samedi 6 décembre 2014

Sécurité des objets connectés, le juridique donne-t-il l’exemple ?

L’essor de l’internet des objets, ou encore des objets connectés, est impressionnant. A tel point que les gadgets des films futuristes des années 1990-2000 tels ceux du célèbre film  « le Cinquième Élément » ont désormais leur place dans notre quotidien. Des voitures connectées aux panneaux d’affichage personnalisés[1] , la liste s’agrandit chaque jour un peu plus laissant présager un large champ des possibles dans les mois et les années à venir.

vendredi 7 novembre 2014

Bitcoin, le revers de la pièce

 Bitcoin Armstrong via le Bitcoin subreddit.

Monnaie virtuelle très controversée, le Bitcoin crée le débat avec d’une part ses détracteurs qui l’assimilent à une invention nuisible permettant le blanchiment d’argent et la fraude fiscale et d’autre part ses admirateurs qui le considèrent au contraire comme une révolution monétaire apte à bouleverser les moyens de paiement dits traditionnels. Aussi étonnant que cela puisse paraître, le rapport sénatorial du 23 juillet 20141 se range du côté de l’opinion des admirateurs. Inversement la Banque de France, elle, émet un avis farouchement opposé2 au Bitcoin et souligne avant tout les risques issus de cette nouvelle monnaie.

lundi 6 octobre 2014

La trépidante série du droit à l'oubli



Source de l'image : http://pro.clubic.com/entreprises/google/actualite-719459-droit-oubli-google.html

Dans les épisodes précédents :


BREAKING NEWS ! Le droit à l’oubli est consacré ! …ou presque !


Tout commença avec la retentissante décision de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014 dénommée « Google Spain »[1].

Dans cette décision de justice, la CJUE impose le droit au déréférencement ou encore à la désindexation. En d’autres termes, il s’agit de faire disparaître, et non supprimer, de la liste des résultats sortis par le moteur de recherche certains liens qui porteraient préjudice à une personne.

La Cour a énoncé cette obligation si les données exposées s’avèrent « inexactes, inadéquates, non pertinentes ou excessives au regard des finalités du traitement de la donnée » notamment si la donnée n’a pas été mise à jour et conservée durant une durée excessive.

Cependant, la Cour précise les exceptions à cette obligation. Le déréférencement ne peut avoir lieu dans certains cas particuliers. Cela va dépendre de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à recevoir cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.

L’exemple qui a conduit à cette décision était le cas d’un espagnol qui en se « googlisant » tombait sur la saisie immobilière dont il avait fait l’objet en 1998 et au sujet de laquelle il était désormais en règle.


Critiques du spectateur : La décision de la Cour s’aventure sur un terrain délicat car elle soulève les interrogations suivantes :

  • L’obligation de la désindexation doit trouver le bon équilibre entre la protection de la vie privée, la liberté de la presse et la liberté d’expression. Le maître mot reste donc toujours proportionnalité et mise en balance des différents intérêts en jeu.
  • L’exploitant d’un moteur de recherche sur Internet est responsable du traitement qu’il effectue  des données à caractère personnel qui  apparaissent sur des pages web publiées par des tiers. Ainsi, la responsabilité incombe au moteur de recherche alors que l’éditeur du site web est en principe responsable du contenu éditorial.

Toutefois, cette décision a le mérite de « mettre un coup de pied dans la fourmilière » et d’interpeller le législateur européen qui peine, depuis 2012, à faire sortir son projet de règlement relatif à la protection des données personnelles.


Episode 1 : Suite à cette décision de justice, Google a mis en place en place un formulaire permettant aux internautes, uniquement européens, de demander directement à Google le déréférencement de résultats de recherche litigieux[2].

Un mois et demi à peine après le lancement de ce questionnaire, Google recensait plus de 90 000 demandes de déréférencement dont 17 500 issues de la France[3]. Google se trouve submergé sous les demandes d’un tel droit subjectif accordé à tout individu qu’il doit examiner au cas par cas.


Critiques du spectateur :

Est-ce vraiment à Google, opérateur privé, de décider si oui ou non le lien litigieux doit être désindexé ? Est-ce à Google de mettre en balance les différents droits fondamentaux en question ? Il serait souhaitable que cela soit du ressort du juge ou de la CNIL ou encore du G29, groupe des 29 CNIL européennes.
 

Episode 2 : Par une ordonnance de référé du 16 septembre 2014, le Tribunal de grande instance de Paris a enjoint à Google France de procéder à la suppression de liens référencés contenant des propos jugés diffamatoires, sous astreinte provisoire de 1 000 euros par jour de retard.


Critiques du spectateur :

Chose demandée, chose faite ! Cette décision de justice est la preuve même que la décision rendue en mai par la CJUE fait écho dans les juridictions nationales et est promise à un bel avenir jurisprudentiel.


Episode 3 : Jeudi 24 septembre 2014, Google a organisé un colloque au Forum des Images  à Paris sur le thème du droit à l’oubli, réunion à laquelle  la CNIL s’est abstenue de s’y rendre.

L’objectif de cette réunion était de réunir des experts juridiques français afin de connaître leur interprétation de la décision de la CJUE.

Lors de ce brainstorming, la demande a été faite que Google précise expressément dans les résultats de recherche que le lien a été déférencé. Il ne faut pas que « Google efface son acte d’effacement »[4].

Le résultat de ces réunions, qui ont lieu dans presque toutes les capitales européennes, permettra à Google de rédiger un rapport à ce sujet d’ici janvier 2015.


Critiques du spectateur :

L’initiative de Google peut être critiquée car considéré comme un acteur illégitime à donner des directives d’interprétation d’une décision de justice.

Toutefois, les termes de la décision de justice restant floues, par exemple que recouvre exactement dans ce contexte la notion de motif légitime ?, toute réflexion et proposition sur la mise en œuvre pratique de cette décision est louable.


A suivre :

La véritable question ne serait-elle pas de s’interroger sur le véritable droit à l’oubli ? soit une véritable régulation des contenus publiés sur Internet sachant que cette régulation passe un premier lieu par la responsabilité de l’internaute lui –même qui devrait faire plus attention à ces propres publications.



[1] Arrêt dans l'affaire C-131/12, Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González : http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070fr.pdf
[2] Le formulaire est accessible à l’adresse suivante : https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr

[3] http://www.lefigaro.fr/secteur/high-tech/2014/08/01/01007-20140801ARTFIG00186-google-souligne-la-difficile-mise-en-application-du-droit-a-l-oubli.php
[4] Citation extraite des propos du psychiatre Serge Tisseron « On demande à Google d’effacer un contenu, mais pas d’effacer aussi son acte d’effacement », présent  au colloque organisé par Google le 24 septembre 2014.

mercredi 10 septembre 2014

Etude annuelle du Conseil d’Etat – Le numérique et les droits fondamentaux – Mise en bouche



                                                                          © Copyright Conseil d’État 2014
 
Attendue par l'espèce "juris geekum", l’étude annuelle du Conseil d’Etat consacrée au numérique et aux droits fondamentaux a été dévoilée hier, mardi 9 septembre 2014.
En effet, pour tout bon juriste qui se respecte, la parole du Conseil d’Etat vaut parole d’évangile. Cette parole, de qualité, est heureuse car la juridiction suprême administrative porte en elle la légitimité juridique dépassant n’importe quel autre rapport gouvernemental sur le même sujet. Elle est également la bienvenue dans le domaine des Technologies de l'Information et de la Communication (TIC) [1] , domaine longtemps mal appréhendé par la sphère juridique.

Le rapport, épais de 446 pages et de 50 propositions, a le mérite d’étendre la pensée juridique du Conseil d’Etat sur une très large variété de sujets, allant de la neutralité du net à la régulation des algorithmes, tout en sacralisant l'évolution du numérique et la protection des droits fondamentaux.

Le Conseil d’Etat part du constat que « l’essor du numérique a suscité la reconnaissance de nouveaux droits fondamentaux [le droit  à la protection des données personnelles et le droit d’accès à internet] et modifié leurs conditions d’exercice » et débute, comme toute bonne dissertation de droit, par exposer les définitions des notions de numérique[2] et de l’économie numérique[3], souvent éludées .

Dans un second temps, il met en exergue l’enjeu principal de son étude à savoir  « l’ambivalence du numérique [qui] nécessite de repenser la protection des droits fondamentaux ». En effet, le numérique « ouvre de nouveaux espaces de libertés tout en étant porteur de risques pour celles-ci ». L’exemple le plus connu est l’explosion de l’usage des données personnelles ou "data" et des risques associés qui oblige à repenser leur protection notamment à travers les phénomènes de métadonnées "big data" et d'Internet des objets "Internet of Thing".

Enfin, après ce rappel du contexte et des enjeux du numérique, le Conseil d’Etat énonce ses recommandations dont l’objectif est de mettre le numérique au service des droits individuels et de l’intérêt général.
Il s’agit à la fois d’idées nouvelles (proposition d’envisager un droit à l’autodétermination comme un droit de propriété –proposition n°1/ création d’un numéro national non signifiant – proposition n°21) mais également des propositions de renforcement d’actions existantes ou tout juste balbutiantes (donner plus de pouvoirs à la CNIL – proposition n°4 /charte de bonnes pratiques étatique sur l’Open Data – proposition n°32) ou encore de propositions d’élargissement au niveau international (rédaction d’une convention internationale relative aux libertés fondamentales et aux principes de la gouvernance d’internet - proposition n°50).

Ce rapport arrive à un tournant de la prise en compte du numérique par l’Etat. Un faisceau d'indices va d'ailleurs en ce sens avec notamment le lancement de la consultation sur le numérique pilotée par le Conseil National sur le Numérique et l’annonce de l'étude du projet de loi sur le numérique portée par Axelle Lemaire, secrétaire d’état chargée du numérique, en début d'année 2015.
 Comme le martèle le Conseil d’Etat, « les Etats ne sont pas moins légitimes à légiférer sur les réseaux numériques que sur tout autre domaine d’activité humaine », il est donc temps pour l’Etat de ne plus avoir peur d’un inconnu, qui le devient d’ailleurs de moins en moins, et de prendre ses responsabilités de régulateur.
Mais cela n’est pas sans soulever des difficultés car cette régulation est soumise à un véritable numéro d’équilibriste : il faut que l’action de l’Etat soit à la fois contraignante pour prévenir des aspects négatifs, à la fois souple pour accompagner le potentiel positif du numérique tout en prenant en compte les réglementations issues des instances européennes et internationales.







[1] Ce fut également le cas au sujet du Cloud computing. Lire à ce sujet l’article de ce blog du 1er novembre 2013 « le cloud computing, véritable nébuleuse juridique »

[2] « Le numérique se définit comme la représentation de l’information ou de grandeurs physiques (images, sons) par un nombre fini de valeurs discrètes, le plus souvent représentées de manière binaire par une suite de 0 à 1 ».


[3] « Définie strictement, l’économie numérique se compose de quelques secteurs spécialisés tels que les télécommunications, l’édition de logiciels ou les sociétés de service et d’ingénierie informatique (SS2I) ».

vendredi 1 août 2014

Etude du rapport sur la cybercriminalité « Protéger les INTERNAUTES »




Source de l’image : http://www.jeanmarcmorandini.com/actualite-cybercriminalite.html


Prévu pour le début de l’année 2014, le rapport "Protéger les INTERNAUTES" sous la direction du procureur général près la Cour d'appel de Riom, Marc Robert, a été rendu public le 30 juin 2014 [1]
Ce rapport s’inscrit dans le cadre du groupe de travail interministériel sur la lutte contre la cybercriminalité.

Le rapport s’articule autour de trois grandes parties :

  • une première partie relative au constat sur la réalité de la cybercriminalité ;
  • une deuxième relative à la proposition d’une stratégie sur la cybercriminalité ;
  • une troisième spécifique sur l’amélioration de la répression en matière de cybercriminalité.

Il faut saluer cet impressionnant travail qui, à travers 277 pages ainsi que 270 pages d’annexe, présente un inventaire exhaustif de l’environnement de la cybercriminalité jamais dépeint jusqu’à présent.


Parmi les nombreux détails retranscrits dans ce rapport, la présentation de l’ensemble des acteurs ayant un lien avec la cybercriminalité est réellement fouillée car on y découvre des groupes européens non connus du grand public tels l’European Cybercrime Training and Education Group (ECTEG) [2].


Outre cette méticulosité, il est également satisfaisant de lire, par une rédaction franche et lucide, la mise en avant des lacunes françaises, parfois dramatiques, en matière de cybercriminalité. A titre d’exemple, il est inscrit que « comparé à ce dont disposent les Etats étrangers voisins, la situation française, en terme de ressources humaines, est proche de l’artisanal » [3], ou encore «  l’objet des recommandations qui suivent poursuit un seul objectif – renforcer l’effectivité d’une répression encore très lacunaire- tout en assurant une mise en cohérence parfois perdue de vue et en veillant au respect des libertés fondamentales comme à une meilleure protection des victimes » [4].


Enfin, il est toujours intéressant de pouvoir étudier des propositions sur un sujet au plein cœur de l’actualité et sur lequel  il semble difficile d’agir efficacement. En effet, ce rapport met en exergue 55 propositions dont la création de nouvelles structures dédiées à la cybercriminalité.

 La proposition la plus emblématique en la matière est la création d’un centre spécifique d’alerte et de réaction aux attaques informatiques ou en anglais Computer emergency response team (CERT) [5]  couvrant les besoins du  grand public et des PME non couverts par les CERT existants dont le CERT-FR[6] animé par l’ANSSI.

En effet, même si le CERT-FR a pour mandat d’assurer le soutien en matière de gestion d’incidents aux ministères, aux institutions, aux juridictions, aux autorités indépendantes, aux collectivités territoriales et aux Opérateurs d’Importance Vitale (OIV), il semble plus opportun de renforcer les effectifs du CERT-FR afin de pouvoir traiter également les besoins des citoyens et des PME. La création d’un nouvel CERT risque d’entraîner une mauvaise coordination entre les deux structures d’autant plus que le chevauchement des périmètres d’action est également à prévoir.  

Sur le même plan, la proposition relative à la création d’une Délégation interministérielle à la lutte contre la cybercriminalité [7] n’est pas forcément plus heureuse. En effet, comme le souligne justement le rapport on assiste à « une multiplication des « sachants » comme des initiatives diverses, publiques ou privées, relativement peu coordonnées et parfois concurrentes » qui nuit à l’efficacité de l’action relative à la cybercriminalité. Certes, il existe « une forte attente, en terme de mise en cohérence et de clarification stratégique » mais il n’est pas certain que la création d’un nouvel acteur ex nihilo , devant prouver sa légitimité face aux acteurs historiques, soit la meilleure solution.

Une nouvelle fois, il est plutôt proposé de renforcer une structure existante qui traite activement du sujet telle l’OCLCTIC et de que renforcer les cellules de base qui traite ce sujet. Il semble plus efficace de renforcer les bases existantes plutôt que de créer une nouvelle instance stratosphérique qui peut avoir du mal à s’imposer.

De façon générale, le renforcement des cellules existantes, comme recommandée pour la plate-forme des interceptions judiciaires [8] , reste plus adapté que la création ex nihilo de nouvelles structures en cybercriminalité [9].


En outre, le cœur des propositions (42 sur 55) concernent la réforme des réponses répressives en matière de cybercriminalité.


La première étape serait de renforcer les incriminations liées à la cybercriminalité notamment en généralisant la circonstance aggravante des délits commis via un réseau de communication électronique tels l’usurpation d’identité [10] ou encore en imposant en peine complémentaire la suspension du droit d'accès à Internet. Cette dernière proposition ne semble pas très pertinente en raison de l'existence d'accès à Internet sans abonnement (borne Wifi et cybercafé).


La deuxième étape serait d'encadrer la coopération avec tous les prestataires d'Internet tels les hébergeurs, les fournisseurs d'accès et les fournisseurs de moteur de recherche.
L'objectif principal est d'imposer de nouvelles contraintes aux prestataires français mais également étrangers telles une obligation de surveillance préventive des contenus illicites « lorsqu’ils en sont requis par la loi, à la prévention ou à la sanction de contenus illicites » [11] ou encore de coopération des grands opérateurs étrangers avec les services de police pour l’obtention de données de connexion [12].
De plus, le rapport conseille de réhabiliter la coupure d’accès Internet pour certaines infractions, les « délits graves ou des crimes ». Cette sanction avait fait polémique lors  de la mise en place du dispositif HADOPI et donc supprimé.


La troisième étape est de renforcer les moyens d'investigation en améliorant dans un premier temps la lisibilité et la cohérence de la procédure pénale et encadrer plus rigoureusement les moyens de preuve du numérique, en soumettant à l’autorisation préalable du juge des libertés ou d’instruction la réquisition d’un opérateur de communications électroniques [13] ou en imposant le respect de la confidentialité des tiers requis [14]. En effet, il est devenu primordial de ne plus pouvoir contester une preuve numérique lors d’un procès à cause d’un défaut de procédure.

En conclusion, il faut à nouveau saluer le travail rigoureux apporté par ce rapport et il sera intéressant d'examiner attentivement le projet de loi numérique prévu en 2015 pour voir quelles propositions du présent rapport seront retenues.


[1]Voir le lien suivant pour le communiqué de presse officiel relatif à la remise du rapport ROBERT : http://www.presse.justice.gouv.fr/archives-communiques-10095/archives-des-communiques-de-2014-12598/remise-du-rapport-proteger-les-internautes-27256.html
[2]Page 114 du rapport encadré relatif à l’ECTEG
[3]Page 148 du rapport « II.6.- Une conséquence : Des moyens pour lutter contre la cybercriminalité ».
[4]Page 151 du rapport, deuxième paragraphe de l’introduction de la troisième partie intulée « La cybercriminalité : des réponses répressives plus effectives et davantage protectrices ».
[5] Recommandation n°6 page 136 du rapport
[6] http://www.cert.ssi.gouv.fr
[7] Recommandation n°7 page 141 du rapport
[8] Recommandation n°24 page 183 du rapport
[9] La recommandation n° 50 page 247 du rapport préconise également la création d’une plate-forme spécifique relative aux cyber-escroqueries.
[10] Recommandation n°14 page 154 du rapport
[11] Recommandation n° 25 page 185 du rapport
[12]  Recommandation n° 23 page 182 du rapport
[13] Recommandation n°37 page 223 du rapport
[14] Recommandation n° 38 page 224 du rapport