Valentin Boullier

Just another WordPress site

Archives du mois : mai 2015

Publication sur le site du Sénat du tome II du rapport « Sécurité numérique et risques : enjeux et chances pour les entreprises » mai 7, 2015

Le Sénat a publié, le 14 avril 2015, le tome II du rapport « Sécurité numérique et risques : enjeux et chances pour les entreprises ». Ce tome compile les retranscriptions des auditions. Le rapport, d’une longueur de 417 pages, permet de relever les positions des différents organismes, institutions et personnes auditionnées.

Les auditions ont été extrêmement riches. S’il n’est pas possible ici d’étudier l’ensemble des auditions, il est en revanche intéressant d’en extraire certaines phrases.

CNIL

M. Gwendal Le Grand, directeur des technologies et de l’innovation, relève ainsi un « passage d’une informatique de gestion des systèmes à une informatique de la donnée » (rapport n°271 de Mme Anne-Yvonne Le Dain – députée – et de M. Bruno Sido – sénateur, tome II, p. 25) et une compétition des plates-formes « pour collecter un maximum de données personnelles » (p. 26). M. Le Grand revient également sur les effets du Patriot Act et des programmes des agences de renseignement américaines : « cette affaire a montré qu’il y avait une possibilité d’accès à tout type de données » (p. 27). L’affaire Prism pourrait également, selon M. Le Grand, constituer une véritable opportunité pour les entreprises françaises, où la perte de confiance a entraîné des conséquences économiques fâcheuses. Il cite également la politique de certaines sociétés utilisant l’argument de la protection des données personnelles, comme OVH dans leur stratégie commerciale – cette position est aujourd’hui grandement mise à mal. L’influence américaine se diffuse également au coeur des institutions européennes, notamment à propos du projet de règlement européen sur la protection des données personnelles : « il y a eu une grosse activité des groupes de pressions (sic), notamment des Américains, pour peser sur ce règlement » (p. 35).

M. Le Grand souligne, avec force, les actions du G29. Ce dernier a ainsi formulé une demande, à destination de l’ICANN, afin que celle-ci mette en place une protection efficace des données.

Enfin, nous pouvons relever l’expression pertinente utilisée par M. Le Grand – « l’hygiène numérique » -, et la mise en valeur des relations entre la CNIL et l’ANSSI (actions « complémentaires », collaboration fructueuse, etc.).

L’essentiel de l’intervention est résumée dans cette phrase : « Vous consommez un service et ne savez pas où sont stockées vos données ».

Conseil national du numérique

M. Serge Abiteboul, membre du CNN, directeur de recherche (INRIA, ENS de Cachan), note que la gratuité des services comme Google est compensée par un profit tiré des données : « en réalité, c’est en monétisant les informations placées dans le nuage que des profits sont dégagés. Le prix à payer par l’utilisateur du nuage est la perte du contrôle sur ses données et le fait de les laisser à disposition » (p.71). M. Abiteboul souligne l’influence des Etas-Unis : ainsi, une fois de plus, l’utilisation de services cloud américains soumet l’utilisateur à la loi américaine. De même, M. Abiteboul souligne la dangerosité de la LPM (loi de programmation militaire) et les effets néfastes de celle-ci sur la démocratie : « ce qui peut être inquiétant, c’est que, sans passer par un juge, il soit possible de commander à des fournisseurs de services Internet de se livrer à des écoutes – ce qui est prévu par la loi de programmation militaire » (p.73).

Un autre membre du CNN, M. Jean-Baptiste Soufron souligne que « l’axe des données économiques n’a pas encore été vraiment abordé » p.74). M. Soufron évoque également les conséquences que pourrait avoir le TAFTA (Traité transatlantique de libre-échange) : « plus on creuse, plus on se rend compte que ce point est essentiel dans ce texte qui contient de nombreux nouveaux concepts qui sont poussés dans la négociation et, parmi ceux-ci, il en est qui visent à anéantir la possibilité pour les Européens de réguler les données » (p.76).

OPEN-ROOT

De nombreux autres organismes, publics ou privés, ont pu, par la voie de leurs représentants, formuler un avis. La déclaration de M. Louis Pouzin ne peut être résumée en quelques phrases, son intervention étant extrêmement riche en enseignements (l’intervention complète sur le site du Sénat, ici). M. Pouzin délivre un avis sévère sur l’ICANN et son fonctionnement (« jeu de dupes » – p. 139). Il rappelle l’influence – et la domination – des Etats-Unis en la matière. Il mentionne également les relations qu’entretient l’Union européenne avec les Etats-Unis : « à noter que l’Union européenne est de connivence avec les américains dans cette organisation, Verisign ayant obtenu un contrat d’exclusivité pour gérer des noms de domaines de l’Union européenne » (p.139). Dans la suite de l’intervention, M. Pouzin abord également le sujet des racines ouvertes (« open-root »), méconnu des internautes et pourtant fascinant. Le site open-root.eu, ouvert par M. Pouzin, permet de découvrir ce système. Ainsi, on y apprend qu’une racine ouverte est une « racine indépendante de l’ICANN, donc du DOC, créée par des organismes privés, pour des utilisateurs refusés par l’ICANN, ou bien refusant les conditions imposées par l’ICANN » (les explications complètes ici). 

Toutes les interventions peuvent être librement consultées sur le site du Sénat : ici. Une majorité aborde des thématiques d’actualité : risques du cloud, insuffisance de la formation des personnels en sécurité informatique, nécessité d’une telle formation, etc.

DOC : Department of Commerce US

Par - 0 commentaire(s)

Renforcement de la coopération entre la France et les États-Unis en vue du maintien du « Visa Waiver Program » & données personnelles mai 7, 2015

La commission des lois du Sénat a adopté, le 1er avril 2015, le projet de loi « autorisant l’approbation de l’accord sous forme d’échange de lettres entre le Gouvernement de la République française et le Gouvernement des États-Unis d’Amérique relatif au renforcement de la coopération en matière d’enquêtes judiciaires en vue de prévenir et de lutter contre la criminalité grave et le terrorisme ».

Ce projet de loi a pour but de renforcer la coopération policière entre la France et les États-Unis dans le cadre du « Visa Waiver Program ». Celui-ci vise à exempter de visa les ressortissants de nombreux pays pour les séjours – touristiques ou d’affaires- de moins de trois mois. Or, ce programme a été mis en péril par les attentats terroristes ayant frappé les États-Unis et les pays d’Europe. En effet, les américains souhaitent depuis quelques années réformer ce programme afin de renforcer la sécurité aux frontières. Les États-Unis ont donc imposé comme maintien du programme une condition visant au renforcement de la coopération policière (GARRIAUD-MAYLAM J., rapport n°386, enregistré à la Présidence du Sénat le 1er avril 2015, p.8).

Les négociations avec la France ont débuté en 2008 et ont porté sur l’échange d’informations relatives aux données génétiques et aux empreintes digitales. En 2012, les négociations aboutissent à une proposition, basée sur le traité de Prüm (fichier .pdf ici, source : CNIL), qui prévoyait déjà, entre sept pays européens – dont la France – un renforcement de la coopération transfrontalière par l’échange de données relatives aux profils ADN et dactyloscopiques. L’objectif, à terme, est de permettre aux deux parties de pouvoir consulter de manière automatisée des « fichiers d’analyses ADN et des systèmes d’identification dactyloscopique » (exposé des motifs, IV°). Le système retenu est le système « hit/no hit » (traduit par concordance/absence de concordance).

Quel champ d’application ?

Un opérateur – et, à terme, le système automatisé – ne pourra réaliser une vérification de toutes les personnes concernées par le programme d’exemption de visa. La recherche d’informations ne pourra ainsi être opérée par la simple suspicion : en effet, cette recherche doit être justifiée par l’existence d’une enquête ou d’une procédure judiciaire, où une peine privative de liberté de trois ans est encourue.

Quels garde-fous ?

Le droit national s’appliquera dans tous les cas : ainsi, la transmission de données ne pourra intervenir que dans le cadre du droit national, et, en cas de concordance, « la transmission de données à caractère personnel complémentaires […] se fait selon la législation nationale de la Partie requise, notamment dans le cadre de l’entraide judiciaire, et non pas de manière automatique » (rapport n°386 préc., p. 12). Par voie de conséquence, les grands principes français relatifs à la protection des données personnelles (finalité, sécurité, conservation, etc.) devront être appliqués lorsque les États-Unis utiliseront ce système. Il est intéressant de noter que les données provenant d’un État tiers (par exemple, le Royaume-Uni), ne peut faire l’objet d’aucune transmission sans autorisation, et ne peut rentrer dans le système basé sur la concordance.

Il est intéressant de noter que le rapport n°386 rappelle que la transmission de données à un autre pays ne peut être réalisée que lorsque ce pays protège efficacement les données personnelles transmises : « la Commission européenne estime que les États-Unis ne présentent pas un niveau de protection globale et que l’appréciation du niveau de protection doit se faire au cas par cas » (rapport n°386 préc., p. 13). Ainsi, la France a « négocié des garanties importantes »… malgré le fait que la CNIL n’a pas été « spécifiquement associée à la conclusions (sic) de cet accord […] ».

Une traçabilité des échanges est également mise en place par la création d’un registre permettant de retracer toutes les demandes et données transmises. Les autorités en charge de la protection des données personnelles sont en charge du contrôle du système.

De même, un recours est ouvert aux personnes ayant été visées par une recherche. L’exposé des motifs et le rapport n°386 ne sont pas plus explicites.

Pourquoi un tel changement ?

Les États-Unis souhaitent renforcer leur sécurité, et conditionnent le maintien du « Visa Waiver Program » à la coopération des autres États membres dudit programme. Le rapport n°386 rappelle par ailleurs que :

Depuis 2007, 475 demandes d’entraides ont été adressées aux États-Unis par les autorités françaises dont 48 en matière de terrorisme et 225 par les autorités américaines à la France dont 37 en matière de terrorisme.

Le rapport aborde également les échanges « limités » (rapport n°386 préc., p.8) de données biométriques entre la France et les États-Unis par le biais d’Interpol.

Rien d’autre ?

Si ! L’article 9 de l’accord dispose ainsi que la transmission d’informations peut être réalisée « sur demande ou spontanément […], lorsque certains faits laissent présumer que des personnes sont susceptibles de commettre ces infractions. Ces données comprennent, les noms, prénoms, date et lieu de naissance, ainsi que les circonstances précises qui conduisent à la présomption invoquée ». L’emploi de « spontanément » fait référence à l’urgence, une fois de plus nécessaire pour justifier certaines dispositions…

Le projet sera discuté le 4 juin 2015 au Sénat.

POUR ALLER PLUS LOIN

  • Projet de loi autorisant l’approbation de l’accord sous forme d’échange de lettres entre le Gouvernement de la République française et le Gouvernement des États-Unis d’Amérique relatif au renforcement de la coopération en matière d’enquêtes judiciaires en vue de prévenir et de lutter contre la criminalité grave et le terrorisme, page sur le site du Sénat ici.
  • Rapport fait au nom de la commission des affaires étrangères, de la défense et des forces armées, n°386, par Mme Joëlle Garriaud-Maylam, disponible ici.

Par - 0 commentaire(s)