< Conférence "Les marques à l'épreuve d'internet"
11.05.2017 16:12 Il y a: 8 yrs
Categorie: Droit des Personnes et du Patrimoine
Auteur : Me F. Charruyer - Avocat Toulouse
Veille : cybersécurité et données
La cybersécurité est devenue un enjeu majeur pour les entreprises au cours de ces dernières années . Plusieurs incidents ont entraîné une réelle préoccupation de ces dernières pour la protection de leurs données en ligne . Les Etats réagissent également à ces menaces qui peuvent affecter la sécurité de leurs citoyens et porter atteinte à leur vie privée .
Sauron :
En août 2016, un logiciel espion est suspecté de collecter des données d’organismes militaires, gouvernementaux et scientifiques à travers le monde. Ce logiciel malveillant porte le nom de « projet Sauron » en référence au personnage du Seigneur des Anneaux. Les entreprises de cybersécurité Symantec et Kaspersky prétendent que ce logiciel espion serait piloté par un groupe de hackers nommé Strider. Le logiciel pourrait collecter des mots de passe ou informations sensibles par un simple fichier texte. Il pourrait contaminer également les clés USB.
En France, le mouvement politique En Marche lancé par le candidat à l’élection présidentielle Emmanuel Macron a été victime de tentatives d’hameçonnage (phishing en anglais) . Derrière cette manœuvre se cacherait un groupe de hackers russes , désigné sous le nom Pawn Storm , selon un rapport présenté le 25 avril par l’entreprise japonaise de cybersécurité , Trend Micro. Le hameçonnage est une pratique qui consisterait à faire croire à une personne qu’elle reçoit des mails d’un organisme où elle est inscrite ou qu’elle se trouve sur le site qui l’intéresse afin de récupérer ses données personnelles ou d’identification .Ce groupe de hackers russes avait déjà été suspecté de réaliser ces manœuvres malveillantes contre le Parti Démocrate durant la campagne présidentielle d’Hillary Clinton aux Etats-Unis . Il est également mis en cause pour avoir tenté de récupérer les données personnelles de certains médias comme le New York Times ou Al Jazeera . Ce groupe serait suspecté de liens avec les services secrets russes.
Ce genre de pratiques révèle la nécessité pour les états de se doter de moyens de protection pour éviter la soustraction de données par des autorités étrangères . Plusieurs entreprises sont également suspectées d’avoir utilisé illégalement des données des utilisateurs .
Le
service gratuit Unroll.me , utilisé pour lutter contre les spams (newsletters polluant des boîtes mails) a reconnu pratiquer une revente des données personnelles de ses utilisateurs. Le patron du service , Jojo Hedya a annoncé une amélioration de la communication sur les pratiques de ce service et a affirmé que la vie privée des utilisateurs était sauvegardée du fait de l’anonymisation des données en question, tel que le prévoit la réglementation sur les données personnelles .
Le
service de VTC Allocab a été sanctionné , le 25 avril, d’une amende par la CNIL, pour non-respect de ses obligations de protection des données personnelles . L’entreprise a été condamnée à une amende de 15 000 euros pour les manquements qu’elle a commis .
Selon le
New York Times, Uber a continué a continué à traquer des informations de ses utilisateurs , malgré la suppression de l’utilisation de l’application sur leur smartphone . Cette pratique , qualifiée de « fingerprinting » a entraîné la réaction du patron d’Apple , Tim Cook , qui a menacé de retirer l’application de l’app store si ces pratiques ne cessaient pas ;
Le G29 : groupe des CNIL européennes s’est réuni les 4 et 5 avril 2017 et a évoqué un certain nombre de problématiques liées à la cybersécurité .
Le G29 a décidé de mettre en place un formulaire spécifique sur le site pour permettre aux citoyens d’exercer auprès du médiateur américain, leur droit d’accès aux données personnelles qui seraient traitées par des agences américaines de renseignement pour des motifs de sécurité nationale.
Le G29 a également travaillé sur des outils de mise en œuvre du règlement européen de protection des données(GDPR) .
Le règlement européen sur la protection des données du 27 avril 2016, sera applicable à compter du 25 mai 2018. Ce règlement prévoit la mise en place d’un certains nombres de mesures. Parmi celles-ci , figure le renforcement de sanctions administratives avec des amendes pouvant atteindre 4% du chiffre d’affaire des entreprises. Ce règlement entraînera un certain nombre d’évolutions :
- ainsi, en fonction de la sensibilité des données traitées, il conviendra de consulter préalablement l’autorité de protection des données ( la CNIL en France) et de mener une analyse d’impact relative à la protection des données .
- le règlement prévoit également des mécanismes de garantie de protection des données par défaut
- la création et la tenue d’un registre de traitements mis en œuvre deviendront obligatoires
- un délégué à la protection des données sera obligatoire dans certains cas
- des violations des données à caractère personnel devront être notifiées dans les 72 heures à l’autorité de protection des données et aux personnes concernées si cette protection est susceptible de menacer leurs droits et libertés .
Le G29 a également évoqué la question du
« Privacy Shield » ou
« Bouclier de Confidentialité », qui est un accord conclu entre l’Europe et les Etats-Unis sur la protection des données personnelles des citoyens . Il est question pour les pays européens de renforcer les garanties apportées par les Etats-Unis sur la protection de la vie privée des utilisateurs européens .
En décembre 2016, Netflix et Sony Music ont été victimes de piratage sur leur compte Twitter . En France, 11 incidents de cybersécurité sont comptabilisés en milieu professionnel ; Cette situation conduit les entreprises à augmenter leur dépenses de cybersécurité : 59% des entreprises françaises l’ont fait cette année. Les entreprises utilisent même parfois des services de hackers pour tester leur logiciels et applications et mettre en lumière l’existence de failles . Ainsi, Uber, Twitter ont par exemple fait appel à un service de hackers :
Hacker one .
Le documentaire
« Nothing to Hide », mis en ligne gratuitement courant 2017, soulève les problématiques de la surveillance massive sur Internet . Ce documentaire met en avant la collecte de métadonnées qui est réalisée au détriment des utilisateurs en ligne. Ces métadonnées sont notamment utilisées par des agences de renseignement , ce qui pose le problème du sacrifice de notre vie privée pour plus de sécurité.
Sources : https://blogs.mediapart.fr/nothing-hide-documentaire/blog/021116/nothing-hide-un-documentaire-sur-la-surveillance
http://www.les-infostrateges.com/actu/17042360/donnees-personnelles-et-reglement-europeen-des-lignes-directrices-du-g29
https://www.cnil.fr/fr/communique-de-presse-pleniere-du-g29-davril-2017
http://lexpansion.lexpress.fr/high-tech/sauron-un-logiciel-qui-espionne-gouvernements-et-armees-depuis-cinq-ans_1820506.html