Traitement prédictif des données des systèmes : points de vigilance

F. Forster, Traitement prédictif des données des systèmes - Symposium SVDI 2017Frédéric Forster est intervenu au Symposium SVDI 2017 « Traitement prédictif des données des systèmes ».

Les données d’exploitation des installations et des bâtiments sont sensibles, notamment celles liées aux équipements d’accès et de sécurité intrusion et incendie. Big data, analyse prédictive, points de vigilance et solutions étaient au programme du Symposium SVDI 2017 .

Au cours de ces dernières années, l’analyse prédictive est passée de technique avant-gardiste peu répandue à une arme concurrentielle dont la portée se développe rapidement. L’adoption croissante de l’analyse prédictive est alimentée par des tendances convergentes : le phénomène des données massives, l’amélioration des outils d’analyse de données et un flux constant de réussites démontrées dans le cadre de nouvelles applications.

Qu’il s’agisse de prédire le futur ou d’analyser le présent, l’utilisation des aSymposium SVDI 2017lgorithmes prédictifs nécessite un recours à une collecte massive de données, qui constituent la source de l’analyse prédictive en ce qu’elles alimentent les applications à vocation opérationnelle.

Comment exploiter ces données ? Respect des libertés individuelles et conséquences potentielles juridiques du traitement prédictif, était le thème d’intervention de Frédéric Forster.

Quels sont les enjeux juridiques de la mise en oeuvre des objets connectés et, de manière plus générale, des différents capteurs dont sont dotés les sites industriels ou privés (sondes de température, contrôle d’accès, vidéoprotection des locaux, etc.) ?

Ces points ont été traités principalement sous l’angle de la protection des données personnelles, des nouvelles dispositions de la loi pour une République numérique (notamment pour les bâtiments publics) et des problématiques de sécurité et de confidentialité des données.

Organisé par le SVDI (Syndicat français des professionnels de la sécurité, voix, données et images) en partenariat avec la CSEEE (Chambre syndicale des entreprises d’équipement électrique) de Paris et sa région et la FFIE (Fédération française des entreprises de génie électrique et énergétique), ce symposium a eut lieu dans les locaux de la CSEEE (Paris 17ème) le 24 janvier 2017.

BOOKLET Symposium SVDI 2017




PCI DSS et cloud computing : la conformité par le contrat

PCI DSS et cloud computing : la conformité par le contratLe contrat PCI DSS et cloud computing doit reporter les exigences de la norme sur le prestataire de services cloud.

Rendue obligatoire pour l’hébergement et le traitement des données des principales cartes de paiement, la norme PCI DSS (1) implique notamment pour le commerçant de :

  • remplir un questionnaire d’auto-évaluation annuel ;
  • effectuer un scan de vulnérabilité (en cas de commerce en ligne) ;
  • lorsque plus de 6 millions de transactions sont effectuées, faire faire un audit de sécurité sur site.
La certification PCI DSS

Elle est obtenue auprès d’un auditeur lui-même accrédité par PCI Security Standards Council (2). Le commerçant qui ne respecterait pas ces règles peut se voir appliquer des pénalités par l’émetteur des cartes de crédit.

Ces conséquences étant particulièrement graves, le commerçant qui souscrit à une offre dans le cloud doit s’assurer que l’infrastructure et les éventuels logiciels concernés soient eux-mêmes compatibles.

Pour une activité de vente en ligne, il ne serait pas aberrant que le contrat PCI DSS et cloud computing précise que la certification PCI DSS est une condition déterminante du consentement sans laquelle le cybercommerçant n’aurait pas signé. En cas de non-respect, c’est la résolution de ce contrat PCI DSS et cloud computing qui pourrait être demandée.

Le contrat PCI DSS

Dans le contrat, cette problématique PCI DSS et cloud computing doit être traitée par une clause de garantie dont le périmètre pourra varier comme suit :

  • en SaaS, le prestataire cloud devra garantir une certification « end to end » ;
  • en PaaS, le prestataire ne pourra garantir le périmètre de certification, à l’exclusion de la couche applicative créée seule par son client et sans son assistance ;
  • en IaaS, à l’instar d’un simple hébergeur, le prestataire ne pourra garantir cette certification que sur l’infrastructure mise à disposition.
L’audit de sécurité

Dans tous les cas, le cybercommerçant doit exiger de son prestataire cloud une totale collaboration pour que toutes les informations soient disponibles pour l’auditeur certificateur. Le contrat PCI DSS et cloud computing comportera des dispositions particulières à ce titre.

Une clause d’audit de sécurité doit être incluse pour faciliter la mise en œuvre, que ce soit des audits à distance (tests de pénétration en particulier) ou les éventuels audits sur site dans le cadre de la certification.

Dispositions informatique et libertés

Enfin le contrat PCI DSS et cloud computing ne pourra faire l’économie de dispositions particulières Informatique et libertés (3). A cet effet, il conviendra de se reporter aux recommandations de la Cnil sur le traitement des données relatives à la carte de paiement en matière de vente de biens ou de fourniture de services à distance (4).

Eric Le Quellenec
Lexing Droit Informatique

(1) L’organisme responsable du développement, de la gestion, de l’éducation et de la sensibilisation aux normes de sécurité PCI est dénommé PCI Security Standards Council : contrat de licence PCI Security Standards Council, LLC.
(2) Les informations utiles concernant le PCI Security Standards Council.
(3) Délibération Cnil n° 2013-358 du 14-11-2013 portant adoption d’une recommandation concernant le traitement des données relatives à la carte de paiement en matière de vente de viens ou de fourniture de services à distance et abrogeant la délibération n° 03-034 du 19-6-2003.
(4) Voir : Céline Avignon, « Nouvelles recommandations de la Cnil relative aux cartes de paiement », AlainBensoussan.com, 23-12-2013.




Alertes professionnelles : nouveau champ d’application de l’AU-004

Alertes professionnelles : nouveau champ d’application de l’AU-004Alertes professionnelles – La Cnil vient de modifier son autorisation unique  relative aux dispositifs d’alertes professionnelles. Egalement désignés sous le terme de dispositifs de « whistleblowing », ce sont des dispositifs mis à la disposition des employés d’un organisme public ou privé pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme,

à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

Ces dispositifs prennent généralement la forme de traitements de données à caractère personnel, et sont donc soumis aux dispositions applicables en matière de protection des données à caractère personnel. En outre, ces traitements, en ce qu’ils sont susceptibles d’exclure une personne d’un droit, d’un contrat ou d’une prestation (par exemple, contrat de travail), sont soumis à un régime d’autorisation préalable de la Cnil pour pouvoir être mis en œuvre.

Dans la mesure où ces dispositifs sont imposés par certains textes, la Cnil a élaboré, dès 2005, une autorisation unique pour ce type de traitements à l’attention des organismes publics ou privés mettant en œuvre un tel dispositif d’alertes professionnelles et répondant à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation visait notamment à encadrer les traitements d’alertes professionnelles mis en œuvre par les entreprises françaises soumises la section 301 de la loi américaine dite « Sarbanes-Oxley » du 31 juillet 2002.

Elle a ensuite été modifiée en 2010 pour inclure dans son champ d’application les dispositifs d’alertes professionnelles visant à lutter contre les pratiques anticoncurrentielles, ainsi que ceux fondés sur la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ».

Cette autorisation unique vient à nouveau d’être modifiée afin de tenir compte des pratiques des entreprises visant à utiliser les dispositifs d’alertes professionnelles dans des domaines de plus en plus étendus (Délib. 2014-042 du 30-1-2014). L’autorisation unique est donc désormais applicable aux domaines suivants :

  • la lutte contre les discriminations et le harcèlement au travail ;
  • la santé, l’hygiène et la sécurité au travail ;
  • la protection de l’environnement.

Par ailleurs, cette nouvelle autorisation unique ne vise plus uniquement les dispositifs d’alertes professionnelles mis en œuvre pour répondre à une obligation légale mais également ceux déployés pour répondre à un intérêt légitime.

En outre, si la Cnil a toujours précisé de manière expresse que les organismes ne devaient pas inciter les alertes anonymes, elle vient par cette nouvelle délibération ajouter une condition à la prise en compte de telles alertes. En effet, outre le fait que le traitement des alertes anonymes doit s’entourer de précautions particulières, telles qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif, la Cnil ajoute dans sa dernière délibération qu’une telle alerte ne peut être traitée qu’à condition que la gravité des faits soit établie et que les éléments factuels soient suffisamment détaillées.

Les autres dispositions de cette autorisation unique, notamment s’agissant des données pouvant être traitées, des destinataires des données ou encore des durées de conservation mais également de l’information des personnes concernées (à savoir information des utilisateurs du dispositif mais aussi des personnes faisant l’objet d’une alerte professionnelle), demeurent inchangées.

En tout état de cause, cette nouvelle autorisation « alertes professionnelles » doit être l’occasion pour les organismes mettant en œuvre ce type de dispositifs d’effectuer un audit de leurs pratiques en la matière afin de vérifier s’ils se conforment à cette autorisation unique. Dans l’affirmative, il conviendra de s’assurer qu’un engagement de conformité à l’AU-004 a bien été effectué et de régulariser la situation si tel n’est pas le cas. A défaut d’une stricte conformité avec cette autorisation unique, une demande d’autorisation normale devra être effectuée auprès de la Cnil, étant rappelé que le manquement à l’obligation d’effectuer des formalités adéquates auprès de la Cnil préalablement à la mise en œuvre d’un traitement est pénalement sanctionné.

Céline Avignon
Alain Bensoussan Avocats
Lexing Droit Informatique et libertés




Cloud computing : la responsabilité conjointe consacrée par la Cnil ?

Cloud ComputingSi la Cnil semblait jusqu’alors admettre implicitement la possibilité d’une responsabilité conjointe de traitement, les services de Cloud computing sont l’occasion pour elle de formuler des recommandations allant en ce sens de manière plus explicite. En effet, le 1er juillet 2013, la Cnil a publié une fiche pratique comprenant les 7 étapes clés à respecter afin de garantir la confidentialité des données dans le cadre de la souscription à des services de Cloud computing (1).

Les recommandations relatives au Cloud computing formulées par la Cnil au sein de cette fiche pratique reprennent de manière plus concise ses précédentes recommandations à l’attention des entreprises (2) mais cette fiche pratique est aussi l’occasion d’asseoir un peu plus sa position sur la responsabilité conjointe de traitement de données à caractère personnel.

Dans ses recommandations de juin 2012, la Cnil indiquait que le client du service de Cloud computing avait la qualité de responsable de traitement et le prestataire celle de sous-traitant. Néanmoins, elle avait reconnu que, notamment dans le cadre d’offres standardisées non négociables, le prestataire de service de Cloud computing pourrait « a priori » être considéré comme conjointement responsable en vertu de la définition de « responsable de traitement » figurant à l’article 2 de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Au sein de sa fiche pratique, la Cnil semble admettre de manière plus tranchée la possibilité d’une responsabilité conjointe. Elle recommande que dans un tel cas, les obligations et le périmètre des responsabilités de chacun soient clairement établis et qu’une telle distribution de responsabilités soit actée en amont de la mise en œuvre du traitement concerné.

Enfin, elle précise le cas dans lequel une responsabilité conjointe pourra être admise à savoir lorsque le client ne peut pas réellement donner d’instruction à son prestataire et ne peut pas non plus contrôler l’effectivité des garanties de sécurité apportées par ce dernier.

Bien que la Cnil conclut, ici encore, que le prestataire de Cloud computing pourrait, dans un tel cas, « a priori » être considéré comme responsable conjoint de traitement, elle semble s’aligner sur la proposition de règlement européen sur ce point qui vient surtout préciser le régime de cette responsabilité conjointe et notamment la nécessité de définir, par voie d’accord, les obligations respectives de chacun des responsables (3).

Céline Avignon
Anne Renard
Lexing Droit Marketing électronique

(1) Cnil, Fiche pratique du 1-7-2013.
(2) Cnil, Recommandations du 6-2012.
(3) Proposition de règlement 2012/0011 du 25-1-2012, art. 24.




La vente d’un fichier clients non déclaré à la Cnil est nulle

Software protectionLa vente d’un fichier clients non déclaré à la Cnil est illicite et doit donc être annulée. C’est ce qu’a considéré la chambre commerciale de la Cour de cassation dans un arrêt du 25 juin dernier (1). Au regard de l’article 22 de la loi Informatique et libertés et de l’article 1128 du Code civil, un fichier informatisé contenant des données à caractère personnel non déclaré à la Cnil ne peut faire l’objet d’un commerce. Dès lors, la vente d’un tel fichier est frappée de nullité pour illicéité d’objet.

Une société avait cédé son fonds de commerce dont faisait notamment partie un fichier clients d’environ 6000 contacts, fichier qui n’avait pas fait l’objet d’une déclaration à la Cnil. L’acquéreur de ces éléments a par la suite, demandé la nullité de la vente. La Cour d’appel de Rennes n’a pas fait droit à sa demande estimant que « la loi n’a pas prévu que la sanction de l’absence de déclaration du traitement du fichier clients soit la nullité du fichier, son illicéité ». De même, la juridiction a rejeté l’argument du vice caché qui affecterait le fichier, considérant que le défaut de déclaration ne permet pas d’établir que « le fichier acquis comportait un vice caché le rendant impropre à sa destination », ceci d’autant plus qu’elle relève que la formalité auprès de la Cnil pouvait être réalisée à tout moment, et donc notamment par l’acquéreur.

Sans se prononcer sur l’existence d’un potentiel vice caché, la Cour de cassation réfute l’analyse relative à la licéité de l’objet en cassant l’arrêt d’appel.

Cette décision risque d’avoir de profondes implications sur les pratiques des acteurs du secteur du marketing dans la mesure où le non-respect des formalités auprès de la Cnil pourra désormais permettre à l’acquéreur d’un fichier clients de remettre en cause la vente. Par cet arrêt, la Cour de cassation place ainsi le respect des dispositions de la loi Informatique et libertés au cœur de la stratégie des sociétés de ce secteur.

Céline Avignon
Mathilde Alzamora
Lexing Droit Marketing électronique

(1) Cass. com. n°12-17037 du 25-6-2013.




La Cnil n’a pas à être informée d’une nouvelle version de logiciel

logicielLa mise en œuvre d’une nouvelle version d’un logiciel n’oblige pas le responsable de traitement à procéder à une nouvelle déclaration auprès de la Cnil. C’est ce que rappelle la Cour de cassation par un arrêt rendu le 23 avril 2013 (1).
Un animateur socio-éducatif avait refusé de saisir les informations à caractère personnel concernant les mineurs bénéficiant d’actions de prévention aux motifs que la nouvelle version du logiciel de traitement des données à caractère personnel mise en œuvre au sein de l’entreprise n’avait fait l’objet d’aucune déclaration préalable à la Cnil.

Ce dernier a été licencié pour faute grave par son employeur au motif d’insubordination réitérée.

Débouté en première instance, le salarié obtint en appel la requalification en licenciement sans cause réelle ni sérieuse et la condamnation de l’employeur au versement de diverses sommes au titre de la rupture du contrat de travail.

En l’espèce, lors du passage à la version supérieure du logiciel mis en œuvre par l’employeur, des données nominatives devaient être saisies. Toutefois, ces dernières étaient limitées aux trois premières lettres du patronyme des personnes concernées ainsi qu’à leur adresse.

En estimant que l’employeur ne pouvait pas garantir la seule saisie des données anonymisées, la Cour d’appel d’Aix-en-Provence a estimé que ce dernier ne pouvait arguer du codage des données pour justifier l’absence de déclaration de la modification du traitement à la Cnil.

Or, par un arrêt rendu le 23 avril 2013, la Cour de cassation a cassé et annulé la décision de la Cour d’appel d’Aix-en-Provence pour défaut de base légale, en raison de l’absence de recherche de la nature de la modification du traitement. Elle rappelle que « seule une modification substantielle portant sur les informations ayant été préalablement déclarées doit être portée à la connaissance de la Cnil ; […] une simple mise à jour d’un logiciel de traitement de données à caractère personnel n’entraîne pas l’obligation pour le responsable du traitement de procéder à une nouvelle déclaration ».

Dès lors, la cour d’appel voit sa décision censurée pour ne pas avoir recherché si le changement de version du logiciel concerné consistait en une simple mise à jour qui ne nécessiterait pas une nouvelle déclaration auprès de la Commission nationale de l’informatique et des libertés.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique

(1) Cass soc du 23-4-2013 n°11-26099.




Le délégué à la protection des données « CIL » version 2

Le délégué à la protection des données "CIL" version 2La proposition de règlement général sur la protection des données instaure le délégué à la protection des données qui

remplace le correspondant Informatique et libertés. Le délégué à la protection des données est une personne désignée par une entité ou un groupe d’entreprise pour une durée minimale de deux ans et qui doit avoir des connaissances spécialisées de la législation et de la pratique en matière de protection des données.

Le délégué à la protection des données peut être un salarié de l’entité concernée ou peut accomplir ses tâches sur la base d’un contrat de services.

Le responsable du traitement et le sous-traitant doivent désigner un délégué à la protection des données dès lors que l’une de ces conditions est remplie :

  • le traitement est effectué par une autorité ou un organisme public ;
  • le traitement est effectué par une entreprise employant plus de 250 personnes ;
  • les activités de base du responsable du traitement ou du sous-traitant en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Lorsque le responsable du traitement ou le sous-traitant ne remplit pas les conditions détaillées ci-dessus, la désignation du délégué à la protection des données est facultative. Le responsable du traitement et le sous-traitant doivent (1) :

  • communiquer le nom du délégué à la protection des données à l’autorité de contrôle ainsi qu’au public ;
  • veiller à ce que le délégué à la protection des données soit associé à toute question relative à la protection des données ;
  • veiller à ce que le délégué puisse exercer ses fonctions en toute indépendance ;
  • aider le délégué à exercer ses fonctions et à lui fournir toutes les ressources nécessaires à sa mission.

Le règlement définit les missions du délégué à la protection des données qui a un réel rôle de contrôle et de vérification s’agissant de la bonne application du règlement. Le délégué à la protection des données doit se voir confier par le responsable du traitement et le sous-traitant au minimum les missions suivantes :

  • informer et conseiller sur les obligations du responsable du traitement et du sous-traitant découlant du règlement et conserve une trace documentaire de cette activité et des réponses reçues ;
  • contrôler la mise en œuvre et l’application des règles internes en matière de protection des données ;
  • contrôler la mise en œuvre de la bonne application du règlement tels que les principes de protection des données dès la conception ;
  • veiller à ce que la documentation du responsable du traitement ou du sous-traitant soit tenue à jour ;
  • contrôler la documentation, la notification et la communication en cas de violation de données à caractère personnel ;
  • vérifier que l’analyse d’impact a été réalisée ;
  • vérifier qu’il a été répondu aux demandes de l’autorité de contrôle ;
  • exercer la fonction de point de contact pour l’autorité de contrôle.

Afin d’anticiper cette réforme, les entreprises pourraient d’ores et déjà désigner un correspondant Informatique et libertés.

Chloé Torres
Lexing Droit Informatique et libertés

(1) Proposition de règlement 2012-0011 (COD) 25-1-2012, art.36, art.37.