage de mettre en œuvre.

Déconfinement et protection des salariés : les recommandations

Les recommandations du ministère du Travail sont les suivantes :

  • généralisation du télétravail et prise en compte des vulnérabilités liées à la santé ;
  • respect des mesures d’hygiène ;
  • prise de mesures en cas de contamination ou suspicion de contamination ;
  • respect des règles de nettoyage des locaux, sols et surfaces ;
  • prise en compte des situations de travail particulières :
    • salariés en contact avec le public
      • secteur de la livraison : gel pour nettoyage de mains à chaque livraison, dépôt au sol du colis en présence du client sans remise en main propre, remplacement de la signature par une photo ;
      • secteur de la grande distribution : savon/gel pour nettoyage de mains, ouverture d’une caisse sur deux et demande aux clients de passer par une travée vide avant de récupérer leurs achats sur la caisse ou ils ont été scannés par le caissier, mise en place de parois de plexiglas au niveau des postes de caisse dès lors que la mesure de distanciation ne peut être tenue avec le client ;
    • salariés du secteur de la logistique
      • mise à disposition de savon/gel pour nettoyage des mains ;
      • espacement des postes de travail ;
      • organisation d’une rotation des équipes après nettoyage des lieux communs ;
      • réalisation des chargements/déchargements de camion par une seule personne en s’assurant de la mise à disposition d’aides mécaniques ;
      • fractionnement des pauses afin de réduire les croisements et la promiscuité dans les salles de pause.

Par ailleurs, le ministère du Travail conseille aux entreprises de consulter le site internet de leur branche professionnelle pour compléter les conseils et préconisations propres à leur secteur d’activité et à leur métier.

Le ministère du travail publie également régulièrement des fiches conseils par métier à retrouver ici.

Emmanuel Walle
Lexing Droit social numérique




Sécurité numérique des mairies : l’essentiel de la réglementation

Sécurité numérique des mairiesRGPD, eIDAS, RGS… Pour répondre au défi de la sécurité numérique, les mairies sont confrontées à des contraintes règlementaires nombreuses et complexes.

Les mairies et les autres collectivités territoriales sont engagées dans une transformation numérique profonde. Cette transformation a pour double objectif de renforcer les services rendus aux citoyens et de répondre à des obligations règlementaires nouvelles comme le RGPD.

Le cadre règlementaire de la sécurité numérique des mairies

Pour répondre au défi de la sécurité numérique, posé par la transformation numérique des mairies et des autres collectivités territoriales, la France et l’Union européenne se sont dotées d’un cadre règlementaire participant à la protection des systèmes d’information et dont les objectifs sont :

  • le renforcement de la confiance des usagers dans l’utilisation des services numériques ;
  • le renforcement de la sécurité des données à caractère personnel ;
  • la transformation numérique des administrations ;
  • le renforcement de la sécurité des acteurs critiques pour l’État.

Le texte le plus emblématique de ce cadre réglementaire est le RGPD, qui met en place de nouvelles obligations à la charge des mairies et des autres collectivités territoriales. Notamment, l’article 32 du RGPD prévoit que les collectivités territoriales doivent assurer la sécurité des traitements de données à caractère personnel qu’elles mettent en œuvre.

Le 18 décembre 2019, l’équivalent norvégien de la Cnil a condamné la mairie d’Oslo sur le fondement du RGPD pour ne pas avoir mis en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité numérique adapté.

Les grands principes de la sécurité numérique des mairies

Cette réglementation s’articule autour de trois principes fondamentaux :

  • la gouvernance qui vise à impliquer l’ensemble des acteurs (décideurs, agents, etc.) des collectivités territoriales et des mairies à la sécurité par la définition et le suivi de politique de sécurité des systèmes d’information (PSSI) ;
  • la gestion des risques qui doit amener les collectivités territoriales et les mairies à évaluer les menaces auxquelles elles sont soumises et les mesures qu’elles peuvent mettre en place pour s’en protéger tout en tenant compte des contraintes auxquelles elles font face (financière, humaine, sociale, etc.) (RGPD, article 32) ;
  • l’amélioration continue qui permet à l’organisation de régulièrement évaluer son niveau de sécurité afin d’identifier les domaines dans lesquels il est nécessaire de progresser.

Le guide ANSSI

Afin d’aider les non-spécialistes et les élus confrontés au cadre réglementaire de la sécurité numérique et notamment à la mise en œuvre du RGPD, l’ANSSI a publié un guide intitulé « Sécurité numérique des collectivités territoriales : l’essentiel de la réglementation ». Ce document contient 7 fiches de recommandations :

  • FICHE 1 : Aide à la mise en œuvre des réglementations
  • FICHE 2 : Se préparer et réagir en cas d’incident de sécurité
  • FICHE 3 : L’usage de la signature électronique
  • FICHE 4 : Ouvrir un téléservice dans le respect des règles de sécurité
  • FICHE 5 : Ouvrir un service numérique au public dans le contexte eIDAS
  • FICHE 6 : Recourir à l’externalisation pour la gestion du système d’information
  • FICHE 7 : Mise en œuvre d’un système de management de la sécurité de l’information (SMSI) dans le contexte HDS

Anne Renard
Lexing Conformité et certification




Sécurité et justice : le droit face au défi de l’IA

droit face au défi de l'IAAlain Bensoussan intervient sur le thème du « Droit face au défi de l’IA » au colloque de l’INHESJ « Sécurité et justice : le défi de l’intelligence artificielle » du 7 novembre 2019.

L’Intelligence artificielle est le moteur de la révolution scientifique et technique du 21ème siècle. Toutes les technologies numériques sont impactées par ce phénomène : Big data, robotique, nanotechnologies, algorithmes… tous ces outils qui vont bouleverser le futur de nos sociétés.

Cette révolution fait sentir ses premiers effets sur le champ de la sécurité et de la justice. Anticipation, surveillance, cybersécurité, les nouveaux outils à l’oeuvre ou en phase d’expérimentation dessinent d’ores et déjà le futur visage de la sécurité et de la justice. Mais ce visage est encore imprécis, suscitant questions et débats entre prophéties prométhéennes et apocalypse annoncée.

Pour aborder le défi que représente l’intelligence artificielle pour la sécurité et la justice, ce colloque propose une approche raisonnée construite sur des diagnostics, des présentations d’expériences et des réflexions sur les grands enjeux à la fois éthiques, philosophiques et politiques.

Programme de la journée du droit face au défi de l’IA

09h00 – Ouverture du colloque

  • Frédéric Desaunettes. Magistrat, directeur par intérim de l’INHESJ.

09h10 – Présentation du colloque

  • Manuel Palacio. Rédacteur en chef des Cahiers de la sécurité et de la justice.

09h20 – L’intelligence artificielle. État des lieux et enjeux principaux.

  • Georges Uzbelger. Mathématicien, ingénieur chez IBM France.

09h50 – Le droit face aux nouvelle technologies numériques : le droit face au défit de l’IA

10h20 – Les outils de l’intelligence artificielle dans le domaine du renseignement : quel cadre juridique ?

  • Floran Vadillo. Docteur en science politique, directeur en charge de la sécurité intérieure chez Sopra Steria.

10h50 – Pause

11h10 – La cybersécurité.

11h40 – La souveraineté numérique.

  • Pierre Bellanger. Président-directeur général de Skyrock et auteur de « La souveraineté numérique ».

12h15 – Déjeuner libre

14h00 – Table ronde 1 : L’impact des nouveaux outils liés à l’intelligence artificielle dans le champ sécurité-justice.

États des lieux au sein des ministères de l’Intérieur et de la Justice : doctrine, expérimentations et projets.

  • Renaud Vedel. Préfet, en charge de l’intelligence artificielle au ministère de l’Intérieur
  • Stéphane Hardouin. Secrétaire général adjoint du ministère de la Justice
  • Patrick Touron. Commandant du pôle judiciaire de la Gendarmerie nationale (PJGN) et co-président de l’Observatoire national des sciences et technologies de la sécurité (ONSTS).

15h00 – Table ronde 2 : Présentation de différentes réalisations françaises en matière d’intelligence artificielle dans le champs sécurité et justice.

Les outils d’intelligence artificielle dans la lutte contre l’usurpation des plaques d’immatriculation.

  • Henry Prévost. Directeur général de l’Agence nationale du traitement automatisé des infractions et
  • Daniel Amsellem, administrateur des données du ministère de l’Intérieur.

L’anticipation de la criminalité par l’analyse du risque spatial.

  • Alejandro Giménez Santana. Chercheur à Rutgers University, New York.

Les outils d’intelligence artificielle dans la détection des comportements.

  • Thierry Dupin. Directeur de la surveillance générale à la SNCF.

Intelligence artificielle et demandes de visas au Quai d’Orsay.

  • Olivier Poudade. Chargé de mission IA au ministère de l’Europe et des Affaires étrangères.

16h00 – Pause

16h15 – Les enjeux géopolitiques de l’intelligence artificielle.

  • Charles Thibout. Chercheur à l’Institut des relations internationales et stratégiques, enseignant à l’Université Paris-Diderot.

16h45 : Éthique de l’intelligence artificielle.

  • Alexei Grinbaum. Philosophe et physicien, chercheur au laboratoire Larsim du commissariat à l’énergie atomique (CEA-Saclay), membre de la Commission d’éthique pour la recherche en numérique.

17h20 : L’homme augmenté ou l’Homme asservi à la technologie. Le phantasme transhumaniste.

  • Olivier Rey. mathématicien, philosophe, chargé de recherche à l’Institut d’histoire et de philosophie des sciences et des techniques (CNRS), enseignant à l’Université Paris 1 Panthéon Sorbonne.

Programme et inscription ici

Date : Jeudi 7 novembre
Lieu : 20, avenue de Ségur, 75007 Paris. Auditorium Marceau Long (bâtiment Ségur).
Accès métro ligne 8 (École militaire), ligne 10 (Ségur).
Horaire : De 09h00 à 18h00 (accueil à partir de 8h15)




Sûreté-Sécurité : Lexing Alain Bensoussan Avocats au salon APS

Salon APS 2019Polyanna Bigle intervient le 2 octobre dans le cadre du Salon APS 2019, Business Meeting n°1 de la sûreté et de la sécurité.

APS, Salon et business meeting de la sûreté / sécurité (du 1er au 3 octobre, Porte de Versailles à Paris) sera une nouvelle fois le rendez-vous référent des professionnels du secteur, avec un positionnement exclusif sur la sûreté /sécurité des organisations et son format qui combine convivialité et business.

APS, c’est l’opportunité de découvrir les nouvelles solutions et tendances du marché de la sûreté-sécurité et recruter ses fournisseurs parmi une sélection, unique en France, de 150 spécialistes français et internationaux.

Salon APS : protéger les salariés, les sites et les données contre les actes de malveillance

Pendant trois jours, 6 500 professionnels découvriront un panorama à 360° des innovations du marché. Le tout agrémenté d’une offre de contenu étendue, afin de décrypter les dernières tendances, les normes et réglementations, à travers des sessions de conférences, des retours d’expérience et un programme de rendez-vous d’affaires.

En bref, tout ce qu’il faut savoir sur le marché de la sûreté-sécurité pour :

Salon APS : les nouvelles technologies dans la sécurité privée

Le Salon APS, c’est aussi des conférences, tables rondes, ateliers, formations et retours d’expérience, dans le cadre de 4 cycles principaux :

  • tendances et innovations,
  • métiers et formations,
  • réglementation,
  • retours d’expérience.

le mercredi 2 octobre se tiendra à 14 :00 une table ronde sur le thème
« Les nouvelles technologies dans la sécurité privée »

Y participeront :

Plateau APS – AgoraNews Sécurité
14:00 – 14:45
https://www.salon-aps.com/

Eric Bonnet
Avocat
Directeur de la communication juridique




Règlement sur la cybersécurité & présence technologique chinoise

Règlement sur la cybersécuritéLe Parlement européen a arrêté le 12 mars 2019 sa position en vue de l’adoption du Règlement sur la cybersécurité. Ce règlement relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications (1), abroge le règlement (UE) n° 526/2013.

Ce règlement est également dénommé Cybersecurity Act.

Le Règlement sur la cybersécurité devrait être formellement adopté dans les prochains jours par le Conseil. En effet, si le Conseil approuve la position du Parlement européen, le Règlement sur la cybersécurité sera adopté dans la formulation qui correspond à la position du Parlement européen.

Base juridique du Règlement sur la cybersécurité et principe de subsidiarité

En France, le Sénat s’est prononcé par une résolution du 6 décembre 2017 sur la conformité au principe de subsidiarité du Règlement sur la cybersécurité. Il avait considéré, s’agissant des compétences des Etats membres en matière de cybersécurité, que la cybersécurité, de par l’importance qu’elle revêt pour la sécurité des États membres, relevait par plusieurs aspects de la souveraineté nationale. Le Sénat avait souligné que les États membres devaient conserver, d’une part, « leur faculté d’adopter des normes et des standards apportant un plus haut niveau de sécurité ». D’autre part, les Etats membres devaient également conserver « toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne ». Le Parlement européen et le Conseil ont considéré que les objectifs du Règlement sur la cybersécurité ne pouvaient pas être atteints de manière suffisante par les États membres, mais pouvaient l’être mieux au niveau de l’Union ; celle-ci pouvant prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne.

Les principes de subsidiarité et de proportionnalité sont bien remplis par le Règlement sur la cybersécurité.

Objectifs du Règlement sur la cybersécurité

Le Règlement sur la cybersécurité entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne. Ce règlement, a déjà fait l’objet d’un accord informel avec les États membres. Le Règlement sur la cybersécurité comporte 101 considérants, 69 articles et une annexe unique définissant les exigences applicables aux organismes d’évaluation de la conformité.

Le Règlement sur la cybersécurité poursuit l’objectif global de prendre toutes les mesures nécessaires pour améliorer la cybersécurité dans l’Union. Les réseaux et systèmes d’information, les réseaux de communication, les produits, services et appareils numériques utilisés par les citoyens, les organisations et les entreprises — y compris les petites et moyennes entreprises (PME), jusqu’aux opérateurs d’infrastructures critiques — doivent être mieux protégés contre les cybermenaces.

Le Règlement sur la cybersécurité fixe 6 objectifs :

  • la poursuite du renforcement des capacités et de l’état de préparation des États membres et des entreprises, ainsi qu’une amélioration de la coopération, du partage d’informations et de la coordination entre les États membres et les institutions, organes et organismes de l’Union ;
  • l’augmentation au niveau de l’Union, des capacités susceptibles de compléter l’action des États membres, notamment dans les cas d’incidents et de crises transfrontières majeurs, tout en prenant en compte l’importance de préserver et de renforcer les capacités nationales de réaction en cas de cybermenaces de tous types ;
  • la sensibilisation des citoyens, organisations et entreprises aux questions de cybersécurité ;
  • le renforcement de la confiance des consommateurs par le recours à la certification à l’échelle de l’Union prévoyant des exigences et des critères d’évaluation communs en matière de cybersécurité dans l’ensemble des marchés nationaux et des secteurs ;
  • l’encouragement des organisations, fabricants et fournisseurs à mettre en œuvre la sécurité des produits et services TIC dès les phases de conception et de développement et durant tout le cycle de vie du produit ou service ;
  • la généralisation de la sécurité par défaut et de la sécurité dès la conception pour les produits, services ou processus TIC sans que cette sécurité ne nécessite une compréhension des détails techniques spécifique ou un comportement non intuitif de l’utilisateur.

Mandat permanent à l’ENISA et renforcement de son rôle de au sein de l’Union

L’ENISA (Agence de l’Union Européenne pour la cybersécurité) mise en place par le Règlement sur la cybersécurité devrait succéder à l’ENISA établit par le règlement (UE) n° 526/2013 (2). L’ENISA est confortée dans son rôle et ses missions par un mandat permanent au sein de l’Union. Dans le cadre du Règlement sur la cybersécurité, la principale tâche de l’ENISA est désormais de promouvoir la mise en œuvre du cadre juridique et notamment la mise en œuvre effective des exigences de la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (3) et de l’ensemble des instruments juridiques pertinents comportant des aspects liés à la cybersécurité.

L’ENISA se voit conférer par son mandat permanent le rôle de coopérer avec les organisations internationales ainsi qu’au sein des cadres internationaux de coopération dans le domaine de la cybersécurité. L’ENISA doit ainsi contribuer à  cette coopération internationale avec les organisations OCDE, OSCE et l’OTAN. Les activités de coopération avec les organisations internationales devront se dérouler dans le respect des principes d’inclusion, de réciprocité et d’autonomie décisionnelle de l’Union et sans préjudice du caractère particulier de la politique de sécurité et de défense de tout Etat membre.

Cadre européen de certification de cybersécurité : premier dispositif de certification de sécurité des produits, services et processus TIC.

La certification de cybersécurité joue un rôle crucial dans l’amélioration de la sécurité des produits, services et processus TIC mais aussi dans le renforcement de la confiance des utilisateurs de ces produits et services. Une des lacunes affectant les entreprises européennes sur le marché de la cybersécurité est en effet le manque de solutions interopérables (grâce à des normes techniques) ainsi que des pratiques et dispositions de certification à l’échelle de l’Union pouvant être concurrentielles au niveau mondial.

L’ambition du Règlement sur la cybersécurité est de créer le premier cadre européen de certification de cybersécurité afin de garantir que les produits, les processus et les services vendus dans les pays de l’UE soient conformes aux normes de cybersécurité.

Schémas européens de certification de cybersécurité et niveaux d’assurance pour les produits et services TIC.

Afin de garantir qu’un produit ou service TIC satisfait aux exigences de sécurité d’un schéma européen de certification de cybersécurité, le futur schéma européen de certification de cybersécurité devra préciser les différents niveaux d’assurance pour les certificats de cybersécurité européens.

Les exigences de sécurité correspondant à chaque niveau d’assurance seront définies dans le Schéma européen de certification de cybersécurité. Ce dernier pourra comporter un ou plusieurs niveaux d’assurance pour les produits, services et processus TIC (niveau élémentaire, substantiel ou élevé).

Pour chaque niveau d’assurance, les produits ou services TIC devront comporter des fonctions sécurisées : une configuration sécurisée prête à l’emploi, un code informatique signé, une mise à jour sécurisée ainsi que la limitation de l’exploitation de failles et des protections complètes de type « full stack ».

En particulier, pour le niveau d’assurance dit « élémentaire » l’évaluation devra porter sur un certain nombre de composants d’assurance tels que l’évaluation de la conformité à la documentation technique.

Les principaux objectifs de sécurité des schémas européens de certification de cybersécurité sont :

  • la protection des données stockées, transmises ou traitées au cours de l’ensemble du cycle de vie du produit, service ou processus TIC ;
  • la protection de ces données contre la destruction accidentelle ou non autorisée au cours de l’ensemble du cycle de vie du produit, service ou processus TIC ;
  • l’identification documentée des dépendances et vulnérabilités connues et la vérification que les produits, services ou processus TIC ne contiennent pas de vulnérabilités connues ;
  • la mise en œuvre des principes de sécurité par défaut et dès la conception des produits, services et processus TIC.

L’ENISA devra également dans le cadre de son mandat permanent consulter les organismes de normalisation et en particulier les organismes de normalisation européens, notamment lors de l’élaboration des schémas européens de certification de cybersécurité. Un groupe de travail ad hoc est jugé nécessaire pour la préparation d’un schéma européen de certification de cybersécurité.

Un site internet dédié sera tenu à jour par l’ENISA. Il fournira des informations et une publicité sur les schémas européens de certification de cybersécurité, les certificats de cybersécurité européens et les déclarations de conformité de l’UE.

Auto-évaluation de la conformité limitée sous la responsabilité du fabricant ou fournisseur du produit, service TIC.

Le futur schéma européen de certification de cybersécurité pourra permettre l’auto-évaluation de la conformité sous la seule responsabilité du fabricant ou du fournisseur du produit, service ou processus TIC. Cette auto-évaluation limitée n’est autorisée que pour les produits, services ou processus TIC qui présentent un risque faible correspondant au niveau d’assurance élémentaire.

Création d’un groupe des parties prenantes pour la certification de cybersécurité.

Un groupe des parties prenantes devrait être institué afin d’aider l’ENISA et la Commission pour la certification de cybersécurité. Ce groupe devrait être composé de membres représentant le secteur de la cybersécurité, tant du côté de la demande que du côté de l’offre de produits et services TIC.

Préalablement à la mise en place de ce groupe, l’ENISA devra établir des règles en matière de prévention et de gestion des conflits d’intérêts mais aussi assurer l’accès du public aux documents prévu par le règlement (CE) n° 1049/2001 du 30 mai 2001 (4).

Autorités nationales de certification de cybersécurité

Chaque Etat membre a l’obligation aux termes du Règlement sur la cybersécurité de désigner une ou plusieurs autorités nationales de certification de cybersécurité. Les Etats membres devront veiller à ce que les activités des autorités nationales de certification de cybersécurité liées à la délivrance de certificats de cybersécurité européens soient strictement distinctes de leurs activités de supervision dans ledit Etat membre.

En France, l’ANSSI est l’autorité nationale pour la certification de sécurité de produits. L’ANSSI est chargée d’instruire les certifications selon les directives données par le comité directeur de la certification. En particulier, la certification Critères Communs bénéficie d’une reconnaissance européenne et mondiale via les accords du SOG-IS et du CCRA. La reconnaissance de la CSPN à l’échelle européenne constitue un objectif à court ou moyen terme. La certification est l’attestation de la robustesse d’un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l’autorité de l’ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

L’ensemble du processus de certification est géré au sein de l’ANSSI par le Centre de Certification National.

Droit d’introduire une réclamation

Toute personne physique ou morale disposera en vertu de l’article 63 du Règlement sur la cybersécurité du droit d’introduire une réclamation auprès soit de l’émetteur d’un certificat de cybersécurité européen soit directement auprès de l’autorité nationale de certification de cybersécurité si le certificat de cybersécurité européen a été délivré par un organisme d’évaluation de la conformité.

Droit à un recours juridictionnel effectif

L’article 64 du Règlement sur la cybersécurité instaure un droit à un recours juridictionnel effectif pour les personnes physiques ou morales, outre tout recours administratif ou tout autre recours non juridictionnel.

Ce droit à un recours juridictionnel effectif concerne :

  • les décisions prises par l’autorité nationale de certification de cybersécurité ou tout organisme d’évaluation de la conformité ;
  • l’absence de réaction à une réclamation introduite auprès de l’autorité nationale de certification de cybersécurité ou de l’organisme d’évaluation de la conformité.

Sanctions en cas de violation du Règlement sur la cybersécurité

En cas de violation des dispositions du Règlement sur la cybersécurité et des schémas européens de certification de cybersécurité, les Etats membres déterminent les sanctions applicables ; étant précisé que ces sanctions doivent être effectives, proportionnées et dissuasives. Les Etats membres doivent informer sans retard la Commission du régime des sanctions applicables ainsi que de toute modification à ce régime.

Protection des données à caractère personnel

Toutes les opérations de traitement de données à caractère personnel effectuées par l’ENISA sont soumises aux dispositions du Règlement du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données.

Résolution sur les menaces liées à la présence technologique chinoise

Dans le prolongement de sa proposition de résolution sur le Règlement sur la cybersécurité, le Parlement européen a également adopté une résolution concernant les menaces pour la sécurité liées à la pression technologique croissante de la Chine dans l’Union.

Cette résolution fixe 5 objectifs majeurs :

  • élaborer une stratégie et des plans d’investissements publics afin de réduire la dépendance de l’Europe à l’égard de technologies étrangères dans le domaine de la cybersécurité, des TIC, de l’intelligence artificielle et de l’économie numérique ;
  • concernant l’accès d’entreprises de pays tiers aux futurs services de télécommunication et de 5G, les Etats membres devraient fonder leurs décisions sur des expertises techniques et une évaluation rigoureuse des risques ainsi que sur les engagements que prennent ces entreprises et les garanties qu’elles apportent au regard du respect du droit à la vie privée des citoyens de l’Union ainsi que de la prévention de l’espionnage et du sabotage technologique, plutôt que sur les pressions exercées par l’administration américaine ;
  • élaborer un système multilatéral de gouvernance de la cybersécurité dans l’optique d’instaurer en la matière un cadre réglementaire et stratégique au niveau des Nations unies ;
  • mettre en œuvre les mécanismes de coopération instaurés par la directive sur la sécurité des réseaux et des systèmes d’information ;
  • toutes les entreprises qui fournissent des technologies et des services dans l’Union doivent se conformer au droit de l’Union et des États membres et doivent répondre de toute infraction à la législation sur la protection des données et la cybersécurité.

Didier Gazagne
Lexing BU Cybersécurité Cyberdéfense

(1) Résolution législative du Parlement européen du 12 mars 2019 sur la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (Règlement sur la cybersécurité) (COM(2017)0477 – C8-0310/2017 – 2017/0225(COD).
(2) Règlement (UE) n° 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) n° 460/2004.
(3) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(4) Règlement (CE) N° 1049/2001 du Parlement européen et du Conseil du 30 mai 2001 relatif à l’accès du public aux documents du Parlement européen, du Conseil et de la Commission.




Atelier sur la nouvelle méthode EBIOS Risk Manager de l’ANSSI

méthode EBIOSLe 24 janvier 2019, Matthieu Grall,  Président du Club EBIOS présentera la nouvelle méthode EBIOS* RM (1).

Chaque jeudi soir, le cabinet Alain Bensoussan Avocats accompagne les DSI, RSSI, DPO, juristes et étudiants qui souhaitent suivre le MOOC SecNumAcadémie de l’Anssi.

Dans le cadre de ces ateliers et après avoir reçu Christian Daviot, Conseiller stratégie de l’Anssi, le département Sécurité et Organisation du Cabinet dirigé par Anthony Coquer est heureux de recevoir Matthieu Grall (Président du Club EBIOS).

La nouvelle méthode EBIOS RM

Matthieu Grall présentera à cette occasion la nouvelle version EBIOS Risk Manager (2). méthode d’appréciation et de traitement des risques publiée par l’Anssi.

Cette nouvelle version, plus agile et collaborative, permet d’appréhender l’ensemble des systèmes dans leur environnement global, avec des résultats visibles étape par étape. Ce procédé d’analyse offre un aperçu plus réaliste et actionnable des scénarios de risque. On estime qu’après appropriation, la mise en œuvre de cette démarche permet de gagner 30 % de temps en comparaison avec la version de 2010.

EBIOS – Expression des Besoins et Identification des Objectifs de Sécurité – est la méthode de gestion des risques publiée par l’Agence nationale de la sécurité des systèmes d’information (Anssi) du Secrétariat général de la défense et de la sécurité nationale (SGDSN)

(1) Voir notre post, « La nouvelle méthode d’analyse de risque EBIOS Risk Manager ».
(2) Présentation de la méthode EBIOS Risk Manager sur le site de l’Anssi.

Date : Le jeudi 24 janvier 2019 de 20h à 21h30.

Inscriptions closes.




Céline Avignon participe à la dernière étape de l’IT tour 2018

Céline Avignon interviendra le 6 décembre 2018 à Orléans sur le thème du RGPD et du Data Management organisé par Le Monde Informatique, l’IT Tour est un évènement qui concentre l’ensemble des acteurs IT : DSI, RSSI, responsables informatiques et directeurs de la transformation numérique ainsi que de prestigieux prestataires et éditeurs, pour aborder les tendances IT qui feront le système d’information de demain.

« À la pointe de vos exigences IT » : tel est l’intitulé l’édition 2018 de l’IT Tour.

A l’occasion de trois étapes de l’IT Tour 2018 (Lille le 4 octobre, Reims le 8 novembre, Orléans le jeudi 6 décembre), un représentant du cabinet Lexing Alain Bensoussan Avocats participe à une table ronde consacrée au Data management et aux enjeux liés au Règlement général sur la protection des donnéesIntitulée « RGPD Acte 2 : gagner en agilité et en conformité avec le Data management », celle-ci aborde les points suivants :

  • Bien préparer ses données, veiller à leur qualité ;
  • Intégrer, exploiter et valoriser dans le temps ses données ;
  • Les clés d’une gouvernance efficace des données.

Après Aurélie Banck à Lille et Virginie Bensoussan-Brulé à Reims, c’est Céline Avignon, Avocate à la Cour, Directrice du département Publicité et Marketing électronique au sein du cabinet Lexing Alain Bensoussan Avocats, qui interviendra à Orleans le 6 décembre 2018.

La participation à l’IT TOUR 2018, gratuite, est réservée aux équipes IT (DSI, RSSI, chefs de projets…) des entreprises utilisatrices publiques ou privées.

Chacun des participants repartira avec le Guide RGPD acte 2 auquel a participé le cabinet Lexing Alain Bensoussan Avocats. 

Pour retrouver le programme de l’IT Tour 2018 du Monde informatique  et vous inscrire à l’IT tour.

Eric Bonnet
Directeur du Département Communication juridique




Sécurité du numérique : le cabinet s’associe au MOOC de l’ANSSI

secnumacademieLe cabinet Lexing Alain Bensoussan Avocats vous propose de passer les unités et modules du MOOC SecNumacadémie  de l’ANSSI.

De septembre 2018 à janvier 2019, le département Sécurité et Organisation du Cabinet Lexing Alain Bensoussan Avocats, dirigé par Anthony Coquer, propose chaque jeudi de 20h à 21h30 de passer les unités et modules du MOOC SecNumacadémie et obtenir ainsi l’attestation de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). La prémière séance se tiendra au cabinet le jeudi 6 septembre 2018 au cabinet, en présence de Christian Daviot, Conseiller stratégie, ANSSI.

SecNumacadémie : la sécurité du numérique est l’affaire de chacun

Etudiants, salariés, dirigeants d’entreprise, plus que jamais, la sécurité vous concerne !

Les modules de sensibilisation en ligne SecNumacadémie de l’ANSSI propose des contenus pédagogiques, adaptés à des publics variés, afin qu’ils deviennent à leur tour acteurs de la sécurité du numérique dans un environnement professionnel.

Le MOOC SecNumacadémie

Définis par le centre de formation (CFSSI) de l’ANSSI et validés par des experts techniques de l’agence, les contenus du MOOC SecNumacadémie sont répartis en 4 modules de 5 unités.

Chaque module aborde une thématique clé de la sécurité des systèmes d’information (SSI) :

  • Module 1 : panorama de la SSI
  • Module 2 : sécurité de l’authentification
  • Module 3 : sécurité sur Internet
  • Module 4 : sécurité du poste de travail et nomadisme

Objectifs

Une attestation délivrée dès 80% de réussite à toutes les unités !

Programme :

MODULE 1 – Panorama de la sécurité des systèmes d’information (SSI)

  • Unité 1 : un monde numérique hyperconnecté
  • Unité 2 : un monde à hauts risques
  • Unité 3 : les acteurs de la cybersécurité
  • Unité 4 : protéger le cyberespace
  • Unité 5 : les règles d’or de la sécurité

MODULE 2 – Le b.a.-ba de l’authentification

  • Unité 1 : les principes de l’authentification
  • Unité 2 : attaques sur les mots de passe
  • Unité 3 : sécuriser son mot de passe
  • Unité 4 : gérer ses mots de passe
  • Unité 5 : pour aller plus loin : notions de cryptographie

MODULE 3 – Sécurité sur Internet :

  • Unité 1 : Internet, de quoi s’agit-il ?
  • Unité 2 : les fichiers en provenance d’Internet
  • Unité 3 : la navigation web
  • Unité 4 : la messagerie électronique
  • Unité 5 : pour aller plus loin : l’envers du décor d’une connexion web

MODULE 4 – La sécurité : partout, tout le temps

  • Unité 1 : sécurité du poste de travail
  • Unité 2 : le réseau domestique
  • Unité 3 : les objets connectés dans la maison
  • Unité 4 : mobilité
  • Unité 5 : pour aller plus loin : la séparation des usages.

Anthony Coquer

Alain Bensoussan

Intervenants :

Anthony Coquer, Directeur du Département Sécurité et Organisation,

Alain Bensoussan, Avocats Lexing

 

 

Dates :

De septembre 2018 à janvier 2019, chaque jeudi de 20h à 21h30
Calendrier en ligne

Coût :

Gratuit
Inscription en ligne

Eric Bonnet
Directeur de la communication juridique




Les obligations de notification des incidents de sécurité

notification des incidents de sécuritéLes obligations de notification des incidents de sécurité informatique nécessitent une gestion rigoureuse des événements et un système d’alerte performant.

Plusieurs autorités peuvent être notifiées en fonction du secteur d’activité de l’organisme et de sa sensibilité pour la sécurité nationale, de la nature des données collectées et du type de traitement.

Afin de répondre à l’ampleur de ce phénomène, l’introduction d’un guichet unique, qui centralise l’ensemble des incidents de sécurité, peut constituer une solution pragmatique et efficace pour simplifier les démarches des entreprises.

La notification des incidents de sécurité aux Agences régionales de santé

Les centres de santé (hôpitaux, cliniques, centres de soins, structures pour personnes âgées, handicapées et dépendantes) ont l’obligation de notifier les incidents graves de sécurité de leur système d’information aux organismes administratifs chargés de la mise en œuvre de la politique de santé au niveau régional.

Cette notification des incidents graves de sécurité aux Agences régionales de santé (ARS) vise pour l’essentiel à :

  • informer les autorités de l’Etat ;
  • aider les établissements concernés à prendre des mesures adaptées;
  • alerter l’ensemble des acteurs de santé concernés.

Les établissements de santé concernés ont l’obligation de signaler les incidents graves de sécurité, à savoir, les événements générateurs d’une situation exceptionnelle et notamment :

  • les incidents ayant des conséquences potentielles ou avérées sur la sécurité des soins ;
  • les incidents ayant des conséquences sur la confidentialité ou l’intégrité des données de santé ;
  • les incidents portant atteinte au fonctionnement normal de l’établissement, de l’organisme ou du service concerné.

La déclaration de notification des incidents graves de sécurité s’effectue, sans délai, sur le site signalement-sante.gouv.fr, ou, en cas d’impossibilité, par voie de formulaire figurant en annexe de l’arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information (1).

Les notifications des violations de données à caractère personnel à la Cnil

Tout responsable d’un traitement a l’obligation de notifier à la Commission nationale de l’informatique et des libertés (Cnil) les violations de données à caractère personnel, c’est-à-dire, toute violation de la sécurité entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.

En cas de recours à la sous-traitance, le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

Le G29, groupe de travail réunissant les autorités de contrôles européennes, distingue trois cas de violations de données :

  • les violations de confidentialité : en cas de divulgation et/ou d’accès (accidentel ou non-autorisé) à des données personnelles ;
  • les violations de disponibilité : en cas de perte et/ou destruction (accidentel ou non-autorisé) de données personnelles ;
  • les violations d’intégrité : en cas d’altération et/ou modification (accidentel ou non-autorisé) de données personnelles.

La notification devra être effectuée au plus tard dans les 72 heures après que le responsable du traitement a eu connaissance de la violation. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

De plus, lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique également la violation de données à caractère personnel aux personnes concernées dans les meilleurs délais.

Les notifications des incidents de sécurité à l’Anssi

Trois catégories d’acteurs ont l’obligation de notifier à l’Agence nationale de la sécurité des systèmes d’Information (Anssi) les incidents de sécurité de leur système d’information.

Les Opérateurs d’importance vitale (OIV) sont désignés par le gouvernent. Ces organismes sont des entreprises exploitant des établissements ou utilisant des installations dont l’indisponibilité risquerait de diminuer la sécurité nationale. A cet égard, les OIV ont l’obligation d’informer le Premier ministre des incidents affectant le fonctionnement ou la sécurité de leur système d’information.

On trouve également, les Opérateurs de services essentiels (OSE) qui, désignés par le Premier ministre, offrent des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents affectant leur système d’information. Ces derniers doivent également déclarer à l’Anssi les incidents qui ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés, ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.

Les Fournisseurs de services numériques (FSN), entreprises qui fournissent des services de places de marché en ligne, des moteurs de recherche en ligne, ou services d’informatique en nuage sont également les débiteurs d’une obligation de notification à l’Anssi des incidents de sécurité qui affectent leur système d’information. Ces entreprises ont notamment l’obligation de déclarer les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services.

En ce qui concerne les modalités de signalement, l’Anssi met à la disposition de ces acteurs un formulaire de déclaration d’un incident de sécurité, accessible depuis son site internet. Ce document devra lui être transmis sur un support adapté à la sensibilité des informations déclarées.

La notification d’incident de sécurité auprès de l’Anssi devra par ailleurs être effectuée, sans retard injustifié, par ces opérateurs.

Les notifications d’incidents à la Banque de France

Les Prestataires de services de paiement (PSP) regroupent les établissements de paiement et les établissements de crédit. Ces derniers doivent informer, sans retard injustifié, l’Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France de tout incident opérationnel majeur qu’ils auraient à connaître dans le cadre de leur activité. Cet incident est défini comme un évènement découlant de processus inadéquats ou défaillants, de personnes et systèmes ou d’événements de force majeure qui affectent l’intégrité, la disponibilité, la confidentialité, l’authenticité et/ou la continuité des services liés aux paiements.

La notification des incidents à l’ACPR et à la Banque de France s’effectue sur la base d’un modèle de notification pour les prestataires de services de paiement conforme à l’annexe 1 des lignes directrices EBA/GL/2017/10 (2). Ce document est communiqué dans les 4 heures qui suivent l’incident en se connectant à la Banque de France via un site internet dédié.

Anthony Coquer
Jean-François Mary
Lexing Département Sécurité et organisation

(1) Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JORF n°0261 du 8-11-2017 .
(2) Orientations sur la notification des incidents majeurs en vertu de la directive (UE) 2015/2366 (DSP2), (EBA/GL/2017/10), 19-12-2017 : Lignes directrices, annexe 1 p. 21.




La Cnil publie son guide sur la sécurité des données personnelles

sécurité des données personnellesLa Cnil publie son guide sur la sécurité des données personnelles pour aider à la mise en conformité des professionnels.

Précautions élémentaires sur la sécurité des données personnelles

Le guide sur la sécurité des données personnelles (1) rappelle tout d’abord les précautions élémentaires devant être mises en œuvre de façon systématique au regard de l’article 32 du RGPD, lequel dispose que « le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Gestion des risques relatifs à la sécurité des données personnelles en quatre étapes

Le guide sur la sécurité des données personnelles a vocation à être utilisé dans le cadre d’une gestion des risques et se base sur quatre grandes étapes :

  • recenser les traitements de données à caractère personnel, automatisés ou non, les données traitées et les supports sur lesquels elles reposent ;
  • apprécier les risques engendrés pour chaque traitement grâce à l’identification
    – des impacts potentiels,
    – des sources de risque,
    – des menaces réalisables ;
  • mettre en œuvre et vérifier les mesures prévues ;
  • faire réaliser des audits de sécurité périodiques.

17 fiches pour aider à évaluer le niveau de sécurité des données personnelles

Le guide sur la sécurité des données personnelles prévoit dix-sept fiches pour aider les organismes à évaluer le niveau de sécurité des données personnelles.

Ces fiches décrivent les précautions élémentaires recommandées par la Cnil pour les dix-sept thèmes suivants :

1. Sensibiliser les utilisateurs

La Cnil préconise de rédiger une charte informatique et de lui donner une force contraignante (en l’annexant au règlement intérieur) et de prévoir la signature d’engagement de confidentialité ou d’insérer dans les contrats de travail une clause de confidentialité spécifique concernant les données à caractère personnel.

2. Authentifier les utilisations

La Cnil recommande de définir un identifiant unique par utilisateur et d’interdire les comptes partagés. Elle précise qu’un mot de passe contient 12 caractères minimum de 4 types différents si l’authentification repose uniquement sur le mot de passe.

3. Gérer les habilitations

Il est conseillé de limiter les accès aux seules données dont un utilisateur a besoin en définissant des profils d’habilitation, de supprimer les permissions d’accès obsolètes et de réaliser une revue annuelle des habilitations.

4. Tracer les accès et gérer les incidents

La Cnil recommande de prévoir les procédures pour les notifications de violation de données.

5. Sécuriser les postes de travail

Afin de garantir la sécurité des données personnelles et de sécuriser convenablement les postes de travail, la Cnil préconise de mettre en place une procédure de verrouillage automatique de session, d’utiliser des antivirus régulièrement mis à jour, d’installer un pare-feu logiciel et de recueillir l’accès de l’utilisateur avant toute intervention sur son poste.

6. Sécuriser l’informatique mobile

La Cnil recommande, pour sécuriser l’informatique mobile, de prévoir des moyens de chiffrement des équipements mobiles et de sauvegarder les données.

7. Protéger le réseau informatique interne

La Cnil préconise de limiter les flux réseau au strict nécessaire et de sécuriser les accès distants des appareils informatiques nomades.

8. Sécuriser les serveurs

Concernant les outils et interfaces d’administration, la Cnil recommande de :

  • limiter l’accès aux seules personnes habilitées ;
  • installer sans délai les mises à jour critiques ;
  • assurer une disponibilité des données.

9. Sécuriser les sites web

La Cnil conseille de vérifier qu’aucun mot de passe ou identifiant ne passe par les URL ainsi que le contrôle des entrées des utilisateurs correspondant à ce qui est attendu.

10. Sauvegarder et prévoir la continuité d’activité

La Cnil recommande d’effectuer des sauvegardes régulières et de stocker les supports de sauvegarde dans un endroit sûr.

11. Archiver de manière sécurisée

La Cnil recommande, à minima, de mettre en œuvre des modalités d’accès spécifiques aux données archivées et détruire les archives obsolètes de manière sécurisée.

12. Encadrer la maintenance et la destruction de des données

La Cnil suggère d’enregistrer les interventions de maintenance dans une main courante et d’encadrer par un responsable de l’organisme les interventions par des tiers.

13. Gérer la sous-traitance

Il est recommandé de prévoir une clause spécifique dans les contrats des sous-traitants et d’assurer l’effectivité des garanties prévues (audits de sécurité, visites, etc.).

14. Sécuriser les échanges avec d’autres organismes

La Cnil préconise de chiffrer les données avant leur envoi et de s’assurer qu’il s’agisse du bon destinataire.

15. Protéger les locaux

Il apparaît nécessaire pour la protection des locaux de restreindre les accès au moyen de portes verrouillées et d’installer des alarmes anti-intrusion.

16. Encadrer les développements informatiques

Il est ainsi élémentaire pour la Cnil d’intégrer la protection de la vie privée, y compris des exigences de sécurité des données dès la conception d’un développement informatique.

17. Chiffrer, garantir l’intégrité ou signer

Les signatures numériques, en plus d’assurer l’intégrité, permettent de vérifier l’origine de l’information et son authenticité. Le chiffrement permet de garantir également la confidentialité d’un message.

En conclusion, ce guide sur la sécurité des données personnelles permet aux organismes

  • de connaître les critères de niveau de sécurité élémentaires ;
  • d’instaurer une charte informatique, des modules de formation et des spécifications relatifs à la sécurité ;

et ce dès la conception de leurs produits et leurs services.

Polyanna Bigle
Lucie Antigny
Lexing Sécurité des systèmes d’information et dématérialisation

(1) Guide de la Cnil sur la sécurité des données personnelles.




Notifications des failles de sécurité : pourquoi attendre ?

Notifications des failles de sécurité : pourquoi attendre ?Face aux notifications des failles de sécurité : pourquoi attendre ? Les prestataires de services de confiance et OIV ont, dès à présent, des obligations.

Comme nous l’indiquions dans de précédents articles, à compter du 25 mai 2018, il existera de nouvelles obligations de notification des violations de données personnelles (1 et 2).

Pourtant, certains organismes n’auront pas à attendre mai 2018 pour mettre en place une procédure de notification des failles de sécurité.

La loi Informatique et libertés visait déjà à l’article 34 bis les fournisseurs au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Les prestataires de services de confiance et OIV face aux failles de sécurité doivent être réactifs et les notifier au plus vite.

Les PSCO face aux notifications des failles de sécurité : pourquoi attendre ?

Le Règlement eIDAS applicable depuis juillet 2016 (3 et 4), prévoit en son article 19.2 cette obligation de notification pour les PSCO (prestataires de services de confiance), c’est-à-dire les prestataires de signatures électroniques, cachets électroniques certificats électroniques, vérification ou conservation de signatures électroniques, horodatage électronique, envois recommandés électroniques et authentification de sites web.

Tous les PSCO sont concernés, qu’ils soient qualifiés eiDAS ou non. Ils sont garants de la confiance dans leurs services.

Les PSCO établis en France doivent notifier à l’Anssi (organe de contrôle des PSCO) et à la Cnil :

  • dans les meilleurs délais et au maximum 24 heures après en avoir eu connaissance ;
  • toute atteinte à la sécurité ou toute perte d’intégrité ayant une incidence importante sur le service de confiance fourni ou sur les données à caractère personnel qui y sont conservées.

Si la faille de sécurité est susceptible de porter préjudice à une personne physique ou morale à laquelle le service de confiance a été fourni, le PSCO doit également notifier :

  • dans les meilleurs délais ;
  • à la personne physique ou morale l’atteinte à la sécurité ou la perte d’intégrité.

L’obligation ne s’arrête pas là, car l’Anssi ou la Cnil informeront :

  • les organes de contrôle des autres États membres concernés ainsi que l’ENISA, si la faille de sécurité concerne deux États membres ou plus ;
  • le public (à moins qu’il ne l’exige du PSCO) dès lors qu’elles constateront qu’il est dans l’intérêt public de divulguer l’atteinte à la sécurité ou la perte d’intégrité.

Les OIV face aux notifications des failles de sécurité : pourquoi attendre ?

Selon l’article R1332-41-10 du Code de la défense et en cas d’incident, l’opérateur d’importance vitale (OIV) doit communiquer :

  • sans délai et par un formulaire spécifique ;
  • selon le moyen approprié à la sensibilité des informations déclarées ;
  • les informations sur les incidents affectant la sécurité ou le fonctionnement des systèmes d’information d’importance vitale, notamment les incidents qui relèvent d’un type figurant à l’annexe IV des arrêtés sectoriels (voir pour exemple l’arrêté du 28 novembre 2016 – annexe classifiée) (5 et 6).

Qui plus est, les informations transmises doivent être complétées au fur et à mesure de l’analyse de l’incident et l’OIV doit être en mesure de répondre aux demandes complémentaires de l’Anssi.

Les autres acteurs face aux notifications des failles de sécurité : pourquoi attendre ?

Les articles 14 à 18 de la Directive dite « SRI » ou « NIS » (7) imposent aux Etats membres de prévoir dans leurs législations nationales des notifications d’incidents ayant un impact significatif sur la fourniture d’un service par les opérateurs de services essentiels et les fournisseurs de services numériques (places de marché en ligne, moteurs de recherche en ligne et services en cloud).

En conclusion, cette obligation pesant sur les PSCO et les OIV et par voie de conséquence sur leurs prestataires vis-à-vis d’eux, est extrêmement contraignante et gage de transparence. Les services de confiance et les OIV ne sont en effet pas des services comme les autres. Destinés à assurer la confiance dans les transactions et échanges électroniques, ils transportent des données à caractère personnel nombreuses, très « identifiantes » et indispensables pour la délivrance de ces services.

Polyanna Bigle
Lexing Sécurité des systèmes d’information

Pour aller plus loin :
(1) Virginie Bensoussan-Brulé, RGPD Notification des violations de données personnelles, Alain-Bensoussan.com 4-5-2017.
(2) Virginie Bensoussan-Brulé, Cyberattaques : comment réagir en cas de failles de sécurité ? Alain-Bensoussan.com 5-1-2017.
(3) Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23-7-2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur (JOUE L 257 du 28-8-2014, p. 73–114).
(4) Petit-déjeuner débat du 11-5-2016 « Règlement eIDAS sur l’identification pour les transactions électroniques », animé notamment par Polyanna Bigle, Alain-Bensoussan.com 19-4-2016.
(5) Didier Gazagne, Arrêtés sectoriels relatifs à la cybersécurité des OIV, Alain-Bensoussan.com 3-4-2017.
(6) Arrêté du 28-11-2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d’information d’importance vitale et des incidents de sécurité relatives au secteur d’activités d’importance vitale « Industrie » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense.
(7) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6-7-2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JOUE L 194 du 19-7-2016).

 




Cadre législatif de l’utilisation des caméras piétons

caméras piétonsL’usage de caméras piétons fait l’objet d’une expérimentation par la police et la gendarmerie qui a débuté en 2012. Ces caméras ont pour but de filmer les interventions des agents de la police nationale et des militaires de la gendarmerie nationale. Leur utilisation fait l’objet d’un encadrement législatif depuis 2016.

En effet, elle est spécifiquement régie par l’article L. 241-1 du Code de la sécurité intérieure, issu de la loi n°2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale. Cette loi a été complétée par un décret du 23 décembre 2016 (1).

Etendue de l’utilisation des caméras piétons

Les forces de l’ordre peuvent procéder à l’enregistrement de leurs interventions :

  • en tous lieux ;
  • dans le cadre de leurs missions de police administrative ou judiciaire ;
  • en fonction de leur appréciation des circonstances de l’intervention et du comportement des personnes concernées.

Avant l’adoption du décret (1) portant application de l’article L. 241-1 du Code la sécurité intérieure, la Cnil a été consultée.

Dans sa délibération du 8 décembre 2016 (2), après avoir relevé la possibilité pour les policiers et gendarmes d’utiliser les caméras piétons « en tous lieux », la Cnil avait précisé que :

« le ministère devrait prévoir des règles spécifiques lorsque celles-ci sont utilisées au sein de lieux d’habitation, comme restreindre la possibilité de le faire à certaines circonstances et garantir une information individuelle systématique de la personne concernée, le cas échéant, à l’issue de l’intervention ».

Ces recommandations n’ont pas été suivies par le ministère de l’intérieur qui a toutefois promis qu’une « doctrine d’emploi » des caméras piétons serait élaborée.

Finalités et contenu des enregistrements

Les caméras-piétons sont utilisées aux fins de :

  • prévention des incidents au cours des interventions ;
  • constat des infractions et poursuite de leurs auteurs par la collecte de preuves ;
  • formation des agents.

Les données et informations qui sont enregistrées par les caméras piétons sont :

  • les images et le son de l’incident ;
  • le jour et les plages horaires d’enregistrement ;
  • l’identification de l’agent ou du militaire portant la caméra ainsi que du lieu où ont été collectées les données.

Protection des personnes filmées

Dans le but de protéger les personnes concernées par un enregistrement, les caméras doivent être portées de manière apparente, généralement sur l’uniforme au niveau du torse. Les personnes filmées doivent également être informées du déclenchement de l’enregistrement, sauf si les circonstances l’interdisent.

Protection des données enregistrées

Afin de les protéger, ces informations ne peuvent être consultées qu’à l’issue de l’intervention et uniquement par le chef du service, le commandant de l’unité ou les agents et militaires individuellement habilités. En outre, elles ne peuvent être conservées que pendant six mois à compter du jour de leur enregistrement, hors le cas où elles sont utilisées dans le cadre d’une procédure judiciaire, administrative ou disciplinaire.

Droit d’accès aux enregistrements

Les personnes concernées ont un droit d’accès indirect aux informations enregistrées, effectué par l’intermédiaire d’un magistrat de la Cnil.

Dans sa délibération du 8 décembre 2016 (2), la Cnil a fait part du souhait d’un droit d’accès direct, considérant que le droit d’accès indirect n’est pas fondé, ni nécessaire au regard des finalités du traitement.

Le caractère indirect de l’accès est en effet en principe fondé sur le caractère non communicable de tout ou partie des données concernées, ce qui n’est pas le cas en l’espèce.

En outre, il est à craindre qu’en raison de la durée de conservation des données et de l’absence de centralisation des traitements, l’effectivité réelle du droit d’accès indirect aux images ne puisse être garantie.

Déclenchement automatique des caméras piétons lors des contrôles d’identité

L’article L. 241-1 du Code de la sécurité intérieure ne prévoyant pas un enregistrement permanent par les caméras piéton, leur déclenchement dépend du policier ou du militaire qui en dispose. Cependant, pour les contrôles d’identité le législateur souhaite systématiser le déclenchement des caméras piéton.

Ainsi une loi du 27 janvier 2017 (3) prévoit une expérimentation d’une durée de un an à compter du 1er mars 2017, consistant en l’enregistrement systématique des contrôles d’identité effectués dans 23 zones de sécurité prioritaires (ZSP).

Généralisation de l’utilisation des caméras piétons

Le ministère de l’intérieur souhaite étendre l’utilisation des caméras piétons à d’autres agents.

Pour ce faire un deuxième décret du 23 décembre 2016 (4) a prévu la mise en place d’une nouvelle expérimentation concernant leur utilisation par les agents de la police municipale, dans des conditions similaires, jusqu’au 3 juin 2018 et une instruction du 1er mars 2017 (5) présente les règles et modalités d’emploi de ce dispositif au sein des forces de police et de gendarmerie.

De même, le ministère a étendu la possibilité d’utiliser des caméras piétons aux agents des services internes de sécurité de la SNCF et de la RATP (6 et 7), à titre expérimental, pour une durée de trois ans à compter du 1er janvier 2017.

Virginie Bensoussan-Brulé
Raphaël Liotier
Département Pénal numérique

(1) Décret n°2016-1860 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions
(2) Délibération n° 2016-385 du 8 décembre 2016 portant avis sur un projet de décret en Conseil d’Etat portant application de l’article L. 241-1 du code de la sécurité intérieure et relatif à la mise en œuvre de traitements de données à caractère personnel provenant des caméras individuelles des agents de la police nationale et des militaires de la gendarmerie nationale
(3) Loi n° 2017-86 du 27 janvier 2017 relative à l’égalité et à la citoyenneté
(4) Décret n° 2016-1861 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions
(5) Instruction n° 180009 du 1er mars 2017 relative à l’emploi des « caméras piétons » mises en dotation dans les services de la police nationale et les unités de la gendarmerie nationaleInstruction n° 18009 du 1er mars 2017 relative à l’emploi des « caméras piétons » mises en dotation dans les services de la police nationale et les unités de la gendarmerie nationale
(6) Article L. 2251-4-1 du Code des transports, issu de la loi n°2016-339 du 22 mars 2016 relative à la prévention et à la lutte contre les incivilités, contre les atteintes à la sécurité publique et contre les actes terroristes dans les transports collectifs de voyageurs
(7) Décret n° 2016-1862 du 23 décembre 2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens




La cyberattaque sans précédent par le ransomware Wannacry

ransomware WannacryLe ransomware Wannacry s’est répandu dans le monde entier le 12 mai 2017 donnant lieu à une cyberattaque massive. Le ransomware Wannacry exploite une faille dans les systèmes Windows apparue en mars dernier. Cette faille avait été identifiée par la NSA et réparée par Microsoft quelques jours plus tard, le 14 mars 2017.

Utilisateurs concernés par la cyberattaque

Cependant, ce correctif n’a été fourni que pour les versions les plus récentes de Windows. Ainsi, le ransomware a principalement infecté les PC tournant sur d’anciennes versions de Windows, notamment Windows XP, qui n’est plus mis à jour par Microsoft.

De même, il a touché les personnes et entreprises ayant des versions plus récentes de Windows mais qui n’ont pas installé le correctif mis à leur disposition par Microsoft en mars.

Dans ce cas, ce sont donc notamment les personnes et entreprises qui ont été négligentes qui ont été touchées par la cyberattaque. En conséquence, il y a un risque que leur assurance ne couvre pas le dommage subi.

Mode d’infiltration du ransomware Wannacry

C’est par une vaste campagne de phishing par e-mail que le ransomware s’est retrouvé dans de nombreux PC. Les victimes ont en effet reçu un e-mail accompagné d’un fichier PDF et c’est en téléchargeant cette pièce jointe que le ransomware Wannacry a pu s’installer dans leur PC.

Une fois installé, le ransomware a bloqué l’accès aux fichiers et exigé une rançon d’une centaine de dollars pour rendre sa liberté au système. Il s’est rapidement propagé et en quelques jours a touché plus de 300 000 ordinateurs (1) dans 150 pays différents (2).

Recommandations

La première mesure préventive contre les cyberattaques, conseillée par l’Agence nationale de la sécurité des systèmes d’information (Anssi), c’est « de sensibiliser les utilisateurs aux risques associés aux messages électroniques pour éviter l’ouverture de pièces jointes. Il convient en effet de ne pas cliquer sans vérification préalable sur les liens de messages et les pièces jointes. Les utilisateurs ne doivent pas ouvrir des messages électroniques de provenance inconnue, d’apparence inhabituelle ou frauduleuse. Plus généralement, il convient de mettre à jour les postes utilisateurs, notamment le système d’exploitation et les applications exposées sur Internet (lecteur PDF, lecteur messagerie, navigateurs et greffons) dans le cas où le code malveillant (ou une variante) exploiterait une vulnérabilité logicielle » (3).

De plus, l’Anssi recommande d’effectuer des sauvegardes saines et régulières des systèmes et des données (postes de travail, serveurs).

Il convient également d’installer une passerelle antivirus de nouvelle génération qui puisse détecter les ransomwares et de la mettre à jour. En effet, les anciennes générations d’antivirus ne sont plus assez protectrices.

En outre, il est nécessaire d’avoir à disposition une solution de protection contre les menaces avancées, appelées APT ou « zero day », capables d’identifier les malwares temporairement non détectables par les passerelles antivirus.

Enifn, la mise en place de politiques de sécurité strictement mises à jour sur tout le périmètre des réseaux d’entreprise – un seul poste vulnérable suffit pour diffuser un malware tel que WannaCry – est devenue indispensable.

Attaque liée au ransomware Wannacry

Si la propagation du ransomware Wannacry a été maîtrisée grâce à un jeune chercheur, il est indispensable de rester vigilant. En effet, selon certains journalistes (4), une nouvelle attaque appelée Adylkuzz, liée à Wannacry, serait en train d’avoir lieu et serait de bien plus grande envergure dans le but de créer et récupérer de la monnaie virtuelle à l’insu des utilisateurs.

Virginie Bensoussan Brûlé
Lexing Contentieux numérique

(1) « Ransomware : le nettoyage se poursuit après le chaos WannaCry », ZDNet France, ‎ 18-5-2017.
(2) « WannaCry : Le ransomware planétaire encore prêt à frapper », Le Monde Informatique, 15-5-2017.
(3) Bulletin d’alerte du Cert-fr du 14-5-2017.
(4) Site Harmonie technologie,  « WannaCry, Adylkuzz – Décryptage de ces cyber attaques », Harmonie technologie, 17-5-2017.

 




La SNCF expérimente l’analyse comportementale

La SNCF expérimente l’analyse comportementaleLa SNCF expérimente l’analyse comportementale via les caméras installées dans ses gares et ses trains. En collaboration avec la société Thalès, la SNCF a, en effet, lancé ce projet d’expérimentation en 2015 afin de faire face aux risques imminents d’actes terroristes.

La SNCF expérimente l’analyse comportementale dans ses gares et trains

Les caméras de surveillance installées dans ses gares et ses trains seront désormais équipées de logiciels d’analyse qui permettront d’identifier les comportements anormaux des usagers et des personnes circulant dans ses gares ou aux abords de ceux-ci.

A ces logiciels d’analyse, s’ajoutent d’autres dispositifs également en cours de tests, tels que des détecteurs de colis suspects, des caméras portatives détenus par des agents de sécurité, ainsi qu’une application smartphone permettant aux voyageurs de lancer l’alerte à partir de leurs téléphones en cas de comportements suspects.

La SNCF expérimente l’analyse comportementale de nos faits et gestes

Ces logiciels d’analyse ont vocation à recueillir un certain nombre de données qui pourront être analysées en temps réel et faire l’objet d’une alerte, le cas échéant, auprès des autorités compétentes.

Ces données pourront notamment porter sur des changements de température corporelle, des haussements de voix, des gestes saccadés, etc.

Actuellement en cours d’expérimentation par la SNCF, ces logiciels d’analyse devraient être amenés à être généralisés.

La SNCF expérimente l’analyse comportementale : l’enjeu des données personnelles

La position de la CNIL semble claire sur ce sujet puisqu’elle considère que :

« Il ne s’agit plus seulement aujourd’hui d’opérer le simple comptage du nombre de passagers ou de détecter automatiquement un objet abandonné, mais bien de permettre la détection automatisée de « comportements suspects ».

Ainsi, avant toute possible généralisation de ces logiciels à l’issue de leur expérimentation par la SNCF, il est fort à parier que la CNIL, du fait de sa compétence particulière en matière de vidéo-protection, leur portera une attention toute particulière et opèrera un contrôle très strict de leur conformité aux dispositions de la loi Informatique et libertés et du règlement européen qui entrera en application le 24 mai 2018.

En effet, même si les caméras existent déjà, leur nouvelle finalité, tirée de l’implémentation en leur sein de logiciels d’analyse comportementale, devrait nécessiter la mise en œuvre d’un nouveau contrôle par la CNIL, notamment sur :

  • l’obligation d’informer les usagers et leurs personnels sur l’existence de ces logiciels
  • les modalités de mise en œuvre de leurs droits d’accès, de modification, et de suppression des données les concernant recueillies par lesdits logiciels,

comme cela avait déjà été fait s’agissant des caméras portatives détenus par des agents de sécurité, dans le cadre de la délibération n°2016-387 du 8 décembre 2016 (1), adoptée par la CNIL, portant avis sur un projet de décret en Conseil d’Etat (décret adopté le 23 décembre 2016 (2)) portant application de l’article L.2251-4-1 du Code des transports et relatifs aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la RATP.

Cette délibération fait suite à celle du 29 septembre 2016 (3) autorisant la mise en œuvre par la société Thales Services d’un traitement automatisé de données à caractère personnel dans le cadre de recherches sur le développement et l’amélioration des algorithmes de reconnaissance faciale.

Marie-Adélaïde de Montlivault-Jacquot
Alexandra Massaux
Lexing Contentieux informatique

(1) Délib. 2016-387 du 8-12-2016 portant avis sur un projet de décret en Conseil d’Etat portant application de l’article L. 2251-4-1 du code des transports et relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la RATP
(2) Décr. 2016-1862 du 23-12-2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens
(3) Délib. 2016-296 du 29-9-2016 autorisant la société Thales services à mettre en œuvre un traitement automatisé de données à caractère personnel dans le cadre de recherches sur le développement et l’amélioration des algorithmes de reconnaissance faciale.




La standardisation et les objets connectés

Sans standardisation, quel avenir pour les objets connectés?Les différents éléments des objets connectés doivent être interopérables, la standardisation est-elle nécessaire ?

Pour pouvoir connecter l’objet, les différents éléments doivent pouvoir se connecter entre eux et garantir une interopérabilité.

Les objets connectés font partie d’un vaste écosystème composé de capteurs, de connexions, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments ou composants doivent pouvoir s’interconnecter, s’intégrer, communiquer tout en étant compatibles et sécurisés dans leur utilisation et leur usage. Cette interconnexion est nécessaire pour leur environnement mais également pour les données qu’ils peuvent recueillir, conserver, stocker ou partager.

L’objet connecté s’intègre dans différents écosystèmes. Ces acteurs interviennent dans différents pays et l’objet peut, par conséquent, être soumis à différentes réglementations, tant au regard de sa fabrication que de sa commercialisation.

Au regard de l’hétérogénéité des objets connectés et des éléments qu’ils peuvent contenir, des réglementations spécifiques interviennent en fonction de la nature de l’objet connecté, de son utilisation, de sa localisation ou de la nature de l’innovation.

Si de nombreuses règlementations existent d’ores et déjà et trouvent à s’appliquer, elles sont amenées à évoluer pour s’adapter à des nouveaux usages ou à la transformation de la nature de l’objet en raison de sa connexion.

Néanmoins, il semble illusoire, au regard de l’emboîtement des règlementations, tant sectorielles que locales, de vouloir créer une règlementation unique des objets connectés.

Dès lors, d’un point de vue purement pragmatique, les fabricants ou les juristes intervenant dans une étude de faisabilité, par exemple, chercheront à légitimer l’objet connecté en utilisant des labels, des normes ou encore des standards.

Par conséquent, on constate ,avec le développement des objets connectés, de nombreuses initiatives de standardisation, généralement issues d’acteurs privés.

Conception : Normes, labels et certifications

Une norme est un référentiel qui précise les caractéristiques spécifiques de services ou de produits. La norme a pour fonction de garantir une qualité constante des produits et services considérés. Elle est régulièrement actualisée ( ). Les normes sont éditées par des organismes de normalisation officiels comme l’AFNOR (au niveau national) ou l’ISO (au niveau international), elles sont d’application volontaire. Certaines ont néanmoins été rendues obligatoires par les pouvoirs publics.

Un label est un signe distinctif, une étiquette ou une marque spéciale créée par un syndicat professionnel ou un organisme parapublic et apposé sur un produit destiné à la vente. Il en certifie l’origine, la qualité et indique que les conditions de fabrication sont en conformité avec les normes préétablies ( ).

Une certification est une activité par laquelle un organisme tierce partie atteste qu’un produit, un système de management de la qualité ou un service, est conforme aux exigences spécifiées dans un référentiel. La certification est réalisée par le biais d’audit ( ) d’un organisme tiers indépendant. La démarche n’est pas obligatoire mais, parce qu’elle s’accompagne d’un logo, elle offre, le plus souvent, une meilleure visibilité aux bonnes pratiques. Au sens strict, une certification s’appuie sur un référentiel qui a été conçu par un organisme certificateur et publié au Journal officiel.

Un label, une norme, ou une certification adapté peuvent apporter un gage de qualité ou de sécurité aux objets connectés. Toutefois, il ne faut pas que cela soit parcellaire.

L’appréciation de ces aspects devra prendre en compte l’objet connecté dans son écosystème, car ces démarches tendent à garantir la qualité de l’objet connecté, sans nécessairement prendre en compte son utilisation par les consommateurs ou sa communication avec d’autres objets.

Utilisation et traçabilité

Sous l’angle de l’utilisation de l’objet connecté, la standardisation permet de mettre en œuvre, de manière indépendante et consensuelle, un langage global, ouvert et interopérable entre les acteurs économiques d’un écosystème.

Elle permet également d’identifier et de tracer l’objet, ce qui, en cas de défaillance dudit objet, permettra plus facilement d’identifier les responsabilités.

Les objets connectés doivent pouvoir communiquer entre eux dans des standards communs. A titre d’exemple, une voiture autonome devra être en mesure de pouvoir communiquer en toute sécurité avec des capteurs installés sur une route ou sur des feux de circulation.

Il est indispensable que les standards de tel ou tel objet connecté puissent reconnaître d’autres standards et ce, pour toutes les différentes couches contenues dans l’objet.

L’harmonisation par des standards communs

L’utilisation et le passage à l’échelle, l’industrialisation d’un objet et sa réussite commerciale, induisent qu’il puisse être utilisé en toute sécurité et qu’il puisse communiquer en dehors de son écosystème.

La création de standards universels pourrait, en conséquence, être une réponse à l’impossibilité pratique de créer un droit de l’Internet des Objets.

Cette standardisation nécessite, néanmoins, que l’indépendance des organismes puisse être garantie et ne pas être issue d’une seule entité privée qui pourrait contrôler indirectement tout ou partie d’objets connectés.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Les normes sont régulièrement actualisées. C’est un principe que l’on trouve dans le Guide des métiers du centre Inffo, Dunod, 2006
(2) Définition Larousse
(3) Norme FD X 50-751




Faut-il déconnecter les jouets connectés des enfants ?

jouets

Quels sont les critères pour que les jouets connectés respectent la sécurité de vos enfants et votre vie privée ?

La réglementation applicable aux objets connectés peut dépendre de la typologie de l’objet et des innovations qu’il apporte.

Les objets connectés évoluent dans un vaste écosystème composé de capteurs, de connexion, de données, de réseaux, de stockage, de logiciels de traitement ou encore de protocoles de sécurité.

Ces éléments doivent s’interconnecter, s’intégrer tout en étant compatibles et sécurisés dans leur utilisation, leur usage, leur environnement mais également pour les données qu’ils peuvent recueillir, conserver ou transférer.

Pour le jouet, comme pour tout objet connecté, cela se complexifie avec notamment la question de la connexion.

En effet, si le secteur des jouets bénéficie d’une réglementation protectrice, leur connexion à des réseaux et le stockage des données récoltées, dans le cloud posent des problématiques complémentaires.

Réglementation applicable aux jouets

Les jouets sont réglementés en France par le décret n° 2010-166 du 22 février 2010 et son arrêté d’application du 24 février 2010. Ces textes transposent la directive européenne 2009/48/CE relative à la sécurité des jouets.

La réglementation prévoit que les jouets ne doivent pas être alimentés par une tension supérieure à 24 volts (Très Basse Tension de Sécurité), par conséquent ils ne peuvent être alimentés que par des piles ou par un transformateur très basse tension.

Or, la connexion au réseau du jouet-objet connecté est très énergivore, et un fabricant par conséquent peut être tenté d’augmenter son autonomie.

Jouet connecté : les précautions de mise sur le marché

Avant de mettre un jouet sur le marché, le fabricant doit procéder à une analyse des dangers que le jouet peut présenter, notamment, en matière chimique, physique, mécanique, électrique, d’inflammabilité, de radioactivité et d’hygiène.

Ainsi, le fabricant doit soumettre son jouet à une procédure d’évaluation de sa conformité.

Selon le type de jouet, il applique, en fonction de la réglementation, une procédure d’autocontrôle ou de contrôle par un tiers, du modèle initial, associé à un contrôle de la production (1).

La procédure de contrôle par un tiers est exigée dans les cas suivants (2) :

  • lorsque des normes harmonisées couvrant toutes les exigences de sécurité requises pour le jouet n’existent pas ;
  • lorsque le fabricant n’a pas appliqué ou a appliqué seulement en partie les normes harmonisées ;
  • lorsqu’une ou plusieurs normes harmonisées ont été publiées assorties d’une restriction ;
  • ou lorsque le fabricant estime que la nature, la conception, la construction ou la destination du jouet nécessitent une vérification par un tiers.
Le contrôle de conformité par un tiers

Un fabricant de jouets connectés aura, par conséquent, intérêt en l’absence de normes couvrant toutes les exigences de sécurité de se soumettre à ce type d’examen auprès d’un organisme notifié.

Néanmoins, la connexion du jouet peut entraîner d’autres risques qui ne seront pas automatiquement appréhendés dans le cadre de ces contrôles de conformité.

Or, ces risques doivent être pris en compte par un fabricant tant au regard de la réglementation qu’en termes d’image de marque.

Ces risques sont, par exemple, l’exposition aux ondes ou encore la sécurité des données collectées à partir des jouets connectés.

L’exposition aux ondes

A ce titre, l’Agence nationale de sécurité sanitaire (Anses) a publié en juillet 2016 un rapport  (3) concernant l’exposition des enfants aux radiofréquences suite à sa saisie par les pouvoirs publics.

Cette étude visait à vérifier si les dispositions réglementaires actuellement en vigueur pour la mise sur le marché des appareils radioélectriques à destination des enfants, étaient suffisamment protectrices en matière de santé et de sécurité.

Elle a ainsi émis une série de recommandations visant à adapter les valeurs limites d’exposition réglementaires afin de réduire l’exposition des enfants aux champs électromagnétiques.

Une évolution de la réglementation est également préconisée :

  • pour que l’ensemble des dispositifs radioélectriques, et notamment ceux destinés aux enfants (tablettes tactiles, veille-bébés, jouets connectés, etc.), soit soumis aux mêmes obligations réglementaires, en matière de contrôle des niveaux d’exposition et d’information du public, que celles encadrant les téléphones mobiles ;
  • afin que le respect des valeurs limites d’exposition réglementaires soit assuré, quels que soient les dispositifs émetteurs mobiles utilisés, selon des conditions raisonnablement prévisibles d’utilisation (par exemple positionnement au contact du corps).
Protection de la vie privée et données personnelles

En décembre 2016, l’association UFC-Que choisir (4) a, quant à elle, interpellé la Cnil et la DGCCRF suite à une enquête réalisée par son homologue norvégien, Forbrukerradet (5).

Cette enquête souligne que deux jouets de marques différentes ne garantissent pas le respect de la vie privée et de la sécurité des données personnelles des enfants.

Ont ainsi été mis en évidence :

  • des failles de sécurité du Bluetooth intégré permettant la connexion de tiers situé à 20 mètres du jouet et la prise de contrôle de ce dernier ;
  • des conditions contractuelles autorisant sans consentement exprès, à collecter les données vocales enregistrées par lesdits jouets, et ce pour des raisons étrangères au strict fonctionnement du service et pouvant être transférées sans le consentement des parents ;
  • la promotion de produits par certaines phrases programmées de ces jouets.

Dès lors, UFC-Que choisir souhaite que :

  • la Cnil diligente sans délai un contrôle du respect de la protection des données personnelles des utilisateurs d’une poupée et d’un jouet robot ;
  • les services de la DGCCRF enquêtent sur le niveau de sécurité des jouets connectés et sanctionnent tout manquement aux dispositions légales et réglementaires.

Cette affaire fait suite au piratage en octobre 2015 d’un fabricant d’ordinateurs et d’outils pour enfants par lequel des données personnelles de presque cinq millions de parents, et de plus de 6 millions d’enfants avaient été piratées.

Par ailleurs, la commercialisation, aux Etats-Unis, d’une poupée intelligente en 2016, a également mis en exergue les failles d’un tel jouet. En effet par sa connexion à Internet la poupée envoie les demandes de l’enfant dans le cloud. Celles-ci sont ensuite analysées via de l’intelligence artificielle afin d’y apporter une réponse rapidement.

De plus, des failles dans les applications iOS et Android fonctionnant avec la poupée ont également été détectées.

Il a été également constaté que les mots de passe pour vérifier les certificats étaient identiques pour toutes les poupées.

Des piratages peuvent, par conséquent, intervenir à plusieurs niveaux :

  • par la prise de contrôle du jouet via, par exemple, une connexion non sécurisée ;
  • par l’accès, le maintien ou l’extraction de données dans des serveurs en cloud.

En complément, la Cnil a dispensé des conseils à destination des parents pour sécuriser l’utilisation des jouets connectés de leurs enfants dans une information du 28 janvier 2017 (6),

Elle recommande notamment d’effectuer régulièrement les mises à jour de sécurité et d’utiliser des mots de passes et identifiants spécifiques à l’utilisation du jouet et de communiquer le minimum d’information lors de l’inscription et de la mise en route du jouet.

Pour finir, elle préconise d’éteindre le jouet quand il ne sert pas, de désactiver le partage sur les réseaux sociaux et d’effacer les données lorsqu’on ne se sert plus du jouet.

En conclusion, la réglementation des jouets doit rapidement, à l’instar d’autres réglementations applicables à certains objets, s’adapter et évoluer pour se conformer aux nouveaux usages et surtout à l’écosystème dans lequel l’objet connecté évolue.

A cette occasion, on peut également se demander ce que deviennent les questions que nous ou nos enfants posons à notre jouet préféré : l’assistant vocal de notre smartphone ?

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) La procédure dite « d’examen CE de type » (module B de l’annexe II de la décision 768/2008/CE), combinée à la procédure de « conformité au type sur la base du contrôle interne de la fabrication » (module C de l’annexe II de la décision 768/2008/CE).
(2) Direction générale des entreprises, Article « La réglementation applicable aux jouets », 16-3-2016.
(3) Anses, Avis sur l’exposition aux radiofréquences et santé des enfants, Rapport d’expertise collective, 6-2016
(4) Quechoisir.org, Article « Jouets connectés – Alerte sur la sécurité et les données personnelles ! », 6-12-2016
(5) Forbrukerradet.no
(6) Cnil, Conseils du 28-2-2017




Nouvelle recommandation de la Cnil sur les mots de passe

Nouvelle recommandation de la Cnil sur les mots de passeLa Cnil précise sa doctrine en matière de mots de passe et distingue selon les mesures complémentaires mises en oeuvre.

Le mot de passe et l’identifiant : le couple roi de l’authentification des services numériques

Le couple mot de passe et identifiant est la solution la plus utilisée en matière d’authentification. Néanmoins, ce mode d’authentification n’est pas des plus sûrs. En effet, tout d’abord, les utilisateurs utilisent souvent le même mot de passe pour plusieurs services numériques, ce qui affecte sa robustesse.

Par ailleurs, la multiplication des attaques informatiques et la compromission de base de données clients contenant les mots de passe associés aux comptes des personnes concernées améliore la connaissance des fraudeurs en matière de mots de passe et rend ces derniers moins efficaces.

Pour ces principales raisons, la Cnil considère que d’autres moyens comme par exemple l’authentification à double facteur ou les certificats électroniques, présentent plus de garanties.

Néanmoins, et dans le respect du principe de réalisme économique, elle n’interdit pas l’utilisation des mots de passe mais renforce ses exigences tout en tenant compte des autres mesures prises.

La Cnil précise que sa recommandation (1) fixe les modalités techniques minimales relatives à une authentification basée sur des mots de passe et précise que les risques spécifiques qu’un traitement peut faire peser sur la vie privée des personnes peut exiger des mesures plus rigoureuses.

La Cnil effectue des recommandations en reprenant les principales étapes de gestion d’un mot de passe.

En ce qui concerne les règles de composition de mots de passe, la Cnil distingue quatre situations. Pour en faciliter la compréhension, ces quatre situations sont reprises sous forme de tableau.

Les modalités d’authentification

La Cnil précise les exigences relatives aux modalités techniques d’authentification. A cet égard, lorsqu’elle n’a pas lieu en local, elle impose une mesure de contrôle de l’identité du serveur d’authentification au moyen d’un certificat d’authentification et un canal de communication chiffré à l’aide d’une fonction de chiffrement sûre avec un algorithme public réputé fort.

La conservation des mots de passe

La Cnil rappelle que le mot de passe ne doit jamais être stocké en clair. A cet effet, il est recommandé d’utiliser un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue utilisant un sel ou une clé.

Le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre (c’est-à-dire utilisant un algorithme public réputé fort dont la mise en œuvre logicielle est exempte de vulnérabilité connue), intégrant l’utilisation d’un sel ou d’une clé générée avec un générateur de nombres pseudo aléatoires cryptographiquement sûr.

Le sel ou la clé ne doit pas être stocké dans le même espace de stockage que l’élément de vérification du mot de passe.

Le renouvellement des mots de passe

La Cnil précise également les modalités concernant le renouvellement des mots de passe. A cet égard, elle précise que :

  • le renouvellement doit être systématique en cas de compromission ;
  • il doit s’effectuer selon une périodicité pertinente et raisonnable, qui dépend notamment de la complexité imposée du mot de passe, des données traitées et des risques auxquels il est exposé.

La personne concernée doit pouvoir procéder elle-même au changement du mot de passe.

Lorsqu’une intervention d’un administrateur est requise, la procédure d’authentification doit imposer le changement du mot de passe attribué temporairement par l’administrateur à la première connexion de la personne. La Cnil insiste sur le fait que le mot de passe ne doit pas être transmis en clair et recommande que la personne soit redirigée vers une interface lui permettant de saisir un nouveau mot de passe, étant précisé que l’interface ne devrait pas être disponible plus de 24h et ne permettre qu’un renouvellement.

Lorsque plusieurs éléments comme le numéro de téléphone, l’adresse postale, sont utilisés pour le renouvellement, la Cnil recommande de ne pas les conserver dans le même espace de stockage que l’élément de vérification du mot de passe ou alors de les conserver sous une forme chiffrée à l’aide d’un algorithme public réputé fort.

Elle précise également que la personne concernée doit être immédiatement informée du changement de ces éléments pour prévenir tout tentative de fraude.

Les responsables de traitement doivent intégrer dès aujourd’hui ces recommandations dans leur politique de sécurité et de mots de passe car elles constituent dorénavant le référentiel à partir duquel la Cnil opérera ses contrôles.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, Délibération 2017-012 du 19-1-2017, Communiqué du 27-1-2017 et Conseils « pour un bon mot de passe  »




Sécurité des logiciels médicaux : Recommandations de l’ANSM

Sécurité des logiciels médicaux : Recommandations de l’ANSML’ANSM a publié, sur son site internet, une étude relative à la sécurité des logiciels de dispositifs médicaux.

Cette étude (1) réalisée à la demande de l’ANSM répond à l’importance prise par le logiciel dans le domaine médical. Elle a pour objet :

  • de compléter les réflexions sur la sécurité des logiciels au niveau normatif ;
  • de mesurer la pertinence et la suffisance de l’environnement normatif pour le développement du logiciel ;
  • d’apporter des recommandations sur l’application des normes aux fabricants de logiciels.

Les recommandations proposées dans cette étude constituent des conseils aux fabricants de logiciels de dispositifs médicaux pour la mise en application de certaines exigences des normes [NF EN 62304] relative au développement et à la maintenance des logiciels de dispositifs médicaux et [ISO 14971] relative aux « Directive(s) européenne(s) Nouvelle Approche » .

Recommandations aux fabricants

La synthèse des recommandations aux fabricants de logiciels sont les suivantes, par thèmes :

  • Base de données :
    • l’identification de plusieurs principes relatifs aux données (pérennité, intégrité, unicité et confidentialité) au sein des spécifications du logiciel ;
    • l’utilisation d’un système de gestion de base de données reconnu et de règles de bonne pratique ;
  • Vérification des spécifications et conception architecturale :
    • la formalisation des relectures des documents produits, en suivant plusieurs axes de relecture ;
  • Analyse d’impact des modifications :
    • quant à toute modification pour éviter les défauts induits ;
    • quant aux mesures de maîtrise des risques ;
  • Réalisation de tests de la modification notamment de non-régression ;
  • Gestion et suivi des risques :
    • l’analyse des risques, tant au niveau du dispositif médical que du logiciel ;
    • la réalisation d’un document de suivi des mesures de maîtrise de risque afin de statuer sur l’implémentation et le test de ces mesures ;
    •  l’utilisation du guide d’application de la norme ISO 14971 [Dispositifs médicaux].
Recommandations normatives

Des propositions d’axes d’amélioration pour les normes [NF EN 62304], [ISO 14971] précitées et [NF EN 62366] sont proposées :

  • à partir de l’analyse d’autres normes issues de domaines d’application différents (ferroviaire, automobile, nucléaire) ;
  • au regard d’un échantillon de 156 incidents, proposés par l’ANSM, apparus sur des logiciels médicaux en exploitation.
Logiciels de dispositifs médicaux : les perspectives

L’étude met en relief les carences de l’état de l’art normatif actuel relatif aux logiciels dispositifs médicaux.

Elle constitue un soutien aux fabricants de logiciels, aux fins de réalisation de l’analyse de risque et de constitution de la documentation technique du dispositif dans le cadre de l’obtention du marquage CE.

Elle pourra tout aussi bien intégrer un référentiel de conformité à l’état de l’art ou de bonnes pratiques concernant les exigences liées au développement ou à l’intégration d’un logiciel médical.

Jean-François Forgeron
Benjamin-Victor Labyod
Lexing Informatique et Droit

(1) Etude sur la sécurité des logiciels de dispositifs médicaux, réalisée par Serma Ingenierie à la demande de l’ANSM, 7-2016.




Champs électromagnétiques : protection durcie des salariés

Champs électromagnétiques : protection durcie des salariésUn décret du 3 août 2016 renforce la protection des salariés contre les risques des champs électromagnétiques.

Il impose des obligations aux employeurs et la mise en place dans les entreprises concernées d’un plan d’action de mise en conformité (1).

Ce décret entrera en vigueur le 1er janvier 2017. Il définit les règles de prévention contre les risques pour la santé et la sécurité des travailleurs exposés aux champs électromagnétiques. Il précise notamment les règles de prévention contre les risques des effets biophysiques directs et des effets indirects connus.

Champs électromagnétiques : Un cadre juridique de prévention et de protection dépassant les principes généraux de prévention

Avant le décret, la prévention et protection des risques liés aux champs électromagnétiques reposait uniquement sur les principes généraux de prévention.

Champs électromagnétiques : cadre juridique de prévention et protection

Le décret a été pris en application de la directive 2013/35/UE (2) du 26 juin 2013. Cette directive définit les prescriptions minimales de sécurité et de santé relatives à l’exposition des travailleurs aux risques dus aux agents physiques. Et notamment les champs électromagnétiques.

Le décret vise donc l’amélioration de la protection de la santé et de la sécurité des personnels. Sont concernés par ce décret les salariés exposés aux champs électromagnétiques, des entreprises et établissements régis par la quatrième partie du code du travail. Avant le décret, la protection de la santé et sécurité des salariés reposait sur les seuls principes généraux de prévention.

Le décret modifie les dispositions des articles R.4453-1 à R.4453-34 du code du travail. En outre, il créé de nouveaux articles dans le code du travail :

  • R.4722-21-2 et R.4722-21-3 : définissant le rôle de l’agent de contrôle de l’inspection du travail ;
  • R.4724-17-1 et R.4724-17-2 : précisant les conditions et modalités de délivrance d’agrément au laboratoire agréé pour procéder au contrôle technique des valeurs limites d’exposition aux champs électromagnétiques ;
  • D.4152-7 (partie réglementaire) concernant les femmes enceintes ;
  • R.4153-22-1 concernant les jeunes travailleurs de moins de dix-huit ans.
Champs électromagnétiques : Intégration d’une approche graduée des moyens de prévention et de dialogue interne

Le décret vise l’intégration dans les entreprises et établissements dans lesquels les travailleurs sont exposés aux champs électromagnétiques une approche graduée des moyens de prévention et de dialogue interne. Cette approche est à mettre en œuvre en cas de dépassement des valeurs limites d’exposition des salariés aux champs électromagnétiques et des valeurs déclenchant des actions.

Cette approche graduée couvre la prévention des risques jusqu’à un éventuel dépassement des valeurs limites d’expositions.

Champs électromagnétiques : périmètre et démarche de l’approche graduée

Les entreprises régis par la 4e partie du code du travail devront mettre en oeuvre une approche graduée. Cette approche concerne les moyens de prévention et de dialogue en cas de dépassement des valeurs limites ou d’actions.

L’approche graduée peut être schématisée comme suit :

Champs électromagnétiques : périmètre et démarche de l’approche graduée

Champs électromagnétiques : l’évaluation des risques

L’évaluation des risques d’exposition des salariés à des champs électromagnétiques est la phase cruciale de l’approche graduée.

L’étape de l’évaluation poursuit un triple objectif :

  • identifier les valeurs limites d’exposition professionnelle ainsi que les valeurs d’actions au regard de la situation de travail du salarié ;
  • identifier, dans la situation de travail du salarié , si l’une des valeurs (valeurs limites ou valeurs déclenchant une action) est dépassée ;
  • déterminer les mesures et moyens de prévention.

Lorsque l’évaluation ne permet pas de conclure à une absence de risque de dépassement, l’employeur devra procéder à la mesure, au calcul et à la simulation numérique si nécessaire des niveaux de champs électromagnétiques des salariés.

Pour l’évaluation des risques, l’employeur devra tenir compte de l’origine et des caractéristiques des émissions des champs électromagnétiques. Mais aussi des valeurs limites d’exposition et des valeurs de déclenchement d’action. Il devra également tenir compte des informations sur les niveaux d’émission de champs électromagnétiques fournis par les fabricants. Enfin, il devra également considérer la fréquence, le niveau, la durée et le type d’exposition. Mais également la répartition dans l’organisme du salarié et dans l’espace de travail. Ainsi que tout effet biophysique direct ou de tout effet indirect. Les tableaux sur les valeurs limites et valeurs d’action sont annexés au Journal officiel (version fac-similé).

L’évaluation des risques peut être rendue publique sur demande. En particulier, en cas de traitement de données à caractère personnel de salariés dans le cadre d’une telle évaluation, toute publication est conforme aux exigences de la directive 95/46/CE du 24 octobre 1995 et à la libre circulation de ces données et aux dispositions nationales de mise en œuvre de ladite directive et au règlement (UE) GDPR.

Champs électromagnétiques : les obligations d’information de l’employeur

Le décret renforce les obligations de l’employeur en matière de risques liés aux champs électromagnétiques. En effet, le décret impose plusieurs obligations : information, formation générale et personnelle sur les risques, signalement des effets sensoriels.

Obligation d’information et de formation

La première obligation est une double obligation puisqu’il s’agit d’une obligation renforcée d’information et de formation de chaque salarié exposé à un risque lié aux champs électromagnétiques. Le décret précise même le périmètre de l’obligation d’information et de formation du salarié.

Pas moins de 6 points doivent faire l’objet de l’information et de la formation du salarié exposé à des champs électromagnétiques :

Champs électromagnétiques : les obligations d’information de l’employeur

Obligation de mise en place d’un dispositif de signalement

Le décret impose à l’employeur la mise en place d’un dispositif de signalement de tout effet sensoriel. La survenance d’un signalement, implique pour l’employeur, la mise à jour si nécessaire, des mesures et moyens de prévention à prendre pendant l’exposition du salarié, objet du signalement.

Obligation de l’employeur de définir les mesures et moyens de protection appropriés

Le décret précise qu’il appartient à l’employeur de définir les mesures et moyens de protection appropriés (Art. R.4453-29 code du travail). Ces mesures et moyens doivent garantir que :

  • les salariés sont protégés contre les effets nocifs pour la santé et les risques pour la sécurité ;
  • l’exposition du salarié n’est que temporaire ;
  • le salarié ne fait l’objet d’aucune contre-indication médicale ;
  • l’accès au poste de travail fait l’objet d’une habilitation nominative, renouvelée si la pratique de travail le nécessite.
Champs électromagnétiques : les mesures en cas de dépassement temporaire des valeurs limites d’exposition par l’employeur

Le but de l’adoption d’une approche graduée des moyens de prévention et de réduction des risques et de mesures et moyens est le maintenir l’exposition au-dessous des valeurs limites d’exposition. Néanmoins, si la pratique de travail le nécessite, les valeurs limites d’exposition peuvent être temporairement dépassées.

Il incombera alors à l’employeur de :

  • démontrer l’absence d’alternative possible au dépassement des valeurs limites d’exposition aux champs électromagnétiques ;
  • consigner la justification dans le document unique d’évaluation des risques ;
  • informer le médecin du travail et le comité d’hygiène et sécurité et des conditions de travail ou à défaut les délégués du personnel.
Les pouvoirs de l’agent de contrôle de l’inspection du travail

L’agent de contrôle de l’inspection du travail dispose de la faculté de demander à l’employeur de faire procéder à un contrôle technique des valeurs limites d’exposition aux champs électromagnétiques des salariés. Ce contrôle technique peut être réalisé, soit par un organisme accrédité, soit par un laboratoire agréé.

L’employeur devra être en mesure de justifier qu’il a saisi l’organisme accrédité ou le laboratoire agréé pendant le délai qui lui aura été fixé. En outre, il devra transmettre à l’agent de contrôle les résultats du contrôle dès réception.

Les conditions et modalités de délivrance des agréments au laboratoire agréé

Le décret créé dans la partie réglementaire de la quatrième partie du code du travail les articles R.4724-17-1 et R.4724-17-2. Ces articles sont relatifs aux conditions et modalités de délivrance des agréments aux laboratoires agréés.

Le décret renvoi à un arrêté des ministres chargés du travail et de l’agriculture non encore publié. Cet arrêté devra définir les conditions et modalités de délivrance d’agrément des laboratoires chargé de contrôler les valeurs limites d’exposition.

Il est seulement prévu que le silence gardé pendant plus de quatre mois sur une demande d’agrément d’un laboratoire vaut décision de rejet et non d’acceptation de l’agrément (3).

L’exposition de la femme enceinte aux champs électromagnétiques

Le décret prévoit des dispositions pour la femme enceinte risque d’être exposée dans son emploi. Le décret qui créé l’article R.4152-7-1 du code du travail prévoit que « son exposition est maintenue à un niveau aussi faible qu’il est raisonnablement possible d’atteindre ». Il est prévu que ce niveau doit être atteint en tenant compte des recommandations de bonnes pratiques existantes. Le niveau d’exposition doit être toujours à un niveau inférieur aux valeurs limites d’exposition du public aux champs électromagnétiques.

L’interdiction conditionnelle de l’exposition de salariés de moins de dix-huit ans aux champs électromagnétiques

Le décret modifie l’article R.4153-22-1 du code du travail. Cet article interdit d’affecter de salariés de moins de dix-huit ans à des travaux les exposant à des champs électromagnétiques. Cette interdiction est n’est toutefois pas absolue mais conditionnelle. La condition est que les résultats de l’évaluation des risques mettent en évidence la possibilité d’un dépassement des valeurs limites d’exposition. Ces valeurs limites d’exposition professionnelle sont définies dans un tableau à l’article R.4453-3 du code du travail.

Champs électromagnétiques : L’institution du conseiller à la prévention des risques liés aux champs électromagnétiques

L’une des plus grandes innovations du décret est l’obligation faite à l’employeur de désigner une personne chargée d’assurer « la fonction de conseiller à la prévention des champs électromagnétiques » (Art. R.4453-23 code du travail).

La création du conseiller à la prévention des risques liés aux champs électromagnétiques (le CPRCE) se voit confier la mission principale de participer à l’évaluation des risques (Art. R.4453-6 code du travail). En outre, il participe à la mise en œuvre de toutes les mesures visant à assurer la santé et la sécurité des salariés de l’entreprise et à l’amélioration continue de la prévention des risques. Enfin, il participe également à l’information et la formation des salariés relatives aux risques liés aux champs électromagnétiques (Art. R.4453-23 code du travail).

Glossaire

Champs électromagnétiques : désigne des champs électriques statiques, des champs magnétiques statiques et des champs électriques, magnétiques et électromagnétiques variant dans le temps, dont les fréquences vont de 0 Hertz à 300 Gigahertz.

Valeur limite d’exposition : désigne une valeur exprimée, selon la fréquence, en termes d’induction magnétique externe (B0), d’intensité de champ électrique interne, de débit ‘absorption spécifique (DAS), d’absorption spécifique (AS) ou de densité de puissance (S).

Valeur déclenchant une action : valeur exprimée, selon la fréquence, en termes d’intensité de champ électrique € ou d’induction magnétique (B), et le niveau de courant, indiqué en termes de courant induit dans les extrémités (IL) ou de courant de contact (IC).

Effets biophysiques directs : effets de type thermique ou non thermique sur l’organisme humain directement causés par sa présence dans un champ électromagnétique.

Effets indirects : effets causés par la présence d’un objet dans un champ électromagnétique pouvant entraîner un risque pour la sécurité et la santé.

Didier Gazagne
Lexing Droit Risques technologiques

(1) Décret 2016-1074 du 3-6-2016 relatif à la protection des travailleurs contre les risques dus aux champs électromagnétiques
(2) Directive 2013/35/UE du 26-6-2013 concernant les prescriptions minimales de sécurité et de santé relatives à l’exposition des travailleurs aux risques dus aux agents physiques (champs électromagnétiques) (vingtième directive particulière au sens de l’article 16, paragraphe 1, de la directive 89/391/CEE) et abrogeant la directive 2004/40/CE
(3) Avis du Conseil national d’évaluation des normes du 9-6-2016.




La qualité logicielle doit être au service de la sécurité

La qualité logicielle doit être au service de la sécuritéPour IT-Expert Magazine, Benoit de Roquefeuil et Alexandra Massaux aborde la qualité logicielle et le rôle joué par la sécurité.

La qualité logicielle consiste à apprécier de manière globale la qualité d’un logiciel en fonction d’indicateurs prédéfinis.

Elle dépend de sa construction et des processus utilisés pour son développement et est incontournable compte tenu de la part croissante de l’informatique dans l’électronique embarqué.

L’informatique et l’internet des objets

Le couple informatique et internet des objets apparaît sous de très nombreuses formes telles que les microcodes ou firmware. Il y a également les interfaces de programmation applicative (API), les calculateurs, les capteurs, les agents intelligents.

Alors que les microcodes ont longtemps été mis à la disposition du public par leurs constructeurs, certains d’entre eux changent. Ils ont décidé d’encadrer plus strictement leur accès pour se réserver la garantie et la maintenance de leurs serveurs.

Ainsi, à l’instar de ses concurrents, le constructeur HP ne diffuse plus librement certaines mises à jour de microcodes. Il a annoncé que l’accès aux mises à jour du micrologiciel des serveurs HP Proliant serait soumis à un contrat.

Il en est de même des interfaces de programmation applicative (API), disponibles en libre accès sous forme de logiciels libres ; jusqu’à l’affaire Oracle America c. Google, Inc., jugée par la Cour d’appel des Etats-Unis en 2014. A l’issue de cette affaire, ils ont été considérés comme constituant des œuvres de langages suffisamment structurées et matérialisées (individualisées) ; en tout cas, assez pour être éligibles à la protection par le droit d’auteur (1).

La qualité logicielle dans l’électronique embarqué

Dans un contexte où l’opacité des logiciels embarqués prime de plus en plus, se pose inévitablement la question de leur transparence et, partant de leur auditabilité.

Il existe trois niveaux de qualité d’un logiciel (que l’on peut retrouver notamment dans les normes relatives à la qualité logicielle : ISO/CEI 9126, ISO 14598, ISO/IEC 25041, ISO 9000-3

(…)

Lire le texte intégral de l’article  « La qualité logicielle au service de la sécurité  »  par Benoit de Roquefeuil et Alexandra Massaux, pour IT-Expert magazine du 18 juillet 2016.

(1) Cf. « API economy : nouvelles opportunités et enjeux juridiques« , Post du 4-8-2015.




Cyber-risques liés au jeu Pokémon Go : l’entreprise est concernée

Cyber-risques liés au jeu Pokémon Go en entrepriseLe jeu Pokémon Go ® est devenu un phénomène de société, au point que sa popularité suscite l’intérêt des cybercriminels.

Il y a de quoi les attirer lorsqu’on sait que le jeu est installé sur plus de 75 millions de terminaux mobiles dans le monde.

Cybersécurité et jeu Pokémon Go ®

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rattachée au service du Premier ministre (SGDSN), a fait publier un message d’alerte sur les Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go (1).

Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) met en garde contre :

  • les applications malveillantes (fausses applications du jeu qui cachent des outils d’espionnages, de phishing et autres sites « douteux ») ;
  • la collecte en permanence de nombreuses données personnelles (identité liées au compte Google ou géolocalisation du joueur) ou encore
  • l’utilisation du jeu dans un environnement professionnel.

Il rappelle quelques règles fondamentales de sécurité informatique et donne des recommandations en ce qui concerne le jeu Pokémon Go ®.

Recommandations relatives au jeu Pokémon Go ®

Le CERT recommande de n’installer que la version originale du jeu présente sur les boutiques d’Apple et de Google (sites Google Play et iTunes). En complément, il convient de désactiver la possibilité d’installer une application téléchargée depuis un site tiers (sous Android, paramètre « Sources inconnues » du menu « Sécurité »).

En outre, il est également conseillé de vérifier les permissions demandées par l’application. La version originale du jeu nécessite uniquement :

  • d’accéder à l’appareil photo pour les fonctionnalités de réalité augmentée ;
  • de rechercher des comptes déjà présents sur l’appareil ;
  • de localiser l’utilisateur grâce au GPS ou aux points d’accès Wi-Fi ;
  • d’enregistrer localement des fichiers sur le téléphone.

Toute autre permission peut sembler suspecte et mettre en évidence la présence sur l’ordiphone d’une version altérée de l’application.

Le CERT-FR suggère de mettre en place un cloisonnement entre l’identité réelle du joueur et celle de dresseur Pokémon. Pour cela, il est possible d’ouvrir un compte directement auprès du Club des dresseurs Pokémon ou bien de créer une adresse Gmail dédiée à cet usage.

Enfin, le CERT-FR déconseille de pratiquer cette activité dans des lieux où le geo-tagging du joueur pourrait avoir des conséquences (lieu de travail, sites sensibles, etc).

La Gendarmerie Nationale a aussi publié un communiqué rappelant les dangers que les joueurs peuvent rencontrer en cas d’imprudence (2) ; notamment en ce qui concerne la sécurité routière, les vols, chutes et troubles à l’ordre public.

Isabelle Pottier
Directrice Études et Publications

(1) Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go, Bulletin d’actualité CERTFR-2016-ACT-031 du 1er août 2016.
(2) Face au phénomène « Pokémon-Go », bon sens et vigilance sont de mise !, Communiqué du du 1-8-2016.




Pas de restriction supplémentaire à un usage de la biométrie

Pas de restriction supplémentaire à un usage de la biométrieL’ usage de la biométrie ne devrait finalement pas être restreint aux cas de nécessité stricte de sécurité. C’était pourtant l’objet d’un amendement proposé par le Sénat dans le projet de loi pour une République numérique.

Des dispositifs encadrés

A ce jour, l’article 25 I 8° de la loi Informatique et libertés impose au responsable de traitement d’obtenir une autorisation de la Commission nationale de l’informatique et des libertés (Cnil) pour la mise en place de « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».

Si la Cnil porte une attention particulière aux impératifs de sécurité qui président à la mise en place de dispositifs biométriques, les finalités pour lesquelles la biométrie peut être utilisée ne sont pas limitées dans la loi Informatique et libertés.

La Cnil a ainsi autorisé l’ usage de la biométrie :

  • dans le cadre d’un système d’authentification des titulaires de cartes bancaires (1) ;
  • pour le contrôle d’accès aux locaux professionnels (2) et la restauration sur les lieux de travail (3) ;
  • pour le contrôle de l’accès aux postes informatiques portables professionnels (4).
Une proposition de limitation des finalités autorisées

Afin de restreindre les cas dans lesquels l’ usage de la biométrie pourrait être autorisé, le Sénat avait adopté le 27 mai 2014 une proposition de loi visant à limiter l’usage des techniques biométriques.

Déposé à l’initiative de M. Gaëtan Gorce, membre de la Cnil depuis 2011, le texte proposait que seuls « les traitements dont la finalité est la protection de l’intégrité physique des personnes, la protection des biens ou la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l’intérêt propre de l’organisme les mettant en œuvre » puissent être autorisés par la Cnil (5).

Le texte visait ainsi à limiter l’ usage de la biométrie à trois finalités, à savoir :

  • la protection de l’intégrité physique des personnes ;
  • la protection des biens ;
  • la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible.

Le dispositif biométrique devait en outre répondre à une nécessité excédant l’intérêt propre de l’organisme souhaitant le mettre en œuvre. Un délai transitoire de 3 ans était prévu.

Un refus d’inscrire dans la loi une limitation à l’ usage de la biométrie

N’ayant pas encore été examinée par l’Assemblée nationale, la proposition de loi visant à limiter l’usage des technologies biométriques a finalement été introduite sous forme d’amendement dans le projet de loi pour une République numérique (article 34 bis nouveau), à l’occasion de l’examen du texte par les sénateurs début 2016.

La Commission mixte paritaire, chargée de trouver un compromis entre les propositions de l’Assemblée nationale et celles du Sénat, a toutefois mis fin à la progression de la proposition de loi.

Lors des discussions autour du projet de loi pour une République numérique, elle a en effet choisi de ne pas limiter d’avantage l’ usage de la biométrie, en retirant les dispositions proposées à l’article 34 bis.

Si le texte de compromis est approuvé en l’état par l’Assemblée nationale et par le Sénat, les finalités pour lesquelles les organismes pourront recourir à la biométrie ne devraient donc pas être inscrites de manière limitative dans le texte de loi.

Notre conseil

Si ce résultat offre plus de flexibilité à la Cnil pour choisir les cas dans lesquels elle souhaite autoriser ou non l’ usage de la biométrie, il ne faut pas perdre de vue que ces cas restent limités dans les faits.

Pour améliorer leurs chances de succès auprès de la Cnil, les organismes doivent ainsi présenter des dossiers argumentés de demande d’autorisation, faisant ressortir en particulier :

  • la finalité déterminée, explicite et légitime, pour laquelle le dispositif biométrique est envisagé ;
  • la manière dont les risques en matière de protection des données sont pris en compte et les garanties qui sont apportées ;
  • les mesures de sécurité mises en place.

Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Voir notre article du 15-4-2016 « La biométrie prête sa voix pour sécuriser les transactions » ;
(2) Voir par exemple Délib. Cnil 2015-363 du 15-10-2015.
(3) Délib. Cnil 2012-322 du 20-9-2012 (autorisation unique AU-007)
(4) Délib. Cnil 2011-074 du 10-3-2011 (autorisation unique AU-027)
(5) La proposition de loi initialement déposée visait « les traitements justifiés par une stricte nécessité de sécurité ». Cette notion a été précisée dans la rédaction finale du texte adopté par le Sénat.