Pour IT-Expert Magazine, Benoit de Roquefeuil et Alexandra Massaux aborde la qualité logicielle et le rôle joué par la sécurité.

La qualité logicielle consiste à apprécier de manière globale la qualité d’un logiciel en fonction d’indicateurs prédéfinis.

Elle dépend de sa construction et des processus utilisés pour son développement et est incontournable compte tenu de la part croissante de l’informatique dans l’électronique embarqué.

L’informatique et l’internet des objets

Le couple informatique et internet des objets apparaît sous de très nombreuses formes telles que les microcodes ou firmware. Il y a également les interfaces de programmation applicative (API), les calculateurs, les capteurs, les agents intelligents.

Alors que les microcodes ont longtemps été mis à la disposition du public par leurs constructeurs, certains d’entre eux changent. Ils ont décidé d’encadrer plus strictement leur accès pour se réserver la garantie et la maintenance de leurs serveurs.

Ainsi, à l’instar de ses concurrents, le constructeur HP ne diffuse plus librement certaines mises à jour de microcodes. Il a annoncé que l’accès aux mises à jour du micrologiciel des serveurs HP Proliant serait soumis à un contrat.

Il en est de même des interfaces de programmation applicative (API), disponibles en libre accès sous forme de logiciels libres ; jusqu’à l’affaire Oracle America c. Google, Inc., jugée par la Cour d’appel des Etats-Unis en 2014. A l’issue de cette affaire, ils ont été considérés comme constituant des œuvres de langages suffisamment structurées et matérialisées (individualisées) ; en tout cas, assez pour être éligibles à la protection par le droit d’auteur (1).

La qualité logicielle dans l’électronique embarqué

Dans un contexte où l’opacité des logiciels embarqués prime de plus en plus, se pose inévitablement la question de leur transparence et, partant de leur auditabilité.

Il existe trois niveaux de qualité d’un logiciel (que l’on peut retrouver notamment dans les normes relatives à la qualité logicielle : ISO/CEI 9126, ISO 14598, ISO/IEC 25041, ISO 9000-3

(…)

Lire le texte intégral de l’article  « La qualité logicielle au service de la sécurité  »  par Benoit de Roquefeuil et Alexandra Massaux, pour IT-Expert magazine du 18 juillet 2016.

(1) Cf. « API economy : nouvelles opportunités et enjeux juridiques« , Post du 4-8-2015.

Le jeu Pokémon Go ® est devenu un phénomène de société, au point que sa popularité suscite l’intérêt des cybercriminels.

Il y a de quoi les attirer lorsqu’on sait que le jeu est installé sur plus de 75 millions de terminaux mobiles dans le monde.

Cybersécurité et jeu Pokémon Go ®

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) rattachée au service du Premier ministre (SGDSN), a fait publier un message d’alerte sur les Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go (1).

Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) met en garde contre :

• les applications malveillantes (fausses applications du jeu qui cachent des outils d’espionnages, de phishing et autres sites « douteux ») ;
• la collecte en permanence de nombreuses données personnelles (identité liées au compte Google ou géolocalisation du joueur) ou encore
• l’utilisation du jeu dans un environnement professionnel.

Il rappelle quelques règles fondamentales de sécurité informatique et donne des recommandations en ce qui concerne le jeu Pokémon Go ®.

Recommandations relatives au jeu Pokémon Go ®

Le CERT recommande de n’installer que la version originale du jeu présente sur les boutiques d’Apple et de Google (sites Google Play et iTunes). En complément, il convient de désactiver la possibilité d’installer une application téléchargée depuis un site tiers (sous Android, paramètre « Sources inconnues » du menu « Sécurité »).

En outre, il est également conseillé de vérifier les permissions demandées par l’application. La version originale du jeu nécessite uniquement :

• d’accéder à l’appareil photo pour les fonctionnalités de réalité augmentée ;
• de rechercher des comptes déjà présents sur l’appareil ;
• de localiser l’utilisateur grâce au GPS ou aux points d’accès Wi-Fi ;
• d’enregistrer localement des fichiers sur le téléphone.

Toute autre permission peut sembler suspecte et mettre en évidence la présence sur l’ordiphone d’une version altérée de l’application.

Le CERT-FR suggère de mettre en place un cloisonnement entre l’identité réelle du joueur et celle de dresseur Pokémon. Pour cela, il est possible d’ouvrir un compte directement auprès du Club des dresseurs Pokémon ou bien de créer une adresse Gmail dédiée à cet usage.

Enfin, le CERT-FR déconseille de pratiquer cette activité dans des lieux où le geo-tagging du joueur pourrait avoir des conséquences (lieu de travail, sites sensibles, etc).

La Gendarmerie Nationale a aussi publié un communiqué rappelant les dangers que les joueurs peuvent rencontrer en cas d’imprudence (2) ; notamment en ce qui concerne la sécurité routière, les vols, chutes et troubles à l’ordre public.

Isabelle Pottier
Directrice Études et Publications

(1) Cyber-risques liés à l’installation et l’usage de l’application Pokémon Go, Bulletin d’actualité CERTFR-2016-ACT-031 du 1er août 2016.
(2) Face au phénomène « Pokémon-Go », bon sens et vigilance sont de mise !, Communiqué du du 1-8-2016.

L’ usage de la biométrie ne devrait finalement pas être restreint aux cas de nécessité stricte de sécurité. C’était pourtant l’objet d’un amendement proposé par le Sénat dans le projet de loi pour une République numérique.

Des dispositifs encadrés

A ce jour, l’article 25 I 8° de la loi Informatique et libertés impose au responsable de traitement d’obtenir une autorisation de la Commission nationale de l’informatique et des libertés (Cnil) pour la mise en place de « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».

Si la Cnil porte une attention particulière aux impératifs de sécurité qui président à la mise en place de dispositifs biométriques, les finalités pour lesquelles la biométrie peut être utilisée ne sont pas limitées dans la loi Informatique et libertés.

La Cnil a ainsi autorisé l’ usage de la biométrie :

• dans le cadre d’un système d’authentification des titulaires de cartes bancaires (1) ;
• pour le contrôle d’accès aux locaux professionnels (2) et la restauration sur les lieux de travail (3) ;
• pour le contrôle de l’accès aux postes informatiques portables professionnels (4).

Une proposition de limitation des finalités autorisées

Afin de restreindre les cas dans lesquels l’ usage de la biométrie pourrait être autorisé, le Sénat avait adopté le 27 mai 2014 une proposition de loi visant à limiter l’usage des techniques biométriques.

Déposé à l’initiative de M. Gaëtan Gorce, membre de la Cnil depuis 2011, le texte proposait que seuls « les traitements dont la finalité est la protection de l’intégrité physique des personnes, la protection des biens ou la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l’intérêt propre de l’organisme les mettant en œuvre » puissent être autorisés par la Cnil (5).

Le texte visait ainsi à limiter l’ usage de la biométrie à trois finalités, à savoir :

• la protection de l’intégrité physique des personnes ;
• la protection des biens ;
• la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible.

Le dispositif biométrique devait en outre répondre à une nécessité excédant l’intérêt propre de l’organisme souhaitant le mettre en œuvre. Un délai transitoire de 3 ans était prévu.

Un refus d’inscrire dans la loi une limitation à l’ usage de la biométrie

N’ayant pas encore été examinée par l’Assemblée nationale, la proposition de loi visant à limiter l’usage des technologies biométriques a finalement été introduite sous forme d’amendement dans le projet de loi pour une République numérique (article 34 bis nouveau), à l’occasion de l’examen du texte par les sénateurs début 2016.

La Commission mixte paritaire, chargée de trouver un compromis entre les propositions de l’Assemblée nationale et celles du Sénat, a toutefois mis fin à la progression de la proposition de loi.

Lors des discussions autour du projet de loi pour une République numérique, elle a en effet choisi de ne pas limiter d’avantage l’ usage de la biométrie, en retirant les dispositions proposées à l’article 34 bis.

Si le texte de compromis est approuvé en l’état par l’Assemblée nationale et par le Sénat, les finalités pour lesquelles les organismes pourront recourir à la biométrie ne devraient donc pas être inscrites de manière limitative dans le texte de loi.

Notre conseil

Si ce résultat offre plus de flexibilité à la Cnil pour choisir les cas dans lesquels elle souhaite autoriser ou non l’ usage de la biométrie, il ne faut pas perdre de vue que ces cas restent limités dans les faits.

Pour améliorer leurs chances de succès auprès de la Cnil, les organismes doivent ainsi présenter des dossiers argumentés de demande d’autorisation, faisant ressortir en particulier :

• la finalité déterminée, explicite et légitime, pour laquelle le dispositif biométrique est envisagé ;
• la manière dont les risques en matière de protection des données sont pris en compte et les garanties qui sont apportées ;
• les mesures de sécurité mises en place.

Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Voir notre article du 15-4-2016 « La biométrie prête sa voix pour sécuriser les transactions » ;
(2) Voir par exemple Délib. Cnil 2015-363 du 15-10-2015.
(3) Délib. Cnil 2012-322 du 20-9-2012 (autorisation unique AU-007)
(4) Délib. Cnil 2011-074 du 10-3-2011 (autorisation unique AU-027)
(5) La proposition de loi initialement déposée visait « les traitements justifiés par une stricte nécessité de sécurité ». Cette notion a été précisée dans la rédaction finale du texte adopté par le Sénat.

La reconnaissance faciale vient d’être introduite dans une proposition de loi simultanément au Sénat et à l’Assemblée nationale. Une proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes a été déposée le 17 juin 2016 au Sénat (1) et une proposition de loi au contenu identique relative à la reconnaissance faciale dans les enquêtes terroristes et la prévention des attentats a été enregistrée à l’Assemblée nationale le 6 juillet 2016 (2).

Qu’est-ce que la reconnaissance faciale ?

La Cnil donne une définition de la reconnaissance faciale : « En s’appuyant sur une base de photographies préenregistrées reliée à un système de vidéoprotection et à un dispositif de reconnaissance automatique des visages, il est techniquement possible d’identifier un individu dans une foule » (3).

Les dispositifs de reconnaissance faciale sont capables d’identifier des individus en fonction de l’écartement des yeux, des caractéristiques des oreilles ou encore du menton, des arêtes du nez ou de la commissure des lèvres.

L’état de l’art des dispositifs de reconnaissance faciale est en constante évolution avec notamment le développement de capteurs 3D, la reconnaissance de visages en mouvement, le traitement de visages vus de profil et la capacité à vieillir un modèle.

La qualité de l’image, la puissance de l’algorithme d’identification et l’accès à une base de données fiables sont des facteurs de réussite de la reconnaissance faciale.

La reconnaissance faciale selon la proposition de loi

La proposition de loi modifie le Code de la sécurité intérieure en y ajoutant un nouveau chapitre V « De la reconnaissance faciale ».

L’introduction par la proposition de loi d’un article L855-1 au Code de la sécurité intérieure permettrait le recueil en temps réel de l’image d’une personne à des fins d’exploitation biométrique uniquement pour des besoins de prévention du terrorisme.

Les images issues des systèmes de vidéoprotection seraient alors traitées au moyen d’un dispositif de reconnaissance automatique des visages.

Ce traitement automatisé permettrait de comparer les images aux données anthropométriques figurant sur le fichier automatisé des empreintes digitales (FAED).

La proposition de loi ne concerne que l’accès à l’identité des individus faisant l’objet d’une « fiche S » au sein du fichier des personnes recherchées (FPR), complétée par les données anthropométriques issues du fichier automatisé des empreintes digitales (FAED).

L’accès aux fichiers FPR et FAED pourrait permettre la constitution d’une base de données fiables qui serait reliée à des caméras de vidéosurveillance et exploitée par les services enquêteurs.

La restriction aux fichiers FPR et FAED permettrait de ne pas permettre sous le biais de cette proposition de loi la collecte et l’interprétation des données biométriques de la totalité de la population.

Décision du Conseil constitutionnel relative à la protection de l’identité du 22 mars 2012

Le Conseil constitutionnel s’est déjà prononcé dans sa décision 2012-652 DC du 22 mars 2012 sur la loi relative à la protection de l’identité (4) en déclarant contraire à la Constitution certaines dispositions de ladite loi et avait déjà évalué le traitement de données à caractère personnel dans le cadre de l’identification du demandeur d’un titre d’identité ou de voyage.

Ce traitement de données à caractère personnel (données biométriques) était destiné à recueillir les données relatives à la quasi-totalité de la population française.

Le Conseil constitutionnel avait considéré que la nature des données enregistrées et l’ampleur de ce traitement portaient atteinte au droit au respect de la vie privée.

Rejet de l’amendement n°16 présenté par Eric Ciotti

L’utilisation de la reconnaissance faciale avait déjà été évoquée dans le cadre des discussions autour du projet de loi portant sur la modernisation de la justice du 21ème siècle.

Le député Eric Ciotti avait déposé un amendement n°16 (5) sur la mise en œuvre d’un procédé de reconnaissance faciale permettant le recoupement des images de vidéosurveillance et le fichier automatisé des empreintes digitales (FAED).

Le député Eric Ciotti expliquait que chaque fiche du fichier des empreintes digitales comporte une photo prise dans un cadre normalisé et identique pour toutes, le seul exploitable par les logiciels de reconnaissance faciale.

Cet amendement a été proposé par le député Eric Ciotti afin de permettre à contribuer plus efficacement à la lutte contre le terrorisme et plus généralement à l’impératif de sécurité intérieure.

Le garde des sceaux Jean-Jacques Urvoas a précisé que cette proposition comportait des risques d’atteinte aux libertés publiques, émettant ainsi un avis défavorable à l’amendent n°16.

L’amendement n°16 ne sera finalement pas adopté.

Encadrement de la reconnaissance faciale

La proposition de loi sur cette nouvelle technique d’investigation reprend le cadre juridique élaboré par la loi relative au renseignement du 24 juillet 2015.

L’usage des dispositifs de reconnaissance faciale sera soumis à autorisation préalable du Premier ministre.

L’autorisation préalable du Premier ministre précisera le champ de la technique de la mise en œuvre du traitement automatisé des images et « Fiches S ».

L’usage des dispositifs de reconnaissance faciale sera soumis au contrôle de la Commission national de contrôle des techniques de renseignement (CNCTR).

La CNCTR émettra un avis sur la demande d’autorisation relative au traitement automatisé.

Modalités d’application

La proposition de loi ne précise pas les modalités d’application des dispositifs de reconnaissance faciale.

La nature des informations enregistrées, la durée de leur conservation et les autorités et les personnes qui y ont accès seront déterminés par décret en Conseil d’Etat pris après avis de la Cnil.

Certes le décret en Conseil d’état sera pris après avis de la Cnil mais cette dernière ne peut que rendre qu’un avis non contraignant.

Le Conseil d’Etat, dans un arrêt du 2 juillet 2007, a rappelé que la seule obligation est de « soumettre à la consultation préalable de la Cnil les projets de textes qui, sans avoir pour objet la création d’un traitement automatisé, définissent le cadre général de la protection des droits et libertés des personnes à l’égard du principe du traitement de données à caractère personnel ».

Avis de la Cnil sur la reconnaissance faciale

La Cnil précise qu’il faut être vigilant face au caractère intrusif des technologies de reconnaissance faciale, la liberté d’aller et venir anonymement pouvant progressivement être remise en cause (3).

La proposition de loi a été renvoyée à la commission des lois constitutionnelles, de la législation et de l’administration générale de la république.

 Didier Gazagne
Audrey Jouhanet
Lexing Cybersécurité Risques technologiques et Concurrence

(1) Proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes enregistrée au Sénat du 17-6-2016.
(2) Proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes et la prévention des attentats enregistrée à l’Assemblée nationale du 6-7-2016.
(3) Définition de la reconnaissance faciale par la CNIL.
(4) Décision n° 2012-652 DC du 22-3-2012 du Conseil constitutionnel.
(5) Amendement n°16 du député Eric Ciotti.

Le contrat PCI DSS et cloud computing doit reporter les exigences de la norme sur le prestataire de services cloud.

Rendue obligatoire pour l’hébergement et le traitement des données des principales cartes de paiement, la norme PCI DSS (1) implique notamment pour le commerçant de :

• remplir un questionnaire d’auto-évaluation annuel ;
• effectuer un scan de vulnérabilité (en cas de commerce en ligne) ;
• lorsque plus de 6 millions de transactions sont effectuées, faire faire un audit de sécurité sur site.

La certification PCI DSS

Elle est obtenue auprès d’un auditeur lui-même accrédité par PCI Security Standards Council (2). Le commerçant qui ne respecterait pas ces règles peut se voir appliquer des pénalités par l’émetteur des cartes de crédit.

Ces conséquences étant particulièrement graves, le commerçant qui souscrit à une offre dans le cloud doit s’assurer que l’infrastructure et les éventuels logiciels concernés soient eux-mêmes compatibles.

Pour une activité de vente en ligne, il ne serait pas aberrant que le contrat PCI DSS et cloud computing précise que la certification PCI DSS est une condition déterminante du consentement sans laquelle le cybercommerçant n’aurait pas signé. En cas de non-respect, c’est la résolution de ce contrat PCI DSS et cloud computing qui pourrait être demandée.

Le contrat PCI DSS

Dans le contrat, cette problématique PCI DSS et cloud computing doit être traitée par une clause de garantie dont le périmètre pourra varier comme suit :

• en SaaS, le prestataire cloud devra garantir une certification « end to end » ;
• en PaaS, le prestataire ne pourra garantir le périmètre de certification, à l’exclusion de la couche applicative créée seule par son client et sans son assistance ;
• en IaaS, à l’instar d’un simple hébergeur, le prestataire ne pourra garantir cette certification que sur l’infrastructure mise à disposition.

L’audit de sécurité

Dans tous les cas, le cybercommerçant doit exiger de son prestataire cloud une totale collaboration pour que toutes les informations soient disponibles pour l’auditeur certificateur. Le contrat PCI DSS et cloud computing comportera des dispositions particulières à ce titre.

Une clause d’audit de sécurité doit être incluse pour faciliter la mise en œuvre, que ce soit des audits à distance (tests de pénétration en particulier) ou les éventuels audits sur site dans le cadre de la certification.

Dispositions informatique et libertés

Enfin le contrat PCI DSS et cloud computing ne pourra faire l’économie de dispositions particulières Informatique et libertés (3). A cet effet, il conviendra de se reporter aux recommandations de la Cnil sur le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (4).

Eric Le Quellenec
Lexing Droit Informatique

(1) L’organisme responsable du développement, de la gestion, de l’éducation et de la sensibilisation aux normes de sécurité PCI est dénommé PCI Security Standards Council : contrat de licence PCI Security Standards Council, LLC.
(2) Les informations utiles concernant le PCI Security Standards Council.
(3) Délibération Cnil n° 2013-358 du 14-11-2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de viens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19-6-2003.
(4) Voir : Céline Avignon, « Nouvelles recommandations de la Cnil relative aux cartes de paiement », AlainBensoussan.com, 23-12-2013.

IoT et cloud sont indissociables au point que la sécurité de l’IoT implique de disposer d’un bon contrat cloud.

La sécurité des objets connectés (ou Internet of Things, « IoT ») dépend de celle du cloud permettant d’en recueillir et traiter les données : bien négocier son contrat cloud est dès lors primordial.

Le talon d’Achille des objets connectés est la sécurité. Cela doit s’apprécier au niveau du transfert des données collectées, c’est-à-dire du réseau de télécommunications, mais aussi au niveau de l’espace de stockage et d’hébergement de ces données, voire des outils de traitement de ces données. C’est là qu’intervient le cloud computing, car, en effet, à la différence des simples interactions Machine to Machine (M2M), IoT et cloud sont consubstantiels (1).

Le contrat IoT et cloud sera le plus souvent de type SaaS dans la mesure où il s’agit de stocker une grande quantité de données (big data) mais aussi de les traiter et les analyser au moyen d’outils logiciels performants (smart data). Le porteur de projet pourra toutefois se contenter d’un contrat PaaS, s’il sait développer sa propre application à partir des outils de développement mis à sa disposition ou même simplement IaaS, si c’est juste l’infrastructure de stockage qu’il recherche dans son projet IoT et cloud.

Les recommandations formulées notamment par les autorités de contrôle européennes (groupe de l’article 29) (2) mais aussi les bonnes pratiques formulées par l’Anssi (3) doivent se traduire dans le contrat mettant en place l’architecture d’un système IoT et Cloud.

Plus précisément, le contrat IoT et cloud comprendra toutes les clauses adaptées pour en sécuriser le périmètre et la qualité des livrables (4). La question de la sécurité étant centrale, il convient à ce titre de :

• fixer le périmètre technique des responsabilités confiées au prestataire et notamment ses missions de surveillance et supervision ;
• imposer au prestataire le respect de la norme PCIDSS en cas de traitement de données de paiement ;
• prévoir une garantie de respect des normes constituant l’état de l’art et selon les cas ISO 27001 et 27018 ;
• exiger du prestataire une annexe sécurité laquelle comprendra un plan de reprise et de continuité d’activité ;
• organiser contractuellement la gestion des éventuelles failles de sécurité (en particulier grâce à un « data breach process ») ;
• prévoir que le prestataire se porte fort des engagements de sécurité et de confidentialité par ses collaborateurs et sous-traitants ;
• prévoir une clause d’audit de sécurité pouvant être mise en œuvre au minimum tous les 18 mois.

Le contrat IoT et cloud, rédigé sur de telles bases, « contribuera à instaurer une relation durable de confiance » entre prestataires, au bénéfice d’utilisateurs toujours plus nombreux.

Eric Le Quellenec
Lexing Informatique conseil

(1) Chantal Polsonetti, « Know the difference between IoT and M2M », Automation world, post du 15-7-2014.
(2) Cnil, Communiqué G29, Avis sur l’internet des objets, 2-10-2014.
(3) ANSSI, Bonnes pratiques de la sécurité informatique.
(4) Éric Le Quellenec, « Cloud computing : renforcer la confiance entre client et prestataire »,  post du 17-8-2015.

Une proposition de loi sur les drones civils aériens relative à l’encadrement des drones civils a été déposée au Sénat le 25 mars 2016. La proposition de loi a été adoptée en première lecture au Sénat le 17 mai 2016 et transmise à l’Assemblée nationale pour première lecture le même jour.

Présentée par les sénateurs Xavier Pintat et Jacques Gautier, la proposition de loi sur les drones civils aériens vise à permettre une responsabilisation des usagers de drones et à prévenir les usages indésirables.

En effet, le déploiement massif des drones civils aériens a engendré récemment plusieurs incidents de sécurité. Le 19 février 2016, un drone volant à haute altitude a frôlé un Airbus A320. Aperçu selon le copilote à seulement 5 mètres de l’appareil est parvenu de justesse à éviter la collision (2).

Au cours des années 2014 et 2015, une vingtaine de sites sensibles français, abritant des activités nucléaires et la base militaire de l’Ile-Longue, ont été survolés illégalement par des drones. Pour répondre à ce phénomène nouveau et en l’absence de normes internationales ou européennes, la France a mis en place une réglementation pionnière en 2012. Cette réglementation a été révisée par deux arrêtés du 17 décembre 2015 (3).

Jugé encore insuffisant, les sénateurs Pintat et Gautier propose de renforcer le dispositif légal par leur proposition de loi sur les drones civils aériens. Cette proposition de loi est d’ailleurs inspirée des conclusions du rapport n° 446 du sénateur Pintat et de la loi n°2015-588 du 2 juin 2015 relative au renforcement de la protection des installations civiles abritant des matières nucléaires.

La proposition de loi sur les drones civils aériens met en œuvre une triple approche : une approche préventive basée sur la formation et l’information du télépilote sans toutefois viser expressément le décryptage des règles d’usage de l’espace aérien relativement complexe pour un néophyte, une approche basée sur le signalement du drone et une approche purement répressive.

Approche préventive de formation et d’information des télépilotes.

Les utilisateurs de drones de loisir ignorent généralement les risques inhérents à l’usage d’un drone et surtout les règles d’utilisation de l’espace aérien.

Afin de résoudre cette difficulté, la proposition prévoit d’imposer une formation aux télépilotes de drones de loisir, au-delà d’un certain seuil de masse. La proposition de loi précise à cet effet qu’un télépilote est « la personne qui a l’usage, le contrôle et la direction de l’aéronef circulant sans personne à bord [le drone] » Cette formation pourrait, par exemple, consister en un tutoriel sur internet.

La proposition de loi sur les drones civils aériens crée également une obligation d’information de l’utilisateur, à la charge des fabricants de drones. Les fabricants auront l’obligation de munir leurs drones d’une notice relative à l’usage de loisir des drones rappelant les principes et les règles à respecter.

Le contenu de cette notice n’est pas sans rappeler les dix principes relatifs à l’usage d’un drone de loisir déjà publiés par la Direction générale de l’aviation civile (DGAC).

Si elles ont le mérite d’exister, les annexes à l’arrêté du 17 décembre 2015 relatif à l’utilisation de l’espace aérien ne sont pas aisément accessibles à l’aéromodéliste s’il ne dispose pas des connaissances suffisantes pour en comprendre toute la portée. L’objectif affiché de cette proposition de loi, s’il été adopté définitivement, qui est de responsabiliser les utilisateurs de drones de loisir en imposant une formation, ne pourra être atteint que si la formation permet de vulgariser et sensibiliser l’utilisateur aux aspects les plus complexes du cadre légal relatif à l’utilisation de l’espace aérien, qui énonce en effet des principes assorties de très nombreuses exceptions.

Pour réduire efficacement les risques de collision avec les avions de ligne ou les avions militaires, la formation dispensée devra rendre accessible et décrypter pour un utilisateur de drone de loisir non averti, les structures d’espace aérien, les interdictions de survol (y compris les interdictions de survol à basse altitude), ainsi que les restrictions de survol.

A titre d’exemple uniquement, afin de pouvoir être en mesure d’identifier les portions d’espace aériens qui sont des zones de manœuvres et d’entraînement militaires ou des secteurs d’entrainement très basse altitude à vue ou des itinéraires très basse altitude à vue, encore faut-il que le télépilote d’un aéromodèle soit en mesure de comprendre et de déterminer sur le terrain les limites géographiques latérales et verticales des zones de manœuvre et d’entraînement militaires, telles qu’indiquées dans le manuel d’information aéronautique militaire (MIAM). Or, il suffit d’avoir téléchargé sur le site de la DIRCAM l’une des cartes relative à ces zones pour comprendre qu’elles ne sont pas accessibles au télépilote qui n’a pas été préalablement formé à leur lecture.

Pour réduire drastiquement les risques et assurer la sécurité, des solutions techniques existent. Ces solutions techniques qui consistent dans la géolocalisation en temps réel du drone dans son environnement et dans la création de zone « No-Fly Zones » et « Restricted Zone » comme le prévoit l’EASA dans son Opinion Technique du 18 décembre 2015.

Approche basée sur l’enregistrement et les dispositifs de signalement des drones.

Le survol récent de zones sensibles par des drones a permis de faire apparaître la difficulté de l’identification et de la distinction rapides entre les drones malveillants et les drones non réellement menaçants.

Afin de prévenir tout risque, la proposition de loi prévoit de rendre obligatoire au 1er janvier 2018 un signalement électronique et lumineux des drones et renvoie à des décrets d’application le soin de fixer tant les seuils de masse que les exigences d’enregistrement des drones civils aériens.

Adoptant une logique similaire, les États-Unis ont rendu obligatoire l’enregistrement de tous les drones de masse supérieure à 250 grammes, soit, au final, l’ensemble des drones capables de voler en extérieur.

Approche répressive de l’usage illicite ou malveillant de drones.

Les sénateurs ont cherché à établir des sanctions suffisantes pour dissuader les usagers non réellement malveillants de réaliser des survols illicites, afin de pouvoir faciliter l’identification des événements susceptibles de constituer une menace réelle.

La proposition de loi sur les drones civils aériens prévoit plusieurs infractions pénales.

D’une part, le télépilote encourt la violation d’une obligation de sécurité ou de prudence et le délit de risques causés à autrui prévu à l’article 223-1 du Code pénal. La proposition prévoit une peine complémentaire de confiscation du drone civil ayant servi à commettre l’infraction.

D’autre part, le télépilote peut se rendre coupable de violation des interdictions de survol de l’article L.6232-2 du Code des transports. Cet article prévoit une peine de 6 mois d’emprisonnement et de 15 000 euros d’amende en cas de survol par maladresse ou négligence. Des peines plus sévères sont prévues en cas de survol volontaire ou de refus de se conformer aux injonctions de l’autorité administrative (un an d’emprisonnement et 45 000 euros d’amende).

La Commission de l’aménagement du territoire et du développement durable, après examen du rapporteur, Monsieur Cyril Pellevat, a adopté les six amendements qui lui ont été proposés et a procédé à une réécriture intégrale des cinq articles de la proposition de loi n°504 des sénateurs Pintat et Gautier.

La proposition (4), adoptée en première lecture au Sénat, prévoit :

• une nouvelle définition du télépilote : cette définition très prospective prend en compte l’ensemble des configurations, selon que le drone est piloté, qu’il s’agisse d’un drone automatique ou d’un drone autonome programmé par l’intelligence humaine ou artificielle ;
• une obligation d’enregistrement en ligne des drones plus accessible que la procédure d’immatriculation initiale ;
• la généralisation des obligations de formation des télépilotes et de la notice d’information d’usage du drone ;
• des régimes d’exemption pour les drones opérant dans un cadre et des zones identifiés ;
• l’extension de la peine complémentaire de confiscation du drone en cas d’atteinte à la vie privée.

Didier Gazagne
Gabriel de Bousquet
Lexing Droit Aérien

(1) Proposition de loi n° 504 relative au renforcement de la sécurité de l’usage des drones civils.
(2) Drone et avion – le plus petit n’est pas le moins dangereux !, Interview de Didier Gazagne.
(3) Arrêté du 17 décembre 2015 relatif à l’utilisation de l’espace aérien par les aéronefs qui circulent sans personne à bord et Arrêté du 17 décembre 2015 relatif à la conception des aéronefs civils qui circulent sans personne à bord, aux conditions de leur emploi et aux capacités requises des personnes qui les utilisent.
(4) Proposition de loi n° 141 relative au renforcement de la sécurité de l’usage civil des drones civils du 17-5-2016.

(*) Carte de la DIRCAM : Zones de manœuvres et d’entraînement militaires, Camps de SUIPPES et de MOURMELON.

La sécurité des autoroutes intelligentes est intrinsèquement liée à une priorité d’ordre public, la sécurité routière. La protection des usagers du réseau autoroutier a été érigée en droit français au rang d’impératif public, la France ayant ratifié par décret la convention de Vienne sur la signalisation et la circulation routière du 8 novembre 1968.

A l’époque, seuls les tronçons « normaux » d’autoroutes étaient concernés, mais cette protection des automobilistes a vocation à évoluer en raison du développement des autoroutes intelligentes et passera nécessairement par la sécurisation logique des données collectées, traitées et/ou produites par ces dernières : images, vidéos, données de paiement sans contact aux péages, aide à la conduite, etc.

Assurer la sécurité des données, c’est pouvoir disposer, en permanence, d’un outil fiable pour lequel toutes précautions utiles doivent être prises afin d’empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès à des fins répréhensibles.

Parmi ces données, un certain nombre sera amené à jouer un rôle essentiel sur le comportement même des automobilistes en ce que les autoroutes intelligentes embarqueront notamment des capteurs thermosensibles, adaptant la chaussée aux changements climatiques et/ou régulant les vitesses des véhicules en tant que de besoin si les conditions l’exigent.

Elles joueront donc un rôle préventif fondamental auprès des usagers et l’intégrité et la sécurité desdites données devra être assurée.

La sécurité des autoroutes intelligentes sera inévitablement confrontée à des risques de par leur connexion permanente aux réseaux de télécommunications, problématique qui devra être prise en compte très en amont – on pourrait parler de security by design – tant lors de la conception que de l’exploitation des autoroutes intelligentes.

Il est ainsi impératif de prévoir l’adoption de mesures de sécurité tant physique que logique.

A défaut, les constructeurs et autres fabricants de composants connectés conçus pour les autoroutes intelligentes, voire même les concessionnaires et exploitants des réseaux autoroutiers pourraient voir leur responsabilité engagée en cas d’atteinte aux systèmes en charge de la régulation des autoroutes intelligentes.

Par ailleurs, l’ETSI (European Telecommunications Standards Institute), principal organisme de normalisation des technologies de l’information et de la communication en Europe, a mis en place un comité technique sur la cybersécurité (dénommé « TC CYBER » pour Technical Committee Cyber Security) afin de répondre aux exigences croissantes en matière de normes dans ce domaine. Il conviendra de suivre les travaux de ce comité en ce qu’ils pourraient permettre de définir un niveau de sécurité adapté aux exigences des autoroutes intelligentes.

Dans tous les cas, il est recommandé de prévoir :

• contractuellement un strict respect a minima des normes ISO dédiées à la sécurité de l’information (1) ;
• la réalisation d’audits de sécurité afin d’anticiper au mieux les éventuelles attaques ciblant les potentielles failles logicielles relatives aux autoroutes intelligentes.

Des politiques de sécurité des autoroutes intelligentes devront être mises en place, prévoyant des mesures de sécurité adaptées : sécurisation des données hébergées, chiffrement des données, protection accrue des réseaux et des terminaux, etc.

Il n’est aujourd’hui plus concevable d’appréhender les autoroutes comme de simples infrastructures de transport, mais plutôt comme une technologie à part entière nécessairement impactée par les problématiques juridiques relatives à l’informatique, aux télécoms, aux réseaux, à l’électronique embarquée et, plus largement – de par leur statut – aux spécificités du droit des opérateurs d’importance vitale.

Enfin, les enjeux des autoroutes intelligentes devront également être examinés à la lumière du futur règlement européen sur la protection des données personnelles, les données collectées, traitées et/ou produites par ces dernières étant mécaniquement des données de masse à maîtriser.

Les acteurs du secteur devront notamment anticiper la notion de privacy by design et procéder à des études d’impact le cas échéant.

Lexing Alain Bensoussan Avocats
Thomas Boutan
Lexing Droit numérique

(1) Outre les normes ISO 27001 et 27002, les normes ISO 27017 (security) et norme ISO 27018 (privacy) pour le Cloud computing par exemple (voir le Post du 7-12-2015).

Si l’ obligation de ponctualité n’est pas respectée, le transporteur ferroviaire devra en prouver la cause étrangère. Le transporteur ferroviaire ne peut s’exonérer de son obligation de ponctualité, qui est une obligation de résultat, que par la preuve d’une cause étrangère revêtant les caractéristiques de la force majeur.

L’obligation de ponctualité est une obligation de résultat

Un voyageur a acheté deux billets de train, l’un pour un trajet en première classe entre Marseille et Istres et un second pour aller de Istres à Nîmes. Ayant dû voyager en seconde classe lors du premier voyage et prendre un taxi pour Nîmes à cause d’un retard de plus de 30 minutes du second train, il a demandé l’indemnisation de son préjudice pour non-respect de l’obligation de ponctualité. Le préjudice étant entendu comme incluant le coût du billet du second train inutilisé, le delta entre le prix du billet en première et seconde classes, le préjudice moral et la perte de temps

Pour rejeter sa demande hors le remboursement du delta entre le prix de la première et la seconde classes pour le premier train et du coût du billet du second train, la juridiction de proximité a retenu que le voyageur ne prouvait pas la faute du transporteur.

Au visa des articles 1147 et 1150 du Code civil (futur article 1231-1 et 1231-3 au 1er octobre 2016) (1), la Cour de cassation (Cass. 1e civ, 14-01-2016, n°14-28227) a censuré la décision des premiers juges par un attendu de principe « Attendu que l’obligation de ponctualité à laquelle s’engage un transporteur ferroviaire constitue une obligation de résultat dont il ne peut s’exonérer que par la preuve d’une cause étrangère ne pouvant lui être imputée ». La Cour de cassation définit donc l’obligation de ponctualité du transporteur ferroviaire comme étant une obligation de résultat.

Il en résulte que c’est au transporteur de prouver que le retard est dû à une cause étrangère et non au voyageur de prouver la faute du transporteur pour engager sa responsabilité et être indemnisé.

Le non-respect de l’obligation de ponctualité non exonérée par l’obligation de sécurité

En l’espèce, la SNCF faisait valoir que le retard était dû à la nécessaire réparation d’une défaillance matérielle destinée à satisfaire à son obligation de sécurité des voyageurs. Elle indiquait que son obligation de sécurité devait prévaloir sur son obligation de ponctualité et dès lors l’exonérer de son non-respect.

Le juge de proximité a suivi le raisonnement de la SNCF en considérant que le voyageur n’établissait ni la réalité, ni la consistance d’une faute imputable à la SNCF. Cependant, il n’a pas qualifié en quoi la défaillance matérielle dont se prévalait la SNCF était imprévisible et irrésistible alors que ces critères sont nécessaires pour établir un cas de force majeure permettant de s’exonérer d’une obligation de résultat.

Dès lors la Cour de cassation casse et renvoie les parties devant le juge de proximité. Néanmoins, elle indique « que la méconnaissance de cette obligation [de ponctualité] est réparée à concurrence du préjudice strictement prévisible lors de la conclusion du contrat et qui constitue une suite immédiate et directe du retard dans l’exécution de celui-ci ». Ainsi, si juridiquement le voyageur pourrait avoir raison devant la juridiction de renvoi, obtiendra-t-il pour autant une meilleure indemnisation ? Il est permis d’en douter la jurisprudence considérant que le voyageur ne peut être indemnisé qu’à hauteur du remboursement de son billet en cas d’inexécution de l’obligation de ponctualité (Cass. 1e civ, 28-04-2011, n°10-15056).

En cas de non-respect de son obligation de ponctualité, le transporteur ferroviaire devra prouver la cause étrangère : cas de force majeure comme l’événement climatique ou le fait d’un tiers, ou encore le fait du client pour ne pas avoir à indemniser le voyageur.

Marie-Adélaïde de Montlivault-Jacquot
Claire Van Mol
Lexing Contentieux informatique

(1) Ordonnance n° 2016-131 du 10-2-2016 portant réforme du droit des contrats, du régime général et de la preuve des obligations.

À l’heure où les tempêtes hivernales font rage (1), le thème de la sécurité maritime, pose encore et toujours question.Il est à remarquer que les innovations technologiques se sont imposées dans toutes les activités maritimes : de la navigation à la propulsion, de la gestion du fret au contrôle du trafic maritime (2). Elles influent directement sur le niveau de sécurité maritime.

Il s’agit pour les chantiers navals d’utiliser les outils numériques pour améliorer la qualité de leurs produits : depuis la conception des navires et pendant tout leur cycle de vie (3).

Le droit doit accompagner l’innovation technologique liée à l’utilisation de ces outils numériques dans ce domaine. La sécurité maritime peut être organisée par l’application de normes, elle peut également être prévue dans les contrats.

La normalisation liée à la sécurité maritime

Qu’elles soient nationales ou internationales, sectorielles ou transversales, le recours aux normes, par le biais de leur insertion au sein des réglementations en vigueur ou par leur référence au sein des contrats, en font des gages majeurs de sécurité technique, économique et juridique de tout projet informatique.

L’organisation internationale de normalisation a mis en place depuis de nombreuses années un comité TC8 chargé d’élaborer des normes pour tout ce qui a trait, à la sécurité maritime, aux navires et à la technologie maritime. Les nouvelles technologies sont d’ailleurs au centre des préoccupations de ce comité.

Ces normes notamment celles spécifiques à la conception des navires doivent être intégrées aux outils informatiques de conception (4). De même vis-à-vis des tiers, il convient d’y faire référence dans les contrats.

Il est également pertinent d’articuler en interne les normes techniques avec les normes de sécurité de l’entreprise. Il s’agirait de constituer un référentiel composé notamment de chartes de production et de documentation utilisateurs fiables qui permettrait de déployer une organisation assurant une sécurité optimisée.

La sécurité des navires intelligents gérée par le contrat

Les nouvelles technologies bien qu’elles aient notamment pour objet d’augmenter le niveau de sécurité peuvent avoir pour écueil de le diminuer si le cadre contractuel n’est pas correctement précisé.

Les questions de sécurité maritime semblent par exemple ne pas avoir été prises en compte par les concepteurs et les intégrateurs des logiciels au sein du système informatique des ports (5).

Ainsi, le remplacement prévisible des systèmes de même que l’intégration de logiciel sécurisé devra être l’occasion de négocier toutes les garanties juridiques. En termes de sécurité maritime, les prestataires devront par exemple garantir l’importance fondamentale pour les clients de sécuriser leur système informatique en évitant notamment des intrusions malveillantes physiques ou logiques, en assurant la confidentialité des données et l’intégrité des systèmes informatiques.

Eric Le Quellenec
Daniel Korabelnikov
Lexing Informatique conseil

(1) Le monde.fr, Le cargo « Modern-Express » est sorti de la zone maritime française, 01-02-2016.
(2) Cybersécurité & Marétique : un enjeu européen, Centre d’étude stratégique de la marine, 2014.
(3) Le livre bleu de la marétique pour une économie maritime numérique, Seagital, 2012.
(4) Ces normes sont disponibles sur le site internet de l’organisation internationale de normalisation.
(5) Cybersécurité & Marétique du CESM, op. cit.

Les caméras-piéton, petits systèmes d’enregistrement situés au niveau de la poitrine, sont amenées à se généraliser.

C’est en tout cas l’un des objectifs du projet de loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » déposé par le nouveau Garde des sceaux, Monsieur Jean-Jacques Urvoas, le 3 février 2016 à l’Assemblée nationale, dont l’article 32 vise à encadrer le recours à ce procédé en vue de leur prochain développement.

Comme l’énonce ledit article 32, les « caméras-piéton » ont une vocation très large puisqu’il s’agit pêle-mêle de « prévenir les incidents au cours des interventions des agents de la police nationale et des militaires de la Gendarmerie nationale, constater les infractions et la poursuite de leurs auteurs par la collecte de preuves, s’assurer du respect par les agents et militaires des obligations leur incombant et la formation de ces agents et militaires ».

Aussi, cherchant à combler le vide juridique qui préexiste à l’utilisation de ces dispositifs – utilisés par les forces de l’ordre depuis 2013 à titre expérimental-, l’article 32 du projet tente de répondre aux deux problématiques majeures qui sous-tendent leur utilisation :

• quelles garanties disposent les personnes filmées quant à la protection de leur vie privée ?
• quelles procédures permettent d’assurer le respect de la réglementation sur les données à caractère personnel ?

A cette dernière question, le projet de loi répond de manière concrète que :

• « Une information générale du public sur l’emploi de ces caméras est organisée par le ministère de l’Intérieur » ;
• « Les personnels auxquels les caméras individuelles sont fournies ne peuvent avoir accès directement aux enregistrements auxquels ils procèdent » ;
• « Les enregistrements audiovisuels, hors le cas où ils sont utilisés dans le cadre d’une procédure judiciaire, administrative ou disciplinaire, sont effacés au bout de six mois ».

Ces dispositions, bien que précises, omettent toutefois de mentionner si les articles 41 et 42 de la loi Informatique et libertés du 6 janvier 1978, qui déterminent le droit d’accès d’une personne concernée par un traitement intéressant la sûreté de l’État, la défense ou la sécurité publique, s’appliquent aux images prises par les « caméras-piéton ».

Le décret en Conseil d’État qui devra préciser les modalités d’application de cet article et d’utilisation des données collectées devrait apporter un éclaircissement sur ce point.

Concernant les garanties de protection du droit à la vie privée, l’article 32 du projet de loi est moins convaincant puisque comme seules garanties, il mentionne que :

• « Les caméras sont portées de façon apparente par les agents et les militaires. Un signal visuel spécifique indique si la caméra enregistre. Le déclenchement de l’enregistrement fait l’objet d’une information des personnes enregistrées, sauf si les circonstances l’interdisent » ;
• « L’enregistrement n’est pas permanent. Il est déclenché lorsqu’un incident se produit ou, eu égard aux circonstances de l’intervention ou du comportement des personnes concernées, est susceptible de se produire ».

L’utilisation des caméras-piéton ainsi que l’information des personnes enregistrées sont ainsi laissées au libre-arbitre des policiers et gendarmes, sans que rien ne précise quelles sont les « circonstances » justifiant le déclenchement de l’enregistrement et, a fortiori, l’absence d’informations des personnes enregistrées.

Enfin, le projet de loi fait l’impasse sur la valeur probatoire que revêt de tels enregistrements. Ont-ils valeur de simples renseignements, comme la plupart des procès-verbaux de police constatant un délit ? Ou, à l’inverse, font-ils foi jusqu’à preuve contraire, comme les procès-verbaux en matière de circulation routière ?

Si aucune précision ne vient compléter les dispositions de l’article 32 du projet de loi « renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale », les « caméras-piéton », à n’en pas douter, seront à l’origine d’un contentieux qui n’est pas prêt de s’achever.

Virginie Bensoussan-Brulé
Julien Kahn
Lexing Droit pénal numérique

(1) Projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale, n° 3473 du 3-2-2016.

Le développement des robots intelligents impliquent d’inclure la protection de l’intimité numérique dès la conception.

La sécurité des données et de la vie privée est un élément déterminant du développement de la robotique particulièrement pour les robots intelligents et les robots de services. C’est pourquoi, elle doit être pensée dès leur conception.

Les nouvelles applications robotiques nécessitent la collecte et le traitement de données « identifiantes ». Cette évolution des robots va donc s’accompagner de questions liées à la confidentialité des enregistrements et au traitement de données aujourd’hui régis par la loi relative à l’informatique, aux fichiers et aux libertés.

Dans le cadre de l’utilisation d’un robot, le propriétaire/gestionnaire du système de traitement de données a des obligations envers la Commission nationale de l’informatique et des libertés, dès lors que des données à caractère personnel sont traitées par le robot.

Pour garantir la confidentialité des données personnelles présentes dans le robot, il sera impératif de prendre quelques précautions élémentaires de sécurité. S’agissant des données de santé, elles sont considérées par la loi comme des informations sensibles qui nécessitent un haut niveau de sécurité, une protection adéquate doit être assurée au robot détenant de telles données. Les enjeux sont non seulement juridiques mais également éthiques.

Les robots intelligents sont constitutifs d’un genre nouveau ;un droit des robots est donc appelé à régir leurs rapports avec l’homme et caractériser la reconnaissance d’une personne juridique particulière : la personnalité robot. Doter les robots de dernière génération de la personnalité juridique, c’est reconnaître un élément de différenciation par rapport aux objets. Le robot, jusqu’alors objet de droit, deviendrait ainsi sujet de droit.

Lire le texte intégral de l’article sur robotique et Data security :
« Data security and privacy en matière de robot  » par Alain Bensoussan, in : « Data security and privacy / Protection des données et vie privée » numéro 254 de la Revue de la Gendarmerie Nationale, 4ème trimestre 2015, p.165.

 

Les Smart grids sont des réseaux en pleine expansion, les risques associés relatifs à leur sécurité étant essentiels.

Pour rappel, les Smart grids sont des réseaux énergétiques, essentiellement électriques, intelligents. Ces réseaux sont dans la capacité d’échanger des informations et données très précises sur toute la chaîne de production. En France, l’exemple le plus connu est le compteur Linky d’ERDF.

Le principal risque lié à ces nouveaux réseaux, comme tout système d’information, est la sécurité des systèmes (1). Les Smart grids pourraient devenir la nouvelle cible des pirates informatiques. En effet, l’utilisation de Smart grids permet de pouvoir contrôler les appareils électroménagers et le chauffage. Il s’agit d’une nouvelle voie d’accès aux réseaux des particuliers mais aussi des entreprises. Cela multiplie donc les risques de perte de contrôle ou d’utilisation illégale.

Pour rappel, en 2010, le ver informatique Stuxnet, créé par la NSA pour s’attaquer aux centrifugeuses iraniennes d’enrichissement d’uranium, avait contaminé près de 45 000 systèmes d’information, ayant mené à la prise de contrôle d’automates industriels pour modifier les paramètres de fonctionnement d’installations industrielles en accélérant leur vitesse de rotation. Cette affaire est encore dans toutes les mémoires des industriels. En comparaison, un virus envahissant les réseaux des Smart grids pourrait être utilisé pour provoquer de vastes dégâts, pouvant éventuellement aller jusqu’à un blackout national. De même, la menace pourrait aussi partir des consommateurs essayant de détourner leur réseau intelligent pour modifier leurs tarifs ou leurrer le distributeur.

Pour cette raison, le succès de l’implantation d’un Smart grids passe nécessairement par une volonté des entreprises d’anticiper les risques majeurs liés à la protection de leur système d’information, dès sa conception et son déploiement en adoptant des bonnes pratiques (analyse de risques, liaison avec les autorités, mise en œuvre de systèmes de contrôles robustes avec des capacités de mise à jour, audits réguliers et transparents des systèmes). Les directions d’entreprises doivent prendre conscience des risques liés à ces implantations de réseaux, notamment au regard des données présentes sur leur système d’information, aussi bien des données à caractère personnel, que des données commerciales stratégiques confidentielles. Il conviendrait donc de confier la gestion des incidents à une équipe qualifiée, qui saura mieux protéger leurs données sensibles.

Lexing Alain Bensoussan Avocats
Lexing Droit Intelligence économique

(1) Voir le site de l’Anssi.

 

Le champ des données publiques ouvertes, l’open data, s’est encore élargi avec la mise en ligne de jeux de données.

Ces jeux de données sont relatifs aux crimes et délits enregistrés sur la période 1996 – septembre 2015 sur le territoire national.

Cette mise en ligne (1), intervenue le 9 octobre 2015, s’inscrit dans le mouvement d’ouverture des données publiques en application des dispositions de la loi n° 78-753 du 17 juillet 1978 (2) portant diverses mesures d’amélioration des relations entre l’administration et le public et diverses dispositions d’ordre administratif, social et fiscal (dite « loi CADA »). Le projet de loi pour une République numérique propose de renforcer ce mouvement en affirmant le principe d’un open data par défaut.

Les enjeux de l’open data sont non seulement d’ordre démocratique par le développement d’une société plus ouverte et transparente, mais également d’ordre économique par la création de nouveaux services numériques par les entreprises innovantes.

Ces données collectées par les services de police et de gendarmerie ont été organisées par le Service Statistique Ministériel de la Sécurité Intérieure (SSMSI), service mis en place en 2014. L’ouverture de ces données est pleine d’enseignement, le premier étant le nombre d’homicides : il était supérieur à 1500 en 1996 et est passé sous la barre des 1000 en 2014. L’analyse de ces données brutes permet donc de relativiser certaines idées reçues en matière de criminalité en France. Des cartographies de la criminalité, des analyses statistiques par département et par chef d’inculpation sont des représentations envisageables des jeux de données proposés.

Un exemple de service innovant initié aux Etats-Unis, berceau de l’open data, à partir des données de criminalité ouvertes est le développement d’un logiciel capable d’anticiper les crimes et délits. Ce logiciel nommé « PredPol » (pour predictive policing) est utilisé par la police de Santa Cruz aux Etats-Unis depuis juillet 2011 et aurait permis de diminuer de 27 % les cambriolages entre les années 2010 et 2011. L’algorithme du logiciel croise la base de données recensant les infractions passées ainsi que des données démographiques sur un fond de carte géographique et permet par un savant mélange de formules mathématiques tenues secrètes d’émettre des probabilités sur le lieu et l’heure de la commission des délits.

Le logiciel s’utilise depuis une tablette ou un smartphone et est actualisé en temps réel ; il permet d’identifier sur une carte les zones « à risques » et de diriger les forces de l’ordre dans ces quartiers, augmentant le rôle dissuasif et de prévention des services.

L’innovation a été classée dans le Top 50 des inventions de l’année 2011 par le magazine Times. Los Angeles, Memphis, Charleston, New York ont été séduites par le logiciel ; en Grande-Bretagne, la police du Kent teste le programme depuis décembre 2012.

Cet exemple de solutions innovantes démontre le potentiel de l’open data dans l’économie numérique et les perspectives technologiques nouvelles qui sont ouvertes notamment aux startups.

Lexing Alain Bensoussan Avocats
Lexing Droit Propriété intellectuelle

(1) data.gouv.fr.
(2) Loi 78-753 du 17-7-1978.
(3) Projet de loi pour une République numérique.

Le projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), comporte d’autres dispositions que celles qui ont été abordées dans de précédents articles.

I. L’obligation faite aux opérateurs de communications électroniques

L’obligation déjà à la charge des opérateurs de communications électroniques et des prestataires de services en matière de déchiffrement de données ou de transmission d’information et de documents pour préparer des interceptions de sécurité est adaptée par le projet de loi relatif au renseignement.

Les opérateurs et les prestataires de services devront être en mesure de respecter les dispositions relatives au secret de la défense nationale.

Les pouvoirs d’investigation de la CNCTR sont renforcés. Les membres et les agents de la CNCTR pourront pénétrer aux fins de contrôle, dans les locaux des opérateurs et des prestataires de service (2).

II. La protection de l’identité des agents

La protection de l’anonymat des agents des services spécialisés de renseignement est renforcée par le projet de loi relatif au renseignement.

Certains actes réglementaires et individuels concernant l’organisation, la gestion et le fonctionnement de ces services sont opposables, bien que non publiés, après enregistrement dans un recueil spécial tenu par le Premier ministre.

En effet le projet d’article L.861-4 du code de la sécurité intérieure prévoit :

• une publication aménagée des actes individuels des agents devant faire l’objet d’une publication, à un recueil spécial tenu par le SGDSN, Secrétariat général de la défense et de la sécurité nationale ;
• une signature par numéro d’identification de leur auteur attribué avec la délégation de signature, se substituant aux mentions des noms, prénoms et qualité.

III. L’exercice d’un droit de communication au profit de Tracfin

La modification de l’article L.561-26 du code monétaire et financier. Tracfin est un service de renseignement rattaché aux ministères financiers. Il lutte contre les circuits financiers clandestins, le blanchiment d’argent et le financement du terrorisme. Ces services est chargé de recueillir, analyser et enrichir les déclarations de soupçons que les professionnels sont tenus par la loi de lui déclarer.

Afin de remplir sa mission de lutte contre le blanchiment et le financement du terrorisme, Tracfin dispose de pouvoirs encadrés par la loi et bénéficie d’un droit de communication(3).

L’article L.561-26 du Code monétaire et financier est modifié par le projet de loi pour permettre à Tracfin de recueillir auprès des entreprises de transport ou des opérateurs de voyage et de séjour des données identifiant leurs clients ou concernant les prestations (date, heure, lieu de départ et d’arrivée, bagages et marchandises transportées) qu’ils ont fournies (4).

IV. Etendue de l’excuse pénale pour les actions des agents de l’Etat

L’excuse pénale créée par la loi de programmation militaire du 18 septembre 2013 pour les actions des agents de l’Etat répondant à une attaque informatique est étendue aux agents de services de renseignement lorsqu’ils :

• portent atteinte par des actions intrusives depuis le territoire national à des systèmes d’information situés à l’étranger ;
• pour des motifs d’intérêts public limité.

V. Le renseignement en milieu pénitentiaire

La création de deux articles dans le code de procédure pénale. La surveillance des détenus est précisée par le projet de loi, s’agissant du contrôle des communications téléphoniques et s’agissant du contrôle des équipements informatiques.

Deux projets d’articles sont crées dans le code de procédure pénale :

• l’article 727-2 permettant à l’administration pénitentiaire de disposer des prérogatives nécessaires à la détection, au brouillage, et à l’interruption des correspondances illicites émises ou reçues par voie des communications électroniques ou radioélectriques par une personne détenue (communication téléphoniques, échanges de messages écrits, communications par talkie-walkie) ;
• l’article 727-3 prévoit le cadre dans lequel les ordinateurs des personnes détenues peuvent être contrôlés, y compris en temps réel, pour détecter une éventuelle connexion illicite.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil estime que la mise en œuvre de mesures de surveillance des matériels introduits de manière frauduleuse dans les établissements pénitentiaires ne soulève pas de difficultés.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.871-4 du Code de la sécurité intérieure.
(3) Article L.561-26 du Code monétaire et financier.
(4) Article 9 du projet de loi relative au renseignement.

Aucune technique de recueil du renseignement concernant la collecte de données rendues publiques sur internet ou les réseaux sociaux n’est présente dans le projet de loi relatif au renseignement (1).

I. Accès administratif aux données de connexion

Les projets d’articles L.851-1 à L.851-9 du Code de la sécurité intérieure. L’accès administratif aux données de connexion sont actuellement régis par les articles L.246-1 à L.246-5 du code de la sécurité intérieure.

Le projet de loi relatif au renseignement va harmoniser le régime d’autorisation de l’accès administratif aux données de connexion.

Le projet d’article L.851-1 du Code de la sécurité intérieure définira le champ d’application de la mesure : finalité, définition des données, source de données.

Le projet d’article L.851-2 du Code de la sécurité intérieure précisera la procédure d’autorisation.

Un nouveau mode d’exploitation des données de connexion et de réseau est introduit dans le projet de loi relatif au renseignement pour les besoins de prévention du terrorisme.

Est autorisée la collecte, en temps réel, sur les réseaux des opérateurs, de la totalité des données, informations et documents relatifs aux communications de personnes préalablement identifiées comme des menaces (2).

Afin d’identifier l’existence de menaces, les services de renseignement doivent pouvoir recueillir, traiter et analyser un nombre important d’élément techniques anonymes pour détecter les signaux de faible intensité traduisant une menace à l’encontre de la France.

Cette détection anonymisée de certains comportements de communication est prévue dans le projet de loi relatif au renseignement. La levée de l’anonymat pesant sur les données collectées, justifiée par la révélation d’une menace, sera effectuée par la procédure de droit commun d’autorisation par le Premier ministre après avis de la CNCRT.

La localisation en temps réel d’une personne, d’un véhicule ou d’un objet est encadrée par le projet de loi relatif au renseignement.

Les services spécialisés de renseignement auront la possibilité en vue des atteintes aux intérêts publics de recourir à la technique du « balisage » actuellement réservée à la police judiciaire.

Deux modalités de géolocalisation sont possibles (3) :

• le suivi d’un terminal de télécommunication, actuellement autorisé par le Code de la sécurité intérieure ;
• l’utilisation d’une balise GSM ou GPS placée sur un objet ou un véhicule ou à l’intérieure de celui-ci.

Les possibilités de géolocalisation simultanée ou géolocalisation en temps réelle consiste à surveiller en simultané les déplacements d’une personne ou d’un objet sur l’ensemble du territoire, soit de reconstituer a posteriori son itinéraire grâce aux données de connexion et à l’usage du téléphone connecté à un réseau GSM.

Le balisage d’un véhicule ou de tout autre objet par les services spécialisés de renseignement est autorisé par le projet de loi relatif au renseignement.

Cette technique de recueil de données est soumise au régime de droit commun d’autorisation, sur demande du ministre compétent au Premier ministre après avis de la CNCRT.

Des dispositions spéciales sont présentées dans le projet de loi en cas d’urgence liées à une menace imminente ou d’un risque très élevé de ne pouvoir effectuer l’opération ultérieurement. Dans ce cas précis, l’installation et l’exploitation de la technique de géolocalisation est effectuée sans autorisation préalable (4).

Un dispositif technique de proximité est également introduit dans le projet de loi relatif au renseignement.

Ce dispositif est une technique complémentaire des surveillances physiques. Un capteur permet de recueillir les données techniques de connexion strictement nécessaire à l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou des données de géolocalisation d’un équipement terminal.

En pratique ce dispositif qui consiste à placer une fausse antenne relais à proximité de la personne dont on souhaite intercepter les échanges électroniques, afin de capter les données transmises entre le périphérique électronique et la véritable antenne relais

L’utilisation de ce dispositif est encadrée par plusieurs garanties (5) :

• inscription du dispositif dans un registre spécial, qui est tenu à la disposition de la CNCRT ;
• mise en œuvre par un agent individuellement désigné et habilité ;
• autorisation du Premier ministre, prise après avis de la CNCRT ;
• autorisation qui peut être portée sur un lieu ou une période déterminée, dans la limite de 6 mois après autorisation motivée et avis de la CNCRT.

Dans un contexte de prévention d’un acte de terrorisme, l’autorisation est donnée aux d’intercepter directement des correspondances émises et reçues par un équipement terminal, pour des lieux et période déterminé dans la limite de 72 H.

L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.

L’avis de la Cnil. La Cnil prend acte que le projet de loi relatif au renseignement ne modifie pas la formulation des dispositions du Code de la sécurité intérieure, elle en déduit alors que les informations concernées par l’accès aux données de connexion, ne pourront porter sur le contenu des correspondances électroniques.

Elle émet une réserve quant à l’augmentation de la durée de conservation des données portée à cinq ans compte tenu de la sensibilité des données.

Concernant la géolocalisation, elle estime que cette mesure doit réellement être encadrée dans la mesure où elle touche les libertés individuelles.

Elle indique que le périmètre exact des données concernées par l’accès administratifs aux données de connexions n’est pas clair.

Selon elle, les garanties prévues pour préserver les droits et libertés ne sont pas suffisamment garanties face au caractère intrusif de cette technique et son utilisation à l’insu des opérateurs sur leurs propres systèmes.

La Cnil rappelle que le traitement automatisé de détection des signaux faibles doivent faire l’objet de formalités préalables conformément aux dispositions de la loi du 6 janvier 1978.

Le décret en Conseil d’Etat pris après avis de la CNCRT devra prévoir les conditions de transmission adéquate des données une fois l’anonymat levé entre les operateurs et le service de renseignement demandeur.

Concernant les dispositifs technique de proximité (« IMSI catcher »), la Cnil précise que ce dispositif permettant de recueillir des données de connexion, il devrait figurer au sein de la liste des techniques de recueil du renseignement.

La Cnil fait remarquer que les techniques de sondes, dispositif de détection de « signaux faibles » et dispositif mobile de proximité permettent de collecter de manière indifférenciée, un volume important de données qui peuvent être relatives à des personnes étrangères à la mission de renseignement.

Elle estime alors que des conditions de mises en œuvre plus précises, limitant l’atteinte à des droits fondamentaux et des modalités de contrôle doivent être très encadrées.

La Cnil se réserve sur l’application d’un seul régime commun d’autorisation et de la seule information du Premier ministre et de la CNCTR s’agissant des dispositifs mobiles de proximité.

II. Les interceptions de sécurité

Le projet d’article L.852-1 du Code de la sécurité intérieure. Les interceptions de sécurité sont actuellement régies par les articles L.241-1 à L.245-3 du code de la sécurité intérieure.

Le projet de loi relatif au renseignement va inscrire ces interceptions de sécurité dans le cadre légal du régime général applicable à l’ensemble des techniques de recueil de l’information mise en œuvre par les services spécialisés de renseignement.

Deux garanties supplémentaires ont été ajoutées au régime de ces interceptions :

• les interceptions seront soumis à l’avis préalable de la CNCRT ;
• la durée de conservation des données recueillies est diminuée passant de un an à un mois à compter de l’enregistrement des correspondances.

Le projet d’articles L.852-1 du Code de la sécurité intérieure élargit la portée des écoutes. Dans la mesure où il permet que les écoutes puissent porter sur les correspondances échangées par des personnes appartenant à l’entourage de la personne visée, lorsqu’elle sont susceptible de jouer un rôle d’intermédiaire, volontaire ou non pour son compte, ou de fournir des informations au titre de la finalité faisant l’objet de l’autorisation.

L’avis du Conseil d’état. Dans son avis du 12 mars 2015, le Conseil d’Etat n’a pas commenté cette technique de recueil de données.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil estime que le projet de loi relatif au renseignement modifie le cadre juridique applicable aux interceptions de sécurité déjà existantes.

Elle fait remarquer que le caractère exceptionnel présent à l’article L.241-2 du Code de la sécurité n’est plus mentionné dans le projet d’article L.852-1 du même code. Elle n’apporte pas plus d’observations les modalités de contrôle de ces techniques ayant été renforcées.

En revanche la Commission, souligne le caractère intrusif des écoutes qui peuvent être portées sur les personnes appartenant à l’entourage de la personne visée. Elle considère que des garanties doivent être apportées par le projet de loi relatif au renseignement.

La Cnil ajoute également le projet d’article L.852-1 du Code de la sécurité intérieure précise que l’autorisation de mise en œuvre d’une interception de sécurité vaut autorisation automatique du recueil des données de connexion. Elle estime que ce caractère automatique d’interception des données de contenu et des données de connexion ne peut être maintenu par le projet de loi. Une appréciation au cas par cas des interceptions de sécurité devrait être envisagée.

III. La captation des données.

Les projets d’articles L.853-1 et L.853-2 du Code de la sécurité intérieure. Les dispositifs techniques de captation de données réservées actuellement à la police judiciaire seront étendus aux services de renseignement (6) :

• la captation, la fixation, la transmission et l’enregistrement de parole prononcées à titre privé ou confidentiel (sonorisation de lieux privés par micros) ;
• la captation, la fixation, la transmission et l’enregistrement d’images dans les lieux privés ;
• la captation, la transmission et l’enregistrement de données informatiques transitant par un système automatisé de données ou contenues dans un tel système.

Ces dispositifs techniques de captation de données ne sont pas actuellement prévus et encadré par un aucun texte.

Le projet de loi compte tenu de l’ingérence important porté à la vie privée par ces mesures a précisé que l’autorisation d’utilisation devrait être délivrée pour une durée de deux mois renouvelable (7).

Lorsque la mise en œuvre de ces techniques doit s’accompagner de l’introduction dans un véhicule ou dans un lieu privé, ou dans un système de traitement automatisé de données, des garanties supplémentaires sont ajoutées (8) :

• la demande devra expressément justifier cette nécessité et préciser tous éléments permettant d’encadrer strictement cette pénétration ;
• les opérations matérielles nécessaires à la mise en place, l’utilisation ou au retrait de ces dispositifs techniques ne pourront être effectuées que par des agents spécialement habilités aux seules fins de mise en place, l’utilisation ou le retrait du dispositif technique ;
• l’avis de la CNCTR ne peut être rendu que de manière expresse ;
• l’autorisation n’est délivrée que pour une durée maximale de 30 jours renouvelable ;
• même en cas d’urgence, l’autorisation ne peut être donnée qu’après avis de la CNCTR, sauf lorsque l’autorisation ne concerne pas un lieu privé à usage d’habitation ;
• lorsque l’autorisation est donnée en connaissance d’un avis défavorable de la CNCTR, deux de ses membres seulement peuvent saisir le Conseil d’Etat.

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat a estimé le principe de proportionnalité et de subsidiarité devait s’appliquer au techniques de captation des données étant des mesures intrusives.

Il a limité à six mois la possibilité d’utiliser ses dispositifs sur la base d’une autorisation portant sur un service, des lieux et périodes déterminées et à 72 heures la validité de l’autorisation.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil n’est pas opposée à ce que les services spécialisés de renseignement utilisent les techniques dont bénéficient-les services de polices judiciaires, sous réserves de garanties appropriées.

Cependant elle relève que la nature exacte des données informatiques qui peuvent faire l’objet de captation ne sont pas précisés.

Elle relève également que le projet de loi relatif au renseignement n’a pas prévu de mesures particulières s’agissant de la captation de données envers des personnes ayant un statut spécifique (avocats, journalistes, médecins, parlementaires, etc.).

IV. Les mesures de surveillance internationale

Le projet d’article L.854-1 du Code de la sécurité intérieure. Le projet de loi relatif au renseignement permet d’encadrer les interceptions de communications électroniques émises ou reçues à l’étranger.

Les mesures de surveillance et de contrôle mises en œuvre ne peuvent être effectuées que pour les finalités prévues dans le projet d’article L811-4 du Code de la sécurité intérieure.

Des communications rattachées au territoire national peuvent être concernées par la mesure de surveillance internationale, si les personnes surveillées entrent en communication avec des personnes utilisant des identifiants français (9).

Dans ce cas précis, le régime applicable est celui des interception de sécurité prévu au projet d’article L.822-2 du Code la sécurité intérieure. La seule différence réside dans la détermination du point de départ du délai de conservation des correspondances qui court à compter de la date de leur première exploitation dans la mesure où me contenu de ces correspondances sera vraisemblablement en langue étrangère.

Les conditions d’application de ces mesures seront précisées par décret en Conseil d’Etat, précisant ainsi les règles de conservation et de destruction des données collectées et des modalités de délivrance de l’autorisation d’exploitation des correspondances interceptées.

La CNCTR veillera à ce que la mise en œuvre de ces mesures par les services de renseignement soit conforme aux décisions du Premier ministre. Elle fera au moins chaque semestre un rapport de son contrôle au Premier ministre qui sera tenu de répondre aux recommandations et observations de la Commission.

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat indique que ces dispositions remplissent les exigences de prévisibilité de la loi découlant de l’article 8 de la Convention européenne de sauvegardes des droits de l’homme et des libertés fondamentales, les garanties étant suffisantes et proportionnées au but poursuivi.

Il prend acte que les conversations qui renvoient à des numéros d’abonnement ou à des identifiants rattachables au territoire national ou des personnes surveillées seront conservées et détruites dans les conditions du droit commun et sous le contrôle de la CNCTR.

Il note que de sa propre initiative ou sur réclamation de toute personne y ayant un intérêt personnel et direct, la CNCTR s’assurera du respect des règles et garanties prévues pour ces mesures.

Le Conseil admet que face aux impératifs de défense et de sécurité nationale il est possible d’instaurer un régime d’exonération des actions offensives contre certains systèmes de traitement automatisés de données.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil observe qu’aucune précision n’est donnée sur les techniques utilisées dans le projet de loi relatif au renseignement.

Elle relève également qu’une procédure distincte de celle de la procédure unique à l’article L.821-1 et suivant du Code de la sécurité intérieure. Les mesures sont mises en œuvre sur seule autorisation de Premier ministre, sans avis de la CNCTR dont le contrôle a posteriori est limité à la simple formulation de recommandations et d’observations.

La Cnil considère alors que les décrets du Conseil d’Etat indiqué dans le projet d’article L.854-1 du Code de la sécurité intérieure devront apporter des précisions quant aux techniques utilisées et au contrôle de ces dispositifs.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.851-3 du Code de la sécurité intérieure.
(3) Projet d’article L.851-6 du Code de la sécurité intérieure.
(4) Projet d’article L.851-6 du Code de la sécurité intérieure.
(5) Projet d’article L.851-7 du Code de la sécurité intérieure.
(6) Projet d’article L.853-1 du Code de la sécurité intérieure.
(7) Projet d’article L.853-1 du Code de la sécurité intérieure.
(8) Projet d’article L.853-2 du Code de la sécurité intérieure.
(9) Projet d’article L.854-1 du Code de la sécurité intérieure.

Le projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), prévoit l’instauration d’un droit de recours devant le Conseil d’Etat.

La compétence est donnée au Conseil d’Etat pour exercer un contrôle juridictionnel renforcé sur la mise en œuvre des techniques de renseignement. Le Conseil d’Etat peut être saisi par :

• toute personne justifiant d’un intérêt direct et personnel d’une requête relative à la mise en œuvre des techniques de renseignement ;
• la CNCRT, lorsque ses avis ou ses recommandations n’ont pas été suivis d’effet ;
• à titre préjudiciel, dans les cas où la solution d’un litige devant une autre juridiction dépendrait de la régularité de la mise en œuvre d’une technique.

Le projet de loi vise à confier à une juridiction administrative spécialisé, l’ensemble du contentieux de la régularité des techniques de renseignement.

Le Code de la justice administrative est modifié par l’article 4 due projet de loi pour fixer les règles applicables au contentieux de la mise en œuvre des techniques de renseignement, relevant de la compétence de premier et de dernier ressort du Conseil d’Etat.

Pour concilier le recours effectif et le secret de la défense nationale, les aménagements du code de la justice administrative portent sur :

• le principe de contradictoire : la formation de jugement peut se fonder sur tous éléments relatifs à la mise en œuvre des techniques alléguées sans les verser au contradictoire (2) ;
• la publicité des audiences : le huit clos peut être ordonné par le président de la formation (3) ;
• la motivation de la décision (4).

En conséquence, les pouvoirs d’instruction du Conseil d’Etat sont renforcés :

• les membres de la formation de jugement et le rapporteur public sont habilités au secret de la défense nationale et peuvent avoir accès à l’ensemble des pièces détenus par la CNCRT et les services de renseignement (5) ;
• les membres de la formation de jugement sont autorisés à relever tout moyen d’office (6) ;
• les membres de la formation de jugement peuvent entendre, à tout moment de la procédure lors d’audience séparées, le plaignant et les représentants du premier ministre ou des services de renseignement ayant mis en œuvre la technique incriminée (7) ;
• la CNCTR reçoit communication de toutes les pièces produites par les parties et peut présenter des observations (8).

Le Conseil d’Etat peut annuler une autorisation jugée irrégulière, ordonner la destruction des renseignements recueillis et indemniser le requérant.

Il est précisé dans l’étude d’impact de la loi que les pouvoirs de la formation de jugement sont ceux d’une juridiction de plein contentieux de droit commun.

Lorsque cette formation de jugement constate qu’une technique de renseignement est ou a été mise en œuvre ou exploitée en méconnaissance du Code de la sécurité intérieure, elle peut annuler l’autorisation et ordonner la destruction des renseignements irrégulièrement collectés. Elle peut également lorsque cette formation est saisie de conclusion le demandant, condamner l’Etat à indemniser le plaignant du préjudice qu’il a subi.

L’avis de Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat précise que le fait que la mise en œuvre des techniques de recueil de renseignement relève de la police administrative, cela permettra à la juridiction d’exercer un contrôle complet sur la procédure suivie et d’accéder à l’ensemble des pièces nécessaires, ses membres étant habilités au secret de la défense nationale.

Le Conseil d’Etat estime possible d’adapter les exigences de publicité de l’audience et du caractère contradictoire de la procédure aux exigences du secret de la défense nationale.

Le Conseil d’Etat estime également que pour renforcer l’effectivité du recours, il serait nécessaire qu’un recours juridictionnel soit précédé d’une réclamation obligatoire devant la CNCRT.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil précise qu’il serait nécessaire que les dispositions relatives au rôle de la nouvelle juridiction soient clarifiées.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.773-3 du Code de la justice administrative.
(3) Projet d’article L.773-4 du Code de la justice administrative.
(4) Projet d’article L.773-6 du Code de la justice administrative.
(5) Projet d’article L.773-2 du Code de la justice administrative.
(6) Projet d’article L.773-3 du Code de la justice administrative.
(7) Projet d’article L.773-5 du Code de la justice administrative.
(8) Projet d’article L.773-4 du Code de la justice administrative.

Le projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), prévoit la création de la Commission nationale de contrôle des techniques de renseignement, qui succédera à la CNCIS.

Composition de la Commission. La Commission national de contrôle des techniques de renseignement, CNCTR, est l’organe principal du contrôle administratif externe sur la mise en œuvre des techniques de renseignement.

Cette Autorité administrative indépendante sera composée de neuf membres :

• membres du Conseil d’Etat ;
• magistrats de la Cour de cassation ;
• une personnalité qualifiée pour ses connaissances en matière de communications électroniques ; et
• parlementaires (2).

La CNCTR succèdera à la Commission nationale de contrôle des interceptions de sécurité (CNCIS).

Règles de déontologie et de fonctionnement de la Commission. Les règles de déontologie et d’incompatibilité applicables aux membres de la CNCRT sont précisées dans le projet de loi.

L’indépendance de la CNCRT est garantie par :

• un mandat de 6 ans non renouvelable, une nomination de ses membres par décret et leur inamovibilité (3) ;
• une règle, où dans l’exercice de leur mission, les membres de la CNCRT ne reçoivent d’instruction d’aucune autorité (4) ;
• incompatibilité avec tout intérêt direct ou indirect avec les opérateurs de communication électroniques.

Les règles de fonctionnement de la CNCRT sont également prévues par le projet de loi et notamment les conditions de validité des délibérations et l’habilitation des membres à connaître des éléments couvents par le secret de la défense nationale (5).

Missions de la Commission. La CNCRT a pour mission de contrôler la régularité de la mise en œuvre sur le territoire national des techniques de recueil de renseignement (6).

Outre l’avis qu’elle devra formuler avant toute autorisation de mettre en œuvre une technique de renseignement, elle pourra demander que lui en soit communiquées toutes les informations utiles (relevés, enregistrements et transcriptions de produits) pendant la mise en œuvre de la technique, ou une fois le recours à cette technique terminé (7).

Lorsqu’elle est saisie d’un simple soupçon de mise en œuvre d’une mesure de surveillance, elle procède au contrôle de la technique invoquée (8).

Les règles de quorum sont précisées dans le projet d’article L.832-3 du Code de la sécurité intérieure.

Elle peut inviter le Premier ministre à ordonner l’interruption de la mesure concernée et la destruction des données collectées ou prendre des mesures correctrices nécessaires (9).

La Commission peut à la majorité absolue de ses membres, saisir le Conseil d’Etat lorsque ses avis ou recommandations au Premier ministre ne sont pas suivies d’effet.

La CNCRT participe par ses rapports et recommandations à l’information du public et des assemblées parlementaires (10).

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat juge préférable de réduire le nombre de membres qui composeront la CNCRT à 5 personnalités indépendantes et disponibles et une présidence à plein temps ainsi que des personnes possédant des qualifications en matière de réseaux de communications et de protections des données personnelles.

L’avis de la Cnil. Dans son avis du 5 mars 2015, la Cnil relève que la CNCRT, nouvelle autorité administrative indépendante, est dotée de pouvoirs de contrôle plus effectif.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.831-1 du Code de la sécurité intérieure.
(3) Projet d’article L.831-2 du Code de la sécurité intérieure.
(4) Projet d’article L.832-1 du Code de la sécurité intérieure.
(5) Projet d’article L.832-5 du Code de la sécurité intérieure.
(6) Projet d’article L.833-1 du Code de la sécurité intérieure.
(7) Projet d’article L.833-2 du Code de la sécurité intérieure.
(8) Projet d’article L.833-3 du Code de la sécurité intérieure.
(9) Projet d’article L.833-4 du Code de la sécurité intérieure.
(10) Projet d’article L.833-4 du Code de la sécurité intérieure.

Le projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), prévoit une procédure d’autorisation des techniques de recueil de renseignement.

L’autorisation de mise en œuvre. Le projet d’article L.821-1 du Code de la sécurité intérieure crée une procédure unique pour l’ensemble des techniques de recueil du renseignement utilisées par les services spécialisés :

• l’accès aux données de connexion ;
• les interceptions de sécurité ;
• les captations, fixation, transmission et enregistrement de parole prononcées à titre privé ou confidentiel ou d’image de personne se trouvant dans un lieu privé ;
• les captations, transmission et enregistrement de données informatique.

Seules les mesures de surveillance internationale prévues dans le projet d’article L.854-1 du Code de la sécurité intérieure sont soumises à une procédure spécifique.

La procédure applicable à l’ensemble des techniques repose sur :

• un formalisme strict de la demande d’autorisation formulée par les services (finalité recherchée, technique envisagée, personne, lieu ou véhicule ciblé) (2) ;
• un avis préalable de la CNCTR, communiqué au Premier ministre (3);
  une autorisation de mise en œuvre par le Premier ministre (4).

Une procédure d’urgence absolue est prévue dans le projet d’article L.821-5 du Code de la sécurité intérieure. Le Premier ministre peut alors autoriser la technique à mettre en œuvre sans autorisation préalable de la CNCTR. La commission devra néanmoins en être immédiatement informée, et pourra recommander son interruption. Cette procédure n’a vocation à être utilisée qu’à titre exceptionnel et devra être expressément motivée.

Le projet d’article L821-6 du Code de la sécurité intérieure prévoit dans tous les cas, que la CNCTR peut émettre une recommandation motivée visant à interrompre et à détruire les données collectées, lorsqu’elle estime qu’une autorisation a été accordée en méconnaissance des dispositions présentées ci-dessus.

Renseignements collectés. Un régime de conservation des informations plus aboutit est crée par le projet de loi relatif au renseignement.

Une traçabilité de la mise en œuvre des mesures (date de début et fin de la mise en œuvre, nature des données recueillies) organisé le Premier ministre définit les modalités de centralisation des renseignements collectés (5). Ces relevés des opérations sont conservés par les services du Premier ministre et de la CNCRT.

Le projet d’article L.822-2 du Code de la sécurité intérieure, précise la durée de conservation des données recueillies en fonction de leur nature et en conciliant protection de la vie privée et usage opérationnel par les services spécialisés.

Les données recueillies doivent être détruites au terme d’une durée maximale de 12 mois à compter de leur recueil. Cette durée maximale est toutefois réduite à un mois, s’il s’agit d’interceptions de sécurité, ou portée à cinq ans, s’il s’agit de données de connexion.

Lorsque les renseignements recueillis sont chiffrés, la durée peut être prolongée pour les besoins de l’analyse technique du chiffrement.

Une durée peut également être prolongée s’agissant de données contenant des éléments de cyberattaque pour des besoins d’analyse technique (indentification et traitement de virus).

Le projet de loi relatif au renseignement indique que les données recueillies ne peuvent être extraites ou exploitées pour d’autres fins que les finalités des techniques de renseignement. Les extraits ou exploitations doivent être détruits lorsqu’ils ne sont plus indispensables à la réalisation de ces fins .

Toutes les destructions des données collectées font l’objet de relevés accessibles à la CNCTR .

L’avis du Conseil d’Etat. Dans son avis du 12 mars 2015, le Conseil d’Etat a relevé que l’avis de la CNCTR ne pourra être dérogé à son caractère préalable qu’en cas d’urgence.

Il a admis que la localisation en temps réel d’une personne, d’un véhicule ou d’un objet et le dispositif de proximité puissent être mises en œuvre sans autorisation préalable en cas d’urgence, sous réserve de régularisation dans les 48 heures.

Le Conseil a estimé nécessaire que soit confié au Premier ministre la centralisation des données collectées permettant un contrôle effectif du respect du cadre légal.

Concernant la durée de conservation des données collectées, il a souhaite qu’elle soit proportionnée à leur nature. Il a donc estimé possible que la durée de conservation des correspondances interceptées soit porté de 10 à 30 jours en cas de prévention du terrorisme. Il a jugé nécessaire que le délai court à compter du recueil des correspondances.

L’avis de la Cnil. Dans son avis du 5 mars 2015 sur le projet de loi relatif au renseignement, la Cnil ne relève pas de difficulté particulière quant au régime unique d’autorisation administrative.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir  « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.821-2 du Code de la sécurité intérieure.
(3) Projet d’article L.821-3 du Code de la sécurité intérieure.
(4) Projet d’article L.821-4 du Code de la sécurité intérieure.
(5) Projet d’article L.822-1 du Code de la sécurité intérieure.

Le projet de loi relatif au renseignement, examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015 (1), consacre une politique publique du renseignement.

Missions des services spécialisés de renseignement. Les services concernés par le projet de loi sont les services spécialisés de renseignement définis par le Code de la défense (2).

Ils sont constitués de la Direction générale de la sécurité extérieure (DGSE), la direction de la protection et de la sécurité de la défense (DPSD), la direction du renseignement militaire (DRM), la Direction générale de la sécurité intérieure (DGSI), la Direction nationale du renseignement et des enquêtes douanières, Tracfin (Service de renseignement rattaché aux ministères financiers).

Les services spécialisés de renseignement ont pour mission en France et à l’étranger de rechercher, collecter, exploiter et de mettre à disposition du Gouvernement des renseignements relatifs aux enjeux géopolitiques et stratégiques ainsi qu’aux menaces et aux risques susceptibles d’affecter la vie de la Nation (3).

Finalités des techniques de renseignement. Afin de cadrer l’utilisation de l’ensemble des techniques de recueil de l’information par les services spécialisés de renseignement des finalités ont été précisées dans le projet de loi.

Les techniques de renseignement ne pourront être utilisées que pour des finalités limitativement énumérées à l’article L.241-2 du Code de la sécurité intérieure :

• la sécurité nationale ;
• les intérêts économiques et scientifiques essentiels de la France ;
• la prévention du terrorisme ;
• la prévention de la criminalité et de la délinquance organisées ;
• la prévention de la reconstitution ou du maintien de groupements dissous (groupes de combat et milices privées) de l’article L.212-1 du Code de la sécurité intérieure ;

Deux finalités ont été ajoutées par le projet de loi :

• les intérêts essentiels de la politique étrangère et l’exécution des engagements internationaux de la France ;
• la prévention des violences collectives de nature à porter gravement atteinte à la paix publique.

Principe de proportionnalité. Les techniques portant le plus atteinte à la vie privée, secret des correspondances et à la violation du domicile ne seront employées qu’au regard des principes de proportionnalité et de subsidiarité. Elles doivent être adéquates et proportionnées au but poursuivi.

L’avis du Conseil d’état. Le Conseil d’état dans son avis du 12 mars 2015 prend acte du choix du gouvernement de définir une liste unique de finalités applicable sur le territoire national comme à l’étranger et a retenu les sept grandes catégories de finalités envisagées présentées ci-dessus.

L’avis de la Cnil. La Cnil précise dans son avis du 5 mars 2015, que de telles atteintes au droit au respect de la vie privé peuvent être justifiées au regard de la légitimité des objectifs poursuivis et des intérêts en cause.

La Cnil rappelle également le nécessaire respect du principe de proportionnalité dans l’atteinte au droit au respect de la vie privée.

Elle estime alors que la mention du droit à la protection des données personnelles, qui constitue une composante essentielle du respect de la vie privé, devrait être ajoutée à celles du secret des correspondances et de l’inviolabilité du domicile dans la rédaction de l’article L.811-1 du Code de la sécurité intérieure.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

(1) Voir  « Projet de loi sur le renseignement : vers un cadre légal unifié », post du 14-3-2015.
(2) Projet d’article L.811-4 du Code de la sécurité intérieure et article L.1122-1 du Code de la défense définit par le décret n°2014-474 du 12 mai 2014 pris pour l’application de l’article 6 nonies de l’ordonnance n° 58-1100 du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires et portant désignation des services spécialisés de renseignement.
(3) Projet d’article L.811-2 du Code de la sécurité intérieure.

Le projet de loi relatif au renseignement, déposé au Parlement, a été présenté au Conseil des ministres du 19 mars 2015 et sera examiné en procédure accélérée à l’Assemblée nationale en séance publique à partir du 13 avril 2015.

Ce projet de loi définit pour la première fois un cadre légal unifié pour l’ensemble des activités de renseignement lesquels seront autorisées à recourir à des techniques d’accès à l’information.

Toutefois, malgré que ce projet de loi vise à donner pour la première fois en France un cadre légal unifié aux activités de renseignement, ce projet de loi dans sa rédaction actuelle prévoit que l’ensemble des techniques de renseignement sont mis en œuvre en l’absence total de contrôle de l’autorité judiciaire.

Ce projet n’est pas présenté comme un « Patriot Act » à la française au motif notamment que le premier article du projet de loi sur le renseignement garantit le respect de la vie privé.

Il ne viendrait à l’idée de personne de contester que la recherche du renseignement constitue un impératif majeur pour la sécurité de la France, de sa population et de son territoire. Toutefois, ce projet de loi exclu expressément tout recours direct auprès du Conseil d’Etat puisque tout recours devra être précédé d’une réclamation préalable devant la CNCTR. Les différents motifs légaux autorisant le recours aux différentes techniques de renseignement ainsi qu’à la mise en place de dispositions exceptionnelles pourrait bien ouvrir la voie à une surveillance massive et généralisée de la population et sans limites.

Dans un rapport d’information déposé en 2013 sur le cadre juridique applicable aux services de renseignement, les députés Jean-Jacques Urvoas et Patrice Verchère avaient recensé les lacunes de notre droit et démontré la nécessité urgente d’y remédier dans cette phrase: « Alors qu’il compte parmi les plus anciennes des nations démocratiques, notre pays est également le dernier à ne pas avoir établi un cadre normatif adapté ».

Ce projet qui consacre le renseignement en tant que politique publique, donne pour la première fois en France un cadre légal applicable aux techniques de recueil du renseignement. Le Livre blanc sur la défense et la sécurité nationale avait dès 2013, rappelé que la « fonction de connaissance et d’anticipation » était un élément fondamental de la stratégie de sécurité nationale et la « condition de décisions libres et souveraines ». D’autres pays n’ont pas attendus pour définir un cadre légal. L’instauration d’un cadre juridique pour les services de renseignement britanniques trouve ses origines dès 1989 avec le UK Security Service Act en réaction aux condamnations de la CEDH suivi par le Counter-Terrorism and Security Act de 2015.

Le contrôle des techniques de renseignement est confié à une autorité administrative indépendante ainsi qu’à une juridiction administrative spécialisée.

Le projet de loi comprend également d’autres dispositions relatives au renseignement concernant l’anonymat des agents de services spécialisés de renseignement, l’extension du droit de communication de Tracfin, les renseignements en milieu pénitentiaire.

Le décryptage de ce projet de loi est proposé selon six axes d’analyse, qui feront l’objet d’articles ultérieurs :

• Consécration d’une politique publique du renseignement ;
• Procédure d’autorisation des techniques de recueil de renseignement ;
• Création de la Commission nationale de contrôle des techniques de renseignement (CNCTR) ;
• Recours relatifs à la mise en œuvre des techniques de renseignement ;
• Techniques de recueils du renseignement ;
• Dispositions diverses du projet de loi.

Le décryptage des dispositions du projet de loi prend en compte les avis de la Cnil et du Conseil d’Etat.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Intelligence économique

Petit-déjeuner du 25 mars 2015 « Failles de sécurité : bilan et tendances » – Virginie Bensoussan-Brulé et Chloé Torres ont animé un petit-déjeuner débat sur les bons réflexes et les actions à mettre en œuvre en matière de failles de sécurité.

L’obligation de notification des failles entraînant la divulgation ou l’accès non autorisé à des données à caractère personnel pose une série de questions dont la résolution est d’importance puisqu’elle est sanctionnée pénalement :

• Quelles sont les personnes soumises à cette obligation ?
• Qu’est-ce qu’une violation de sécurité : une faille ou un défaut ?
• Comment informer la Cnil et notifier les clients et partenaires ?
• Quelles sont les  » mesures de protection appropriées  » et les actions qui doivent être mises en œuvre ?
• Quels sont les recours et sanctions en cas d’exploitation d’une faille de sécurité ?
• Comment ce cyber risque est-il couvert par les assureurs ?

Ce petit-déjeuner a été l’occasion de dresser un état des lieux et de préciser les actions à mettre en œuvre par les entreprises en matière de failles de sécurité.

Chaque année, l’association OSSIR organise la Journée de la Sécurité des Systèmes d’Information (JSSI). Cette année, Alain Bensoussan est intervenu sur le thème des nouvelles atteintes aux STAD (Sytèmes de traitement automatisé de données).

Dans un contexte de lutte contre le terrorisme, l’enjeu de la protection des données pose un véritable défi en terme de qualification des actes frauduleux.

L’OSSIR est une association à but non lucratif (loi de 1901) existant depuis 1996 qui regroupe les utilisateurs intéressés par la sécurité des systèmes d’information et des réseaux. Son premier groupe de travail, le groupe SUR, a été créé antérieurement en 1987.

La JSSI 2015 s’est tenue à Paris, le 10 mars 2015 (programme).

Alain Bensoussan, « Les nouvelles atteintes aux STAD » (supports en ligne).

Cybersécurité : comment l’optimiser au service du business ? Telle était la thématique de l’événement « INSIGHTS by ALTEN » organisé le mardi 9 décembre 2014 à Paris, en collaboration avec AKERVA. De nombreux clients et partenaires étaient présents pour échanger autour de ce sujet d’actualité et bénéficier des points de vue d’experts de différents horizons.

Parmi les invités, Polyanna Bigle, Avocat et Directeur du département sécurité SI et dématérialisation du Cabinet Alain Bensoussan, a présenté les risques juridiques auxquels s’exposent les entreprises et précisé que l’intégration de la cybersécurité aux contrats représente un réel atout concurrentiel.

Force est de constater que les directives portées par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) sont de plus en plus souvent mentionnées dans les appels d’offre.

Que ce soit de l’intérieur, avec des risques d’actes illicites de la part des employés, ou de l’extérieur, notamment via les prestataires, la cybermenace plane. Maître Polyanna Bigle rappelle que l’obligation de sécuriser le SI relève de la responsabilité du dirigeant et préconise la mise en place d’outils de régulation, tout en insistant sur l’information, la sensibilisation et la simplification.

Visionnez la vidéo sur notre chaîne Lexing Alain Bensoussan Avocats sur YouTube