Archives par mot-clé : europe

Législation européenne sur le cloud : Un changement favorable aux fournisseurs américains

Dans un revirement surprenant, il semble que l’Europe n’exige finalement pas que les fournisseurs de cloud soient exemptés des lois non européennes. Cette évolution est une bonne nouvelle pour les entreprises américaines cherchant à offrir plus facilement leurs services aux gouvernements.

Bien que la loi n’ait pas encore été finalisée, la dernière version, selon Reuters, ne précise plus que les règles de cybersécurité pour les contrats cloud doivent éviter les lois non européennes.

Cela marque un changement par rapport à une version précédente, qui exigeait que les entreprises américaines souhaitant fournir des services cloud à l’Europe ou à ses États membres établissent une coentreprise avec une entité européenne. Dans le cadre de cette collaboration, les données des clients européens devaient être stockées et traitées au sein de l’Union.

Ces principes ont été vivement critiqués, non seulement par les fournisseurs de cloud, mais aussi par les banques, les chambres de compensation, les assureurs et les start-ups, qui préféraient des exigences techniques à des règles politiques et de souveraineté générales.

Ce changement représente une évolution positive pour les fournisseurs de cloud américains. Précédemment soumises à la législation américaine, ces entreprises pouvaient, dans des cas exceptionnels, être contraintes de coopérer avec les enquêtes américaines. De plus, elles n’étaient peut-être pas autorisées à divulguer de telles informations à leurs clients européens.

Selon Reuters, la version adaptée est actuellement examinée par les états membres. La version finale devrait suivre ultérieurement.

Lutte contre la pédopornagraphie : lettre ouverte de scientifique pour protéger l’anonymat

Des parlementaires européens proposent une alternative à la loi contre la pédopornographie, qui aurait contraint les entreprises du secteur technologique à surveiller massivement les contenus des utilisateurs. Cette nouvelle mouture vise à protéger les enfants sans violer la vie privée des citoyens et à maintenir l’intégrité du chiffrement.

Pendant des mois, la Commission européenne a travaillé sur une régulation visant à freiner la propagation de la pédopornographie. Cette initiative, qui aurait obligé les plateformes technologiques à inspecter systématiquement les appareils des utilisateurs pour du contenu inapproprié via des logiciels basés sur l’IA, a suscité de nombreuses controverses.

Elle aurait aussi signifié la fin du chiffrement. Permettre le scannage de fichiers, machines, correspondances, obligerait de ne pas chiffrer, et sécuriser, les documents pour être lus par l’IA.

Ce projet a soulevé des inquiétudes quant à sa conformité avec les lois européennes sur la vie privée. De plus, des questions ont émergé sur la précision du logiciel de détection : une grand-mère pourrait-elle être faussement identifiée en envoyant une simple photo de son petit-fils à la piscine ? En juillet 2023, environ 150 scientifiques ont exprimé leurs préoccupations concernant les implications de cette proposition sur la vie privée et la sécurité en ligne.

Suite à ces critiques, un groupe de parlementaires a introduit une alternative. Elle demande aux entreprises technologiques et plateformes en ligne d’adopter des mesures proactives, comme la vérification de l’âge des utilisateurs. Les comptes des mineurs sur des plateformes telles qu’Instagram ou YouTube seraient privés par défaut, empêchant ainsi les contacts non désirés. Sont-ils au courant que cela existe déjà ? En France, par exemple, la loi instaure une majorité numérique à 15 ans. Avant, les enfants ne peuvent pas s’inscrire sur les réseaux. La loi oblige les plateformes à mettre des solutions techniques de contrôle. Instagram interdit les inscriptions de personnes de moins de 13 ans. TikTok indique aussi 13 ans [14 ans au Quebec]. Selon le blog du modérateur, le top 3 des réseaux sociaux les plus utilisés par la Gen Z (11 / 14 ans) : Instagram : 90 % (+6 % par rapport à 2022), Snapchat : 80 % (+4 %), TikTok : 63 % (+53 % par rapport à 2020).

Contrairement à la proposition initiale, cette version ne mandate le scan des contenus que dans des circonstances spécifiques, basées sur des preuves fournies par les autorités policières. De plus, les scans ne seraient réalisés que sur des plateformes sans chiffrement, éliminant ainsi la nécessité de créer des « backdoors ».

Cette proposition révisée devrait être examinée par le Conseil de l’Europe et la Commission européenne avant un vote final. – Avec DataNews.

Législations sur les marchés numériques (DMA) et services numériques (DSA) arrivent en Europe

La réglementation appelée Digital Services Act (DSA) a été mise en place pour réguler les activités en ligne, en particulier pour les grandes entreprises. La Commission européenne a sélectionné dix-neuf entreprises avec un minimum de 45 millions d’utilisateurs actifs par mois, incluant dix-sept grandes plateformes en ligne, dont TikTok et deux moteurs de recherche, Bing et Google Search.

La DSA aura un impact sur de nombreuses entreprises telles que Amazon, Apple, Google, TikTok, Twitter et Wikipedia, ainsi que AliExpress, Booking.com, Facebook, Instagram, LinkedIn, Pinterest, Snapchat, YouTube et Zalando. Les services tels que Google Play, Google Maps et Google Shopping chez Google seront également concernés.

L’objectif principal de la DSA est de mieux protéger les internautes, en particulier les mineurs, contre les contenus préjudiciables, la publicité trompeuse et les violations de la vie privée. Les entreprises qui publient du contenu pornographique impliquant des enfants, des contenus subversifs et haineux, ou des fausses informations seront plus facilement ciblées et sanctionnées grâce à une surveillance renforcée. Les dix-neuf grandes entreprises devront également offrir plus de choix et de meilleures informations à leurs utilisateurs.

La DSA représente une évolution importante dans le paysage de la réglementation en ligne. Elle vise à répondre aux nombreux défis posés par la prolifération de contenus préjudiciables ainsi que les pratiques publicitaires et de protection de la vie privée souvent abusives des entreprises du numérique. La DSA va permettre de mieux protéger les droits et la sécurité des internautes en leur offrant des moyens plus efficaces pour signaler et faire retirer les contenus illicites et nuisibles.

Gare à l’amende !

Les plates-formes qui ne respectent pas cette réglementation pourront se voir infliger des amendes allant jusqu’à 6 % de leur chiffre d’affaires mondial, selon les propos de Thierry Breton, eurocommissaire au Marché intérieur. Cette menace vise à inciter les entreprises à se conformer aux règles et à assumer leur responsabilité sociale.

Cependant, l’application de la DSA représentera un défi pour les entreprises du numérique, qui devront s’adapter aux nouvelles règles et aux nouvelles exigences. Pour cela, elles devront engager des moyens importants pour renforcer leurs capacités de surveillance, de signalement et de retrait de contenus illicites, ainsi que pour offrir à leurs utilisateurs des moyens de contrôle plus importants sur leurs données personnelles et leurs choix publicitaires.

En fin de compte, la réglementation DSA est un effort pour mieux protéger les utilisateurs en ligne et pour rendre les grandes plateformes en ligne plus responsables de leurs actions. Bien que cela puisse entraîner une certaine restriction de la liberté d’expression en ligne, il est important que les autorités cherchent à garantir que les entreprises respectent les lois et les normes éthiques en matière de protection des utilisateurs. La réglementation DSA pourrait donc marquer un tournant important dans la réglementation de l’espace en ligne, en offrant une meilleure protection aux utilisateurs et en augmentant la responsabilité des entreprises.

DMA et DSA

En juillet 2022, le Parlement européen a approuvé à une large majorité la nouvelle législation sur les marchés numériques (DMA) et la législation sur les services numériques (DSA), visant à renforcer le contrôle sur les grandes entreprises technologiques. Les entreprises qui ne respectent pas ces règles pourraient se voir imposer des amendes pouvant atteindre 10% de leur chiffre d’affaires annuel mondial pour une violation de la DMA et 6% pour une violation de la DSA.

La législation sur les marchés numériques (DMA) et la législation sur les services numériques (DSA) visent à renforcer le contrôle sur les grandes entreprises technologiques. La DMA donne à la commissaire européenne plus de pouvoir pour intervenir en cas d’abus commis par de grandes entreprises comme Google, Meta, Amazon ou Apple, afin d’empêcher ces dernières de favoriser leurs propres applications et services sur leurs plateformes. La DSA oblige les entreprises à davantage de transparence et de responsabilité pour la sécurité en ligne et la suppression des contenus illégaux. Les entreprises qui dérogent à ces règles se verront imposer des amendes pouvant atteindre 10 % de leur chiffre d’affaires annuel mondial pour une violation de la DMA, et 6 % pour une violation de la DSA.

La DSA régule ce qui peut être publié sur internet et vise notamment à lutter contre la désinformation. Elle interdit également les publicités ciblant les enfants ainsi que celles basées sur des données sensibles telles que la religion, l’origine ethnique ou les opinions politiques.

En outre, cette directive interdit les « dark patterns », qui sont des stratégies trompeuses utilisées par les entreprises pour inciter les clients à prendre une décision spécifique. Par exemple, Amazon avait utilisé un « dark pattern » pour rendre la résiliation d’un abonnement Amazon Prime plus difficile pour les utilisateurs.

 

Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities

Les Etats-Unis et l’Union européenne bientôt au diapason concernant le transfert des données personnelles ?

Le décret signé le 7 octobre dernier par le président américain, Joe Biden, concernant le transfert des données personnelles permet de renforcer les mesures garantissant la confidentialité et la protection des libertés civiles et des données personnelles de résidents européens transférées vers les États-Unis (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities).

Pour mémoire, le dispositif du Privacy Shield avait été invalidé en 2020 par la justice européenne (CJUE 16 juillet 2020 arrêt dit « Schrems II »), qui avait jugé que les atteintes portées à la vie privée des personnes dont les données personnelles sont traitées par les entreprises et opérateurs soumis à la législation américaine étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux de l’Union européenne.

Il s’agissait ni plus ni moins de restaurer la confiance entre l’Union européenne et les Etats-Unis concernant leurs flux transfrontaliers de données personnelles. Ce décret devrait permettre à la Commission européenne d’initier la procédure menant à une décision d’adéquation, dont l’objectif à terme serait de reconnaître l’adéquation de la législation américaine avec les exigences de législation européenne en matière de protection des données personnelles. (Réactions de Corinne Khayat et Anne-Marie Pecoraro, Avocate associée au cabinet UGGC).

Les cyberattaques subies par l’Europe émanent majoritairement de l’intérieur de l’Europe

Les données de Threat intelligence indiquent que les attaques subies par l’Europe émanent davantage de l’intérieur de ses frontières que de toute autre partie du monde. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes en Europe que les États-Unis et la Chine réunis

D’après une nouvelle analyse de F5 Labs, les cyberattaques qui frappent l’Europe émanent davantage de l’intérieur de ses frontières géographiques que de toute autre région du monde. Ce constat s’appuie sur une étude du trafic d’attaque à destination des adresses IP européennes entre le 1er décembre 2018 et le 1er mars 2019, de même que sur une comparaison avec les tendances observées aux États-Unis, au Canada et en Australie.

Principaux pays à l’origine des attaques

Les systèmes déployés en Europe sont ciblés par des adresses IP du monde entier. En examinant une carte mondiale, le F5 Labs a découvert que les pays originaires des attaques en Europe étaient analogues à ceux visant l’Australie et le Canada, mais différents de ceux s’attaquant aux États-Unis (qui subissent beaucoup moins d’attaques en provenance d’adresses IP européennes que l’Europe). Les Pays-Bas se classent en tête des 10 premiers pays à l’origine des attaques, devant les États-Unis, la Chine, la Russie, la France, l’Iran, le Vietnam, le Canada, l’Inde et l’Indonésie. Les Pays-Bas ont lancé 1,5 fois plus d’attaques contre des systèmes européens que les États-Unis et la Chine réunis, et six fois plus que l’Indonésie.

Principaux réseaux (ASN) et FAI à l’origine des attaques

Le réseau néerlandais de HostPalace Web Solution (ASN 133229) est celui qui a lancé le plus grand nombre d’attaques, suivi par le Français Online SAS (ASN 12876). Vient ensuite NForce Entertainment (ASN 43350), lui aussi néerlandais. Ces trois entreprises sont des hébergeurs Web dont les réseaux apparaissent régulièrement dans les listes F5 Labs des principaux réseaux d’acteurs malveillants5.

72 % des ASN1 d’attaque répertoriés appartiennent à des fournisseurs d’accès Internet. 28 % à des hébergeurs Web. Dans le cadre de son analyse, F5 Labs a également identifié les 50 premières adresses IP qui s’attaquent à l’Europe2. Aussi les entreprises sont-elles désormais exhortées à vérifier leurs logs réseau afin de détecter les connexions émanant de ces adresses IP. De la même manière, les propriétaires de réseaux doivent enquêter sur les éventuelles violations imputables à ces adresses IP.

Principaux ports ciblés

L’examen des principaux ports ciblés a permis à F5 Labs d’établir le type de systèmes dans la ligne de mire des attaquants. En Europe, le port 5060 est celui qui a subi le plus d’attaques. Il est utilisé par le service SIP (Session Initiation Protocol) pour la connectivité VoIP (Voice over IP) aux téléphones et aux systèmes de vidéoconférence. L’analyse du trafic d’attaque visant une destination spécifique lors d’événements mondiaux majeurs, tels que les récents sommets entre Donald Trump et Kim Jung Un ou encore Vladimir Poutine, montre que ce port est systématiquement pris pour cible. Le port 445, dédié à Microsoft Server Message Block (SMB), est le deuxième le plus attaqué, devant le port 2222, couramment utilisé en tant que port Secure Shell (SSH) non standard.

Bien se protéger

Au vu des recherches il est recommandé aux entreprises de procéder à des analyses de vulnérabilité externes constantes afin d’identifier les systèmes exposés publiquement et de déterminer sur quels ports.

Il convient de bloquer les ports les plus sujets aux attaques sur tous les systèmes exposés publiquement (par exemple le port Microsoft Samba 445, ou les ports SQL 3306 et 1433) ou de mettre en place des mesures de gestion des vulnérabilités. Les applications Web qui reçoivent du trafic sur le port 80 doivent en outre être protégées au moyen d’un pare-feu pour applications Web (WAF), être continuellement analysées pour détecter les éventuelles vulnérabilités et se voir appliquer en priorité des mesures de gestion des vulnérabilités, notamment, sans s’y limiter, la correction des bugs et l’installation de correctifs.

Un grand nombre d’attaques par force brute sur les ports prenant en charge des services d’accès tels que SSH. C’est pourquoi toutes les pages de connexion publiques doivent disposer de mécanismes de protection adéquats contre ce type d’attaques.

Les logs !

Les administrateurs réseau et les ingénieurs en sécurité doivent passer en revue les logs réseau afin d’identifier toutes les connexions vers les principales adresses IP à l’origine d’attaques. Dès lors qu’une entreprise subit des attaques émanant d’une de ces adresses IP, elle doit porter plainte pour violation auprès des FAI et des propriétaires des ASN de manière à ce qu’ils procèdent à la mise hors service de ces systèmes d’attaque.

Sara Boddy, directrice de la division Threat Research chez F5 Labs explique : « Concernant le blocage des adresses IP, l’établissement de longues listes de blocage peut se révéler difficile, tout comme le blocage d’adresses IP de FAI offrant des services Internet à des abonnés susceptibles de figurer parmi ses clients. Dans ces cas de figure, un appareil IoT infecté à l’insu de son propriétaire sera probablement utilisé comme système d’attaque et ne sera sans doute jamais désinfecté. Bloquer l’intégralité du trafic d’ASN ou de FAI peut poser problème pour la même raison. Le blocage de tout leur réseau empêcherait des clients d’engager des relations commerciales avec son entreprise. Sauf s’il s’agit d’un FAI desservant un pays dans lequel son entreprise n’exerce pas d’activités. Dans ce cas, le blocage géolocalisé au niveau d’un pays peut être un moyen efficace de filtrer un grand volume de trafic d’attaque et d’épargner à son système un traitement inutile. Il est par conséquent préférable de bloquer le trafic en fonction du schéma d’attaque sur ses pare-feu réseau et WAF.« 

La cyber criminalité constitue une préoccupation majeure pour un Français sur deux

Europ Assistance dévoile les conclusions de l’édition 2019 de son baromètre des cyber risques. L’étude, conduite en partenariat avec LEXIS, porte sur la perception des Européens et Américains à l’égard des risques liés à l’utilisation d’internet.

Près d’1 Français sur 4 connait une victime d’attaque ciblant des données confidentielles ou sensibles – de surcroît, 78% des Français considèrent une potentielle attaque contre leurs données personnelles comme un événement « hautement stressant ». Ainsi, la prise de conscience concernant les cyber risques se généralise. Quelles sont les principales inquiétudes des français face à la cybercriminalité ? 60% des sondés se disent très préoccupés par les paiements et achats en ligne, tandis qu’un sur deux s’inquiète pour la sécurité de leurs enfants et craigne une usurpation d’identité.

Des stratégies de protection en décalage avec les préoccupations en matière de cybercrimes

Un tiers des Français (32%) déclare modifier fréquemment leurs identifiants, mots de passe et certificats numériques. Plus alarmant, si la majorité d’entre eux révèle disposer d’une solution antivirus ou antimalware sur leur ordinateur, moins de la moitié déclare utiliser un service similaire sur leur smartphone ou sur leur tablette. Cette statistique est particulièrement inquiétante dans la mesure où désormais, plus de la moitié du trafic web mondial s’effectue sur ces supports.

Par ailleurs, la moitié (48%) des répondants français disent ne pas savoir comment gérer une éventuelle compromission de leurs données personnelles. Cela explique pourquoi un nombre similaire de Français (47%) déclarent ne pas avoir un sentiment de contrôle sur les informations en ligne les concernant. Ce sentiment accentué par le fait que 51% des Français pensent que les entreprises et les institutions n’en font pas assez pour protéger leurs informations personnelles.

Méthodologie : l’édition 2019 du baromètre cyber d’Europ Assistance et de LEXIS a été réalisée dans 9 pays à savoir les États-Unis, l’Italie, la France, l’Espagne, l’Autriche, la Hongrie, la Suisse, la République Tchèque et la Roumanie. Dans chaque pays, 800 consommateurs âgés de 25 à 75 ans ont répondu à un questionnaire en ligne de 15 minutes. L’enquête, conduite entre novembre et décembre 2018, porte sur quatre sujets clefs : les activités en ligne et les stratégies de protection personnelle, les inquiétudes concernant les activités Web et numériques, l’évaluation d’un service de protection contre les cyber risques, et l’intention d’achat d’un tel service.

Données personnelles : L’Europe et les États-Unis dans des directions opposées

Depuis l’élection de Donald Trump à la tête des États-Unis, la confidentialité des données personnelles est au cœur des préoccupations des deux côtés de l’Atlantique. Et il semble que les États-Unis et l’Union Européenne aient des idées divergentes sur la direction à suivre.

Nous utilisons tous des outils numériques au quotidien. Souvent, sans même nous en rendre compte, nous échangeons nos données personnelles contre la gratuité des services. En effet, l’ensemble de nos activités sur le web et même l’utilisation d’objets connectés génèrent des données que collectent et monétisent de grandes entreprises. Lorsqu’il s’agit de simples recherches sur le Web ou de la visite de sites et réseaux sociaux, il est rare de se soucier des traces que nous laissons. Mais qu’en est-il lorsqu’il est question de dossiers médicaux, juridiques, ou financiers ? Ceux-ci relèvent non seulement de la vie privée mais plus encore, de l’intimité des individus. Le problème est que la frontière entre ce qui est public et ce qui doit rester privé est relativement flou.

Alors les dispositions mises en place favorisent-elles trop souvent les entreprises ? Les citoyens doivent-ils reprendre la main sur l’exploitation de leurs données ? Jusqu’où les entreprises peuvent-elles utiliser nos données ? Autant de question à soulever et que l’on retrouve en Europe comme aux USA. C’est l’UE qui a choisi de légiférer afin de protéger ses citoyens avec l’entrée en vigueur en mai prochain du Règlement Général sur la Protection des Données (RGPD), mais pas seulement. Un autre règlement de l’UE destiné à protéger les données personnelles lors de communications électroniques va s’appliquer.

Ce projet de loi est à l’opposé de l’ordonnance du président américain qui vient supprimer la nouvelle loi de protection des données privées qui devait s’appliquer d’ici la fin de l’année. Promulguée sous le mandat Obama, elle aurait obligé les fournisseurs d’accès à Internet (FAI) à recueillir clairement le consentement des utilisateurs pour partager des données personnelles. Cela concernait les informations telles que la géolocalisation, les informations financières, de santé, sur les enfants, les numéros de sécurité sociale, l’historique de navigation Web, de l’utilisation d’une application et le contenu des communications. En outre, les FAI se seraient vu contraints de permettre à leurs clients de refuser le partage d’informations moins sensibles, comme une adresse électronique par exemple.

Mais les conflits entre les États-Unis et l’UE portant sur la protection des données, ne reposent pas seulement sur cette ordonnance. Les actualités récentes autour de l’immigration ont quelque peu masqué une autre législation qui remet en cause l’avenir du Privacy Shield. Remplaçant de l’accord « Safe Harbor », Privacy Shields a été imaginé avec le RGPD à l’esprit, ce qui signifie que l’application de l’un sans l’autre rend illégal le traitement de données issues d’entreprises européennes par des entreprises américaines… avec par conséquent un impact important sur les services cloud.

Pour le Royaume-Uni, la situation se compliquera aussi en 2019 car, en quittant l’Union Européenne, il quittera également le Privacy Shield.

La protection de la vie privée est donc intrinsèquement liée aux données et les prestataires doivent pouvoir offrir des garanties à leurs clients. Le Privacy Shield par exemple, permet de chiffrer facilement et de déplacer les données et les charges de travail entre les fournisseurs de cloud. Cela donne une assurance face aux incertitudes actuelles qui touchent les entreprises de l’UE et des États-Unis. Dans le même temps, des acteurs comme Microsoft ou Amazon renforcent leurs capacités de stockage de données en Europe, pour faire face aux demandes éventuelles d’entreprises européennes à déplacer leurs données sur le Vieux Continent au cas où les choses resteraient floues ou empireraient.

Les informations personnelles font partie intégrante de l’activité moderne et l’on ne peut pas ignorer ce fait. LE RGPD va être le nouveau point de référence pour leur protection et le conflit entre ceux qui voudront protéger les données privées et les autres souhaitant les exploiter est bien parti pour durer ! (Par Philippe Decherat, Directeur Technique chez Commvault)

Retour sur le RGPD, le Règlement Général de l’Union Européenne sur la Protection des Données

Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.

Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.

Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.

RGPD et les données de test : une vulnérabilité critique

L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.

Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :

  • L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
  • L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
  • L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
  • L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.

Cybersécurité : L’Europe annonce 450 millions pour le privé

Pourquoi est-il indispensable de renouveler les fondements de la sécurité informatique qui datent de plus de 20 ans ?

Fondements de la sécurité informatique – Devenue un enjeu essentiel, la sécurité informatique est plus que jamais au cœur des préoccupations de l’Union Européenne. La Commission Européenne a récemment annoncé qu’elle allait investir 450 millions d’euros pour la sécurité informatique dans le cadre d’un partenariat avec le secteur privé. Les sociétés de ce secteur devraient d’ailleurs tripler ce montant dans les prochaines années, pour arriver à 1,8 milliard d’euros d’investissement. « Il est encourageant que l’UE investisse davantage dans la cybersécurité et en fasse l’une de ses priorités. En raison du Brexit, les universités et les entreprises françaises pourraient d’ailleurs bénéficier de plus d’investissements. » commente Kevin Bocek, VP Threat Intelligence and Security Strategy chez Venafi.

Sécurisation des identités en ligne

Cependant, on ne sait pas encore si ces financements seront investis là où c’est nécessaire. La « sécurisation des identités en ligne » est l’un des principaux domaines sur lesquels le partenariat public/privé se focalisera. Au-delà de ça, je pense qu’il ne faut pas se contenter de sécuriser l’identité des individus, mais aussi celle des machines, des logiciels, des appareils connectés et des fondations d’Internet elles-mêmes. Les logiciels sont déjà plus nombreux que la population humaine, et la capacité à différencier le ‘bien’ du ‘mal’, les amis des ennemis, n’en devient que d’autant plus importante en ce qui concerne les machines, les logiciels et les appareils connectés. Nous devons cesser d’appliquer notre pensée anthropomorphique, mais apprendre à réfléchir comme ceux qui font peser des menaces sur notre mode de vie et notre économie au 21e siècle.

Fondements de la sécurité informatique

Fondamentalement, la façon dont nous sécurisons les logiciels, l’IoT et l’Internet en soi n’a pas changé depuis plus de 20 ans. Que l’on se connecte à une messagerie électronique ou au code de programmation d’un Airbus A380, les méthodes de connexion entre individus, la confiance placée dans les applications et le mode de fonctionnement de l’économie mondiale reposent sur la sécurité offerte par les certificats numériques et les clés de cryptage. Cela va bien au-delà de l’authentification des personnes : c’est le système qui authentifie les systèmes et les logiciels, permettant ainsi aux machines de savoir qu’elles suivent les bons ordres – tout cela est beaucoup plus préoccupant que la sécurisation des identités individuelles. Parce qu’ils définissent ce qui est digne ou indigne de confiance, les clés et les certificats peuvent être utilisés comme une cyber-arme. Ils ont déjà été employés avec succès dans les attaques cinétiques, ce qui prouve qu’il est indispensable de voir plus loin que la sécurisation de l’identité des individus.

« Si le grand public n’est pas encore informé sur les dangers liés aux clés et aux certificats, confirme Kevin Bocek, ceux-ci sont parfaitement connus de la NSA, du GCHQ et d’un groupe émergent de cyber-adversaires, de la Chine aux terroristes. Les criminels et les terroristes se mettent à utiliser ces clés et ces certificats contre nous, et nous courrons actuellement le risque de voir les terroristes pirater certaines parties de l’Internet, ou plus inquiétant encore, de s’en servir pour prendre le contrôle d’actifs physiques, qu’il s’agisse de voitures, d’avions ou de centrales nucléaires, voire de la multitude d’appareils connectés qui exercent de plus en plus de contrôle sur nos foyers« .

Dans certains cas, les terroristes se sont en fait inspirés des actions de nos propres gouvernements. Prenez simplement l’exemple de Stuxnet, un malware développé par les gouvernements américain et israélien pour neutraliser le programme nucléaire iranien ; un certificat volé a permis à ce logiciel malveillant d’être considéré comme entièrement digne de confiance par les équipements iraniens. Et aujourd’hui, quand le FBI veut prendre le contrôle d’un appareil, il utilise la clé de cryptage d’Apple pour neutraliser les défenses de l’iPhone. C’est la cyber-arme du 21e siècle : elle frappe en trafiquant l’identité des logiciels et des appareils. Voilà ce sur quoi nous devons concentrer nos efforts, et pas seulement sur les individus.

Il faut maintenant réfléchir à ce qui pourrait arriver si les réseaux de nos gouvernements ou de nos entreprises, voire même de cette nouvelle ère de l’IoT, étaient piratés, pris en otage, ou pire encore : détruits. Dans le meilleur des cas, cela déclenchera le chaos. Dans le pire, cela coûtera des vies humaines. Les fondations de la sécurité d’Internet ont plus de 20 ans. Il faut absolument que les gouvernements et les entreprises cherchent à les renforcer, à les doter d’un système immunitaire capable de nous protéger, de faire la différence entre ce qui est bien et ce qui est mal, entre ami et ennemi, et prendre immédiatement les mesures qui s’imposent pour résoudre ces problèmes.

Votre système d’information est-il protégé des dangers du cloud ?

Plan de la sécurité – Blue Coat Systems, Inc. fournisseur de solutions avancées de sécurité du Web pour les entreprises et administrations publiques, a présenté les premiers résultats d’une enquête en ligne menée auprès de 3 130 salariés d’entreprises d’une variété de secteurs en Europe. Cette enquête réalisée par YouGov offre une vision détaillée de la façon dont ceux-ci utilisent actuellement des applications cloud telles que Dropbox, Box, Office 365, Slack, LinkedIn, Facebook et Gmail sur le plan de la sécurité.

plan de la sécurité – Les professionnels européens d’aujourd’hui exposent leur entreprise à des risques de fuite et d’utilisation abusive de données sensibles. Ces risques atteignent désormais des proportions alarmantes pour les organisations. Ainsi, les résultats de l’enquête indiquent que 53 % des personnes interrogées utilisent des applications cloud au travail. Et c’est en France que celles-ci sont le plus populaires avec 64 % des répondants, soit plus qu’au Royaume-Uni (49 %) ou en Allemagne (47 %).

Les entreprises s’appuient de plus en plus sur ces technologies ; pourtant, il est fréquent que les applications cloud utilisées n’aient pas été validées par les services informatiques. C’est ainsi que des données professionnelles sensibles se retrouvent exposées à un risque d’utilisation inappropriée par des employés les partageant ou les stockant (volontairement ou non) ailleurs que sur des applications protégées d’entreprise. L’enquête met en évidence les principaux risques que le cloud représente pour les organisations, notamment celui de se retrouver avec des données échappant à leur contrôle (« shadow data »). En voici les principaux enseignements :

L’utilisation d’applications cloud au travail motivée par une quête de productivité
Le partage de données se fait principalement à des fins collaboratives : 23 % des personnes interrogées utilisent des applications cloud pour transmettre des informations à leurs collègues. En outre, 17 % des répondants se servant d’applications cloud pour travailler à distance et 10 % de ceux en utilisant en déplacement à l’étranger affirment agir dans un souci de productivité. La génération Y fait par ailleurs figure de pionnier en matière de partage de données sur de telles applications : 30 % des 18-24 ans et 25 % des 25-34 ans partagent des informations avec leurs collègues, contre 18 % des 45-54 ans et 21 % des 55 ans et plus.

Les fonctions les plus critiques présentent les risques les plus sérieux pour la sécurité des informations
Les spécialistes de la gestion des systèmes d’information (76 %), des RH (69 %) et des finances (59 %) sont ceux qui utilisent le plus ces applications cloud au travail. Ils exposent ainsi les données d’entreprise les plus sensibles et précieuses aux risques d’une sécurité moins élevée.

Les données clients et de marketing sont les plus vulnérables
Les applications cloud servent régulièrement à échanger des bases de données et du contenu. Les registres de ventes et les bases de données clients, deux éléments ciblés par la future réglementation GDPR (General Data Protection Regulation), sont donc particulièrement exposés. En effet, parmi les individus partageant des informations professionnelles confidentielles à l’aide de telles applications, 29 % partagent des données de marketing ; viennent ensuite les données clients (23 %), informatiques (20 %) et financières (17 %).

Les employés vont même jusqu’à enfreindre la loi
De nombreuses utilisateurs d’applications cloud admettent le faire à des fins non autorisées, comme pour récupérer des données de leur ancienne société, pour dénoncer leur entreprise, voire pour assurer leur protection personnelle. Bien qu’il soit illégal de dérober des données appartenant à une entreprise avant d’en rejoindre une nouvelle, 7 % des répondants admettent se servir d’applications cloud pour se livrer à cette pratique. La dénonciation d’actes répréhensibles commis par une entreprise n’est, elle, pas illégale, et est la motivation derrière 8 % de l’utilisation du cloud pour conserver des données.

C’est dans le domaine des RH que cette pratique est la plus fréquente avec 17 % des professionnels du domaine. Enfin, le souci d’assurer sa propre protection (en récupérant des données d’entreprise afin de protéger des informations personnelles) motive 14 % de l’utilisation d’applications cloud au bureau. Les spécialistes de la gestion des RH (21 %), des systèmes d’information (18 %) et financière (17 %) sont ceux qui en utilisent le plus dans ce contexte. Compte tenu de la sensibilité des données gérées par ces types de professionnels, cette pratique présente donc un risque sérieux pour les entreprises.

L’âge, un facteur majeur dans l’utilisation du cloud
Plus les employés sont jeunes, plus ils utilisent d’applications cloud : 63 % des 18-24 ans s’en servent au travail, contre 59 % des 25-34 ans, 55 % des 35-44 ans, 48 % des 45-54 ans et 47 % des 55 ans et plus. Généralement plus à l’aise avec les nouvelles technologies, les jeunes peuvent en revanche se montrer moins respectueux des mesures de sécurité.

« Cette enquête met en lumière les comportements des employés utilisant des applications cloud au bureau, ainsi que les risques auxquels ils exposent leurs employeurs en adoptant de tels comportements », déclare à DataSecurityBreach.fr le Dr Hugh Thompson, directeur technique et vice-président sénior de Blue Coat Systems, Inc. « Il est important de noter que les équipes gérant les données les plus critiques (soit les professionnels de la gestion financière, des systèmes d’information et des RH) sont les plus adeptes de ces applications. Les données sensibles placées sous leur responsabilité sont souvent les cibles privilégiées des pirates. La chasse aux shadow data, ou données « fantômes » car échappant au contrôle des équipes informatiques, restent clairement un défi de taille pour les organisations. Celles-ci doivent adopter une approche proactive afin d’éviter le partage de données sur des applications non approuvées, et pour s’assurer que les employés accèdent aux informations conformément aux paramètres d’utilisation établis pour éviter tout danger. »

N.B. Tous les chiffres, sauf mention contraire, sont fournis par YouGov Plc. Taille totale de l’échantillon : 6 044 adultes, dont 3 130 individus actifs. Le travail sur le terrain a été réalisé du 6 au 12 mai 2016. L’enquête a été réalisée en ligne. Les chiffres ont été pondérés et sont représentatifs de tous les adultes britanniques, français et allemands (âgés de 18 ans et plus).

Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

La directive européenne de protection des données personnelles est morte ! Vive le règlement général sur la protection des données (GDPR). Fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

En 1995, l’Europe s’équipait de la directive européenne de protection des données personnelles. Mission, protéger les informations des utilisateurs d’informatique. 21 ans plus tard, voici venir le règlement général sur la protection des données (GDPR). La Commission européenne avait proposé en 2012 un nouveau règlement portant sur un ensemble de règles unique pour toutes les données collectées en ligne afin de garantir qu’elles soient conservées de manière sûre et de fournir aux entreprises un cadre clair sur la façon dont les traiter.

Mercredi 13 avril 2016, le paquet législatif a été formellement approuvé par le Parlement dans son ensemble. Le GDPR impose aux entreprises (petites ou grandes) détenant des données à caractère personnel d’alerter les personnes touchées par une fuite, une perte, un piratage de la dire informations privée. Grand groupe, PME, TPE doivent informer les autorités de contrôle nationales (CNIL) en cas de violation importante de ces données. Comme je pouvais déjà vous en parler en 2014, il faut alerter les autorités dans les 72 heures après avoir découvert le problème. Les entreprises risquent une grosse amende en cas de non respect : jusqu’à 4% de son chiffre d’affaire. Les informations que nous fournissons doivent être protégées par défaut (Art. 19). A noter que cette régle est déjà applicable en France, il suffit de lire le règlement de la CNIL à ce sujet. Faut-il maintenant que tout cela soit véritablement appliqué.

Fuite, perte, piratage de données

Parmi les autres articles, le « 7 » indique que les entreprises ont l’obligation de demander l’accord « clair et explicite » avant tout traitement de données personnelles. Adieu la case par défaut imposée, en bas de page. De l’opt-in (consentement préalable clair et précis) uniquement. Plus compliqué à mettre en place, l’article 8. Je le vois dans les ateliers que je mets en place pour les écoles primaires et collèges. Les parents devront donner leur autorisation pour toutes inscriptions et collectes de données. Comme indiqué plus haut, les informations que nous allons fournir devront être protégées par défaut (Art. 19). Intéressant à suivre aussi, l’article 20. Comme pour sa ligne téléphonique, le numéro peut dorénavant vous suivre si vous changez d’opérateur, cet article annonce un droit à la portabilité des données. Bilan, si vous changez de Fournisseur d’Accès à Internet par exemple, mails et contacts doivent pouvoir vous suivre. L’histoire ne dit pas si on va pouvoir, du coup, garder son adresse mail. 92829@orange.fr fonctionnera-t-il si je passe chez Free ?

La limitation du profilage par algorithmes n’a pas été oublié. En gros, votre box TV Canal +, Orange ou Netflix (pour ne citer que le plus simple) utilisent des algorithmes pour vous fournir ce qu’ils considèrent comme les films, séries, émissions qui vous conviennent le mieux. L’article 21 annonce que l’algorithme seul ne sera plus toléré, surtout si l’utilisation n’a pas donné son accord. Enfin, notre vie numérique est prise en compte. Les articles 33 et 34 s’annoncent comme les défenseurs de notre identité numérique, mais aussi notre réputation numérique. L’affaire Ashley Madisson est un des exemples. Votre identité numérique est volée. L’entreprise ne le dit pas. Votre identité numérique est diffusée sur Internet. Vous ne la maîtrisez plus.

Bref, 33 et 34 annonce clairement que les internautes ont le droit d’être informé en cas de piratage des données. La CNIL sera le récipiendaire des alertes communiquées par les entreprises piratées. Bref, fuite, perte, piratage de données ? Entreprise, il va falloir communiquer !

Les entreprises ont jusqu’au 1er janvier 2018 pour se mettre en conformité. Les 28 pays membres doivent maintenant harmoniser leurs lois sur le sujet. Je me tiens à la disposition des entreprises, associations, particuliers qui souhaiteraient réfléchir à leur hygiène informatique.

Police : nouvelles règles sur les transferts de données

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires. La directive s’appliquera aux transferts de données à travers les frontières de l’UE et fixera, pour la première fois, des normes minimales pour le traitement des données à des fins policières au sein de chaque État membre.

Les nouvelles règles ont pour but de protéger les individus, qu’il s’agisse de la victime, du criminel ou du témoin, en prévoyant des droits et limites clairs en matière de transferts de données à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales – incluant des garanties et des mesures de prévention contre les menaces à la sécurité publique, tout en facilitant une coopération plus aisée et plus efficace entre les autorités répressives.

« Le principal problème concernant les attentats terroristes et d’autres crimes transnationaux est que les autorités répressives des États membres sont réticentes à échanger des informations précieuses », a affirmé Marju Lauristin (S&D, ET), députée responsable du dossier au Parlement. « En fixant des normes européennes sur l’échange d’informations entre les autorités répressives, la directive sur la protection des données deviendra un instrument puissant et utile pour aider les autorités à transférer facilement et efficacement des données à caractère personnel tout en respectant le droit fondamental à la vie privée« , a-t-elle conclu.

L’Europe veut punir le simple fait de fournir un lien vers du contenu protégé

Pour faire payer les moteurs de recherches qui diffusent des liens vers des contenus illicites ou protégés par les droits d’auteurs, l’Union Européenne souhaite sanctionner les liens vers des contrefaçons.

La député européenne Julia Reda, membre du Parti Pirate, vient d’expliquer sur son blog que l’Union Européenne serait en train de se pencher sur un nouveau moyen de faire disparaître de la toile les liens renvoyant vers des contrefaçons de films, mp3, … mais aussi d’articles de presse protégés par le droit d’auteur.

Bref, le moindre lien vers un contenu protégé par le droit d’auteur pourrait être sanctionné par la justice. Cette loi, comme le précise Huse in writting a aussi pour mission de faire payer Google et compagnie dès que les moteurs de recherche indexent des contenus protégés, comme des articles de presse. Imaginez, un blog, qui diffuse automatiquement (ou non) des liens vers des articles. Cette loi Européenne pourrait sanctionner le blogueur. « Cela ouvre la voie à une censure généralisée et sans frontières. » indique AHW.

On va rire quand Google, en réponse, ne référencera plus aucun article de presse. Cette proposition législative doit être présentée au printemps 2016. (Ipkitten)

Faudra-t-il, bientôt, fournir son identité pour posséder un drone ?

Jeudi 29 octobre, le Parlement européen de Strasbourg a adopté un rapport sur les drones qui pose les bases d’une prochaine législation européenne pour encadrer leur utilisation.

Certes la future réglementation européenne aura pour ambition de répondre aux inquiétudes justifiées concernant la sécurité mais tentera aussi de donner à cette filière émergente les moyens de se développer dans un cadre respectueux des citoyens et des espaces aériens. Cette filière des drones est en pleine évolution, et il est du rôle de la Commission européenne de l’appuyer tout en l’encadrant. Il est ainsi prévu qu’un volet législatif européen soit ouvert dans le futur paquet aérien qui sera présenté par la commission en décembre prochain. En effet, il n’y pas moins de 14 législations nationales (plus ou moins contraignantes) parmi les 28 pays de l’Union européenne, et la France fut l’une des premières à légiférer.

Ce rapport entend assurer la traçabilité de l’ensemble des engins, mais aussi des exploitants et propriétaires comme conditions sine qua none à toute utilisation. C’est une bonne chose car l’on a pu voir lors du survol des centrales nucléaires françaises que nous étions incapables d’en retrouver les pilotes. Il faut mettre en place un système d’immatriculation qui permettra d’identifier facilement les drones, et même à distance si possible. Les risques terroristes font craindre une véritable menace sur la sécurité du parc nucléaire français, pouvant provoquer un black-out électrique ou même un accident nucléaire majeur, comme nous avions pu le démontrer dans une lettre au gouvernement français… restée sans réponse.

Il est aussi prévu d’assurer une meilleure navigabilité pour les drones avec un partage de l’espace aérien clair. Il faudra surtout bien distinguer les usages récréatifs et professionnels, et donner des autorisations différentes à leurs utilisateurs.

Les eurodéputées Karima Delli et Michèle Rivasi (écologistes) concluent que « Ce rapport est dans la droite ligne des préoccupations écologistes, et appelle clairement à l’interdiction des survols des zones nucléaires mais aussi des zones chimiques à risque. Nous avons de plus obtenu la garantie d’une protection efficace des données de l’ensemble des citoyens européens afin que la liberté de chacun soit assurée« .

La législation est pourtant claire sur ce sujet. Le survol de zone publique, industrielle est déjà interdite ou faisant face à des règles très précises. Dans une commune, par exemple, seul un arrêté municipal peut autoriser, ou non, le survol d’un drone.

Consulter un film en streaming n’est plus illégal ?

Voilà un titre qui annonce d’entrée de jeu la couleur. L’Union Européenne a décidé, la semaine derniére, que les internautes qui consultent dorénavant du contenu protégé par le droit d’auteur en ligne ne risquent  plus d’être inquiétés par la justice.

Voilà qui laisse perplexe. La décision indique clairement qu’un internaute européen qui regarde un film, une série TV, une émission ou encore une musique via un site de streaming pirate ne sera plus inquiété par la justice dans la mesure ou le dit internaute n’a rien téléchargé. Ici, la finesse est intéressante car, dans tous les cas, même en streaming, des données sont téléchargées sur l’ordinateur.

Cette extrapolation vient à la suite d’une décision de la justice européenne qui a du trancher entre deux sociétés, Meltwater et Newspaper Licensing Agency. La premiére entreprise, basée en Suède, avait copié et diffusé dans sa newsletter à destination de ses clients des actualités récupérées dans la presse. Une revue de presse vue d’un mauvais oeil par le britannique Newspaper Licensing Agency. Meltwater ne diffusait que le début du texte et un lien renvoyant sur le site d’origine et l’intégralité de l’article. [Supreme Court]

L’agence de presse s’était aussi attaquée aux clients, considérant que ces derniers devaient payer une licence d’utilisation. L’Europe vient donc de trancher considérant que le « lecteur » n’était pas responsable et n’avait rien à payer. Bref, l’internaute visionneur n’enfreint pas l’article 5 de la Directive européenne sur l’harmonisation du droit d’auteur et des droits voisins dans la société de l’information.

Une exemption à la loi européenne car dans ce cas, l’internaute utilise une reproduction temporaire d’un contenu protégé. Bilan, consulter un article, un film, une série TV en mode ‘streaming » ne sont donc plus illicites. Par contre, que le diffuseur continue de trembler. Le fait de mettre à disposition ces contenus protégés reste interdit et punissable. [Curia Europa]

CJUE: Un coup d’arrêt à la rétention des données

L’Union européenne invalide la directive controversée sur la rétention des données. Dans un arrêt publié ce mardi 8 avril, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la directive européenne 2006/24 sur la rétention des données ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, notamment pour non-respect du principe de proportionnalité. Le juge européen reproche en outre à la directive de ne pas imposer une conservation des données sur le territoire de l’UE.

La Député Européenne Françoise Castex salue cette décision de la CJUE: « après le rapport Moraes sur le programme d’espionnage de la NSA, et l’adoption du paquet données personnelles par les eurodéputés, c’est un signal fort envoyé au Conseil. » La directive 2006/24 oblige les opérateurs télécoms à stocker des données sur l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves.

Pour la Vice-Présidente de la Commission des Affaires juridiques du Parlement européen: « cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données« .

« Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toute, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines« , conclut l’eurodéputée Nouvelle Donne.

Affaire Orange: Le gouvernement (enfin) à l’écoute des Français

Suite aux révélations des services secrets techniques britanniques (GCHQ) sur la collaboration d’Orange avec la DGSE dans la collecte de données, l’eurodéputée Françoise Castex réagit: « Vu de Bruxelles, ces révélations ne sont malheureusement qu’une demi-surprise! Le Parlement européen a pointé du doigt, la semaine dernière, dans son rapport sur le programme d’espionnage massif de la NSA, certains États membres, à commencer par la France. »

Le rapport Moraes, voté mercredi 12 mars à Strasbourg, demandait en effet à la France et cinq autres pays européens de clarifier les allégations de surveillance massive, et notamment les éventuels accords entre services de renseignement et entreprises de télécommunications sur l’accès et l’échange de données personnelles – et leur compatibilité avec la législation européenne.

Pour Françoise Castex « à la lumière de ces révélations, on comprend mieux le manque d’empressement du gouvernement français à dénoncer le scandale de la NSA, et qu’il ait mis plus d’un an et demi à transmettre aux eurodéputés français un semblant de position sur le paquet données personnelles en cours de négociation au niveau européen. »

Pour l’eurodéputée Nouvelle Donne: « La France doit revoir sa législation nationale afin de garantir que la DGSE soit soumise à une vraie surveillance publique par le biais d’un contrôle parlementaire et judiciaire effectif. »

« Au lieu d’écouter les Français, le gouvernement ferait mieux d’entendre leurs préoccupations réelles, à commencer par le respect de leurs droits fondamentaux! » conclut l’élue du Gers.

Paquet Télécom: « Internet n’est pas privatisable! »

La Député Socialiste Françoise Castex s’indigne du vote de la Commission Industrie du Parlement européen qui a écarté le volet « neutralité du net » du paquet télécom. Mardi 18 mars, les membres de la Commission de l’industrie, de la recherche et de l’énergie (ITRE) du Parlement européen ont adopté (30 pour, 12 contre, 14 abst.) le rapport Pilar Del Castillo (ES, PPE) relatif au marché unique européen des communications électroniques. Françoise Castex, qui avait contesté dès janvier 2013 les propositions de Neelie Kroes[1], s’indigne que ses collègues parlementaires n’aient pas voté un texte fort et contraignant sur la neutralité du net.

En cause, notamment, l’alinéa 2 de l’article 23 (voté par 33 membres de la Commission ITRE contre 23) de la proposition de règlement concernant la fourniture de services spécialisés d’un niveau de qualité supérieure. « Avec ce texte, les opérateurs en ligne pourront lier l’accès des utilisateurs à la toile au subventionnement de « services spécialisés« , souligne Françoise Castex. « C’est la porte ouverte à des offres différenciées d’accès à Internet, à un Internet bridé par des fournisseurs d’accès devenus eux-mêmes fournisseurs de contenus. »

Avant d’ajouter: « C’est la menace d’une transformation de la ressource publique mondiale que constitue Internet en un réseau de distribution privé pour le seul bénéfice de quelques acteurs. »

« Cela risque de détruire la concurrence et de favoriser les monopoles extracommunautaires déjà en place, comme Google et Facebook », poursuit l’eurodéputée Nouvelle Donne. »

La Commission ITRE a rejeté à une voix près le mandat de négociation interinstitutionnel (30 pour, 26 contre, 1 abst.). Tout se jouera donc lors de la mini-plénière de Bruxelles le 3 avril prochain. Sur Twitter, l’eurodéputée du Sud-Ouest a d’ores et déjà appelé les internautes à se mobiliser et à interpeller leurs eurodéputés: « Au-delà des libertés fondamentales, cette remise en cause du principe de neutralité du net, combinée à l’accord de libre-échange avec les États-Unis, pourrait avoir des lourdes conséquences sur l’économie européenne. » met en garde Françoise Castex.

Les données personnelles des Européens ne sont pas à vendre !

Ce mercredi à Strasbourg, le Parlement européen a enfin adopté le paquet sur les données personnelles. Après trois ans de travail parlementaire les eurodéputés ont adopté à une forte majorité le règlement (621+, 10-, 22 abst) et, malgré l’opposition de la droite européenne, la directive (371+, 276 –, 30 abst) sur les données personnelles et ont octroyé aux deux rapporteurs du Parlement européen,  Jan-Philippe Albrecht (Verts, All) et Dimitrios Droutsas (S&D, GR), un large mandat de négociation avec le Conseil et la Commission européenne.

« C’est un signal politique fort envoyé aux citoyens européens, qui tranche avec le silence du Conseil! », se félicite Françoise Castex. « Les données personnelles des Européens ne sont pas à vendre! »

« Après le scandale de la NSA et alors que nous négocions un accord de libre-échange avec un État qui espionne nos concitoyens, il était fondamental de redéfinir les règles du jeu« , souligne l’eurodéputée Nouvelle Donne.

Les deux textes visent à renforcer la protection des données des citoyens européens et à restaurer la confiance des consommateurs dans les entreprises sur internet. « Nous souhaitions un encadrement plus strict des données pseudonymes, mais ce résultat est dans l’ensemble un bon résultat qui était encore impensable il y a quelques mois”, note Françoise Castex. « Le consentement explicite, l’encadrement des transferts de données vers un État tiers ou la possibilité de déréférencement sont des avancées réelles pour la protection de la vie privée des citoyens européens. »

Avant de conclure: “L’affaire PRISM, et les plaintes de plus en plus nombreuses des consommateurs montrent que la question de la protection des données personnelles est devenue une priorité pour nos concitoyens. Le Conseil ferait une grave erreur en écartant ce sujet à trois mois des élections européennes ».

Pour la Quadrature du Net, des failles majeures subsistent dans le règlement du Parlement européen sur la protection des données. Le Parlement européen vient d’adopter en première lecture le rapport [1] de Jan Philipp Albrecht concernant le règlement général sur la protection des données. Les eurodéputés sont finalement parvenus à résister aux pressions des lobbys [2] et ont rejeté la plupart de leurs propositions préjudiciables [3]. Bien que d’importants progrès ait été réalisés aujourd’hui, les dangereuses notions d’« intérêt légitime » et de « données pseudonymisées » ont été conservées, et pourraient empêcher le texte définitif de protéger les citoyens de manière effective. ***

Le 21 octobre 2013, la commission « libertés civiles » (LIBE) a adopté son rapport relatif au règlement général sur la protection des données, avant de donner mandat à son rapporteur, Jan Philipp Albrecht (Verts/ALE – Allemagne), pour négocier à huis clos un accord avec la Commission européenne et le Conseil des Ministres (trilogue). Ces négociations n’ayant pas débouché sur un consensus, le Parlement européen a finalement adopté un texte identique à celui de LIBE.

Malgré une campagne de lobbying sans précédent menée à Bruxelles par les secteurs de la banque, des technologies et des gouvernements étrangers, la mobilisation de la société civile est parvenue à convaincre les députés de préserver la plupart des progrès introduits par la Commission européenne en 2012 : le consentement explicite [4], des sanctions effectives (pouvant à présent atteindre 5% du chiffre d’affaires mondial d’une entreprise), un champ d’application territorial large et clairement défini, ainsi que des droits plus forts et équilibrés pour les citoyens.

Malheureusement, les députés ne sont pas parvenus à corriger la faille la plus dangereuse laissée dans la proposition initiale par la Commission en 2012 : la définition bien trop large de la notion d’« intérêt légitime ». En tant que tel, l’« intérêt légitime » de quiconque peut être utilisé comme fondement légal permettant d’outrepasser le consentement d’un individu afin de traiter les données le concernant. En outre, le rapport introduit le concept insidieux de données « pseudonymisées », si cher aux lobbys des technologies.

La publication de la position du Conseil sur le règlement est prévue pour les 5 et 6 juin prochains.

« Le vote d’aujourd’hui ferme le premier chapitre d’un long processus qui déterminera si les citoyens européens regagneront le contrôle de leur vie privée. Bien que la société civile se soit fermement opposée aux lobbys des banques, des géants de l’Internet et de certains gouvernements, les eurodéputés ne sont pas parvenus à corriger les failles majeures du texte. Les citoyens doivent exiger de leur gouvernement qu’il corrige ces failles, préserve les avancées, et n’introduise pas de nouvelles exceptions dans le texte. Ce règlement devant être finalisé par le prochain Parlement, les citoyens doivent attirer l’attention des candidats à l’élection européenne sur ces questions. », déclare Miriam Artino, analyste politique à La Quadrature du Net.

* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2013-0402+0+DOC+XML+V0//FR
2. https://www.laquadrature.net/wiki/Lobbies_on_dataprotection
3. https://www.laquadrature.net/fr/des-failles-majeures-dans-le-reglement-relatif-a-la-vie-privee-le-parlement-doit-defendre-les-citoye
4. https://www.laquadrature.net/fr/privacy-alert-1-le-consentement-explicite

IP-tracking: Le Parlement traque la Commission européenne

Les eurodéputés demandent que l’IP-tracking soit reconnu comme une pratique commerciale déloyale. La Commission des affaires juridiques du Parlement européen a adopté aujourd’hui un rapport sur l’application de la directive 2005/29/CE sur les pratiques commerciales déloyales. Dans ce rapport, voté à l’unanimité, les parlementaires demandent aux États membres et à la Commission européenne une protection adéquate des consommateurs face à l’IP-tracking [1].

Françoise Castex se félicite que l’ensemble des groupes politiques aient soutenu son amendement visant à reconnaître l’IP-tracking comme une pratique commerciale déloyale. « C’est la preuve que le ras-le-bol est général face à ces pratiques inadmissibles qui touchent des millions de consommateurs européens! » déclare l’eurodéputée socialiste.

« Le Parlement souhaite mettre un terme à l’inaction de la Commission et des États membres« , estime Françoise Castex, qui avait saisi l’exécutif européen un janvier puis en juillet dernier [2]. « Nous demandons à la Commission européenne de se pencher sur ce phénomène bien connu des consommateurs et de proposer enfin un texte qui interdise ces pratiques commerciales sur le net. »

« À défaut, nous demanderons à la Commission européenne une révision de la directive 2005/29« , conclut la Vice-présidente de la Commission des Affaires juridiques du Parlement européen.

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[1] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

[1] Méthode utilisée par un opérateur et qui consiste, lorsqu’un usager effectue une recherche de billets, à enregistrer cette recherche et l’associer à l’adresse IP du terminal utilisé. Si l’usager n’achète pas immédiatement, et se décide un peu plus tard, l’opérateur ayant gardé en mémoire l’intérêt manifesté par l’usager pour ce trajet, propose alors un prix un peu supérieur, ceci afin de susciter l’achat immédiatement en laissant penser à l’internaute que le nombre de places diminue et que le prix augmente.

[2] Françoise Castex avait saisi la Commission européenne le 29 janvier 2013 par une question avec demande de réponse écrite (http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+WQ+P-2013-000873+0+DOC+XML+V0//FR&language=fr) et interpellé le Commissaire à la protection des consommateurs lors de sa prise de fonctions le 2 juillet: http://www.francoisecastex.org/2013/07/ip-tracking-francoise-castex-saisit-le-nouveau-commissaire-croate.html

Privacy Alert

Depuis plus d’un an, le Parlement européen étudie la proposition de règlement [1] de la Commission européenne qui vise à réformer la législation encadrant la protection des données personnelles au niveau européen. Jusqu’à présent, les différentes commissions parlementaires ayant travaillé sur ce projet se sont exprimées pour l’assouplissement des règles protégeant notre vie privée. Alors qu’un vote crucial approche [2] au sein de la commission « libertés civiles » (LIBE), La Quadrature du Net commence la publication d’une série d’analyses [3] abordant les points clefs, enjeux, progrès et dangers de cette réforme. ***

Face au développement de pratiques dangereuses pour notre vie privée de la part d’entreprises peu scrupuleuses, et afin d’encadrer la collecte, le traitement, et la vente des données personnelles des citoyens européens, la Commission européenne a présenté en janvier 2012 une proposition de règlement [1] destinée à réformer la législation en vigueur, datant de 1995. Ce règlement, qui devrait entrer en vigueur en 2015, sera directement applicable dans l’ensemble des États membres de l’Union européenne et se substituera immédiatement à toutes les lois nationales existantes en la matière [4]. Tel que proposé par Viviane Reding, commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté, il pourrait constituer une réelle avancée pour la protection de notre vie privée.

Adopté en l’état, le règlement permettrait de :

   – renforcer considérablement les droits des citoyens, les obligations des entreprises et les pouvoirs conférés aux autorités de contrôle, à l’instar de la CNIL [5] en France ;    – définir plus largement la portée de ce cadre légal afin de couvrir les activités de toute entreprise – quelque soit sa situation géographique – analysant les comportements des citoyens européens ou leur proposant des biens ou des services.

Une campagne de lobbying sans précédent

En réponse à la proposition de la Commission, de puissantes entreprises, principalement américaines (banques, assurances et services Internet), ont mené une campagne de lobbying sans précédent [6] afin de faire exclure de la version finale du règlement les propositions destinées à protéger les données personnelles des citoyens. Comme l’a clairement démontré le site Internet LobbyPlag [7], certains députés européens clés ont ainsi recopié mot pour mot les demandes des lobbies dans leurs propositions d’amendements.

Quatre commissions [8] du Parlement européen ont déjà exprimé leur avis sur les modifications à apporter à la proposition de la Commission. Directement influencées par les lobbies, elles se sont chaque fois exprimées en faveur de l’affaiblissement du cadre législatif protégeant la vie privée des citoyens européens et de la réduction des responsabilités incombant aux entreprises.

Ces avis n’ont cependant qu’une valeur consultative, et la situation peut encore être renversée : la liste des amendements que le Parlement européen dans son ensemble pourra adopter lors de la première lecture du texte, prévue pour la fin de l’année 2013, doit être adoptée par la commission « libertés civiles » (LIBE) lors d’un vote devant avoir lieu avant la fin du mois de juin.

Agissons !

Avant ce vote, nous devons nous assurer que ces députés ne céderont pas aux pressions des lobbies, comme ont pu le faire ceux des commissions ayant déjà exprimé leur avis, mais qu’ils garantiront une mise en œuvre efficace des avancées proposées par la Commission. Dès à présent et jusqu’au moment du vote, les citoyens doivent contacter [9] leurs députés européens et réclamer une réelle protection de leur droit fondamental à la vie privée. Comme l’a démontré le rejet d’ACTA [10] l’été dernier, les appels des citoyens à protéger l’intérêt général plutôt que les intérêts privés de quelques uns peuvent être entendus par les élus, à condition que cette mobilisation citoyenne soit suffisamment importante, soutenue et relayée.

Pour permettre à tous de s’approprier les enjeux et points clés de ce débat, La Quadrature du Net démarre la publication d’une série d’analyses présentant les principaux aspects du projet de règlement. Chacune abordera les avancées que pourraient constituer les propositions de la Commission, les raisons pour lesquelles les lobbies de l’industrie s’y opposent et les positions exprimées par les députés européens jusqu’à présent.

Privacy Alert : #1

Le consentement explicite La première analyse (à venir) de cette série abordera la question du « consentement explicite » et son rôle central dans le contrôle de nos données personnelles.

Références

1. http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_fr.pdf

2. Le vote de la commission LIBE était initialement prévu pour les 29-30 mai, mais devrait finalement avoir lieu au mois de juin.

3. https://www.laquadrature.net/fr/privacy-alert-0-introduction#sommaire

4. La Commission européenne est l’institution disposant de l’initiative législative au niveau européen. Le Parlement européen et le Conseil de l’Union européenne (formé de ministres des différents États membres) peuvent amender les textes législatifs proposés par la Commission jusqu’à arriver à un accord sur le texte à adopter, qui entrera alors en vigueur, ou à le rejeter.

Au terme de ce processus, deux types d’actes législatifs peuvent être adoptés : une directive, qui pose des objectifs et des principes que chaque État membre devra intégrer dans son droit national, quitte à adopter une loi nouvelle ; ou un règlement, qui s’appliquera directement à l’ensemble des États membres.

Le choix du règlement semble particulièrement adapté pour contrôler la circulation des données personnelles sur Internet, qui est par essence transfrontalière. L’actuelle réglementation européenne en la matière – la directive de 1995 – pâti, entre autres, d’une transposition et d’une interprétation hétérogènes au sein des différents pays membres de l’Union européenne, dont certaines entreprises peu respectueuses de la vie privée profitent.

5. La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante française. La CNIL est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni à la vie privée, ni aux libertés individuelles ou publiques, ni à aucun autre droit de l’Homme.

6. Voir la page du wiki de La Quadrature [en] recensant un grand nombre des documents envoyés aux députés européens par des entreprises privées : https://www.laquadrature.net/wiki/Lobbies_on_dataprotection

7. http://lobbyplag.eu/

8. Avant de voter en formation plénière, les députés du Parlement européen travaillent au sein de commissions parlementaires, chacune chargée de thèmes différents (libertés civiles, emploi, agriculture, etc) et composées de quelques dizaines de membres. Ces commissions parlementaires étudient les propositions législatives faites par la Commission européenne et proposent les amendements que l’ensemble du Parlement européen votera lors des sessions plénières.

Les commissions « consommateurs » (IMCO), « emploi » (EMPL), « industrie » (ITRE) et « affaires juridiques » (JURI) ont chacune proposé des amendements à la commission « libertés civiles » (LIBE), chargée de rédiger le rapport destiné à l’ensemble du Parlement.

Voir le wiki de La Quadrature pour une analyse détaillée des amendements les plus dangereux proposés par chaque commission : pour IMCO [en] https://www.laquadrature.net/wiki/Data_protection:_IMCO pour ITRE [en] https://www.laquadrature.net/wiki/Data_protection:_ITRE pour JURI [en] https://www.laquadrature.net/wiki/Data_protection:_JURI

9. https://www.laquadrature.net/wiki/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en

10. https://www.laquadrature.net/fr/acta-victoire-totale-pour-les-citoyens-et-la-democratie