Les entreprises : victimes et responsables des failles de sécurité

Avocat à la Cour d’Appel de Paris depuis décembre 1988, maître Olivier Iteanu a été Président du Chapitre Français de l’Internet Society (ISOC France) et Président de la coordination européenne des Chapitres de l’Internet Society. Pour cet expert, les entreprises doivent renforcer la sécurité de leurs réseaux informatiques afin de mieux protéger toutes les données.

 

Olivier Iteanu

 

 

(Entretien réalisé en 2016… mais toujours d’actualité)

Depuis les révélations de Snowden, la paranoïa semble se généraliser. Pourtant, il ne s’agirait pas d’une surveillance de masse. La NSA et ses affiliés auraient plutôt recours à la pêche au gros. Une fois le « chalut » remonté à la surface, les agences procèdent à une analyse plus fine par mots clés par exemple.
Olivier Iteanu : Il faut distinguer la loi du 25 octobre 2001 [son nom complet étant « Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act » (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) ] et PRISM. Appelée aussi « USA Patriot Act » (LIEN : http://www.justice.gov/archive/ll/highlights.htm), la première comprend deux modalités de collecte de données. Premièrement, les « National Security Letters » qui permettent à l’agence fédérale de requérir de FAI ou de sites Web des informations personnelles sur les internautes, sans aucun contrôle judiciaire. Deuxièmement, les « FISA Orders (« Foreign Intelligence Surveillance Amendment Act ») . Cette loi de 1978 décrit les procédures de surveillance physique et électronique, ainsi que la collecte d’information sur des puissances étrangères soit directement, soit par l’échange d’informations avec d’autres puissances étrangères.
Quant à PRISM, c’est un programme qui est également appelé « Collection data program ». Il poursuit les mêmes objectifs que la loi d’octobre 2001, mais ce n’est pas la même entité. Avec PRISM, la NSA est autorisée à mettre la main dans le pot de confiture, mais on ne sait pas ce qu’elle récupère. On sait simplement que toutes les données, et notamment administratives et financières, sont accaparées.
Les enquêtes de la presse et les révélations de Snowden montrent que nous sommes passés des écoutes téléphoniques à l’interception de données, dans un premier temps, et maintenant au recueil de données. Avant, il suffisait de se connecter à la ligne téléphonique d’un individu avec la collaboration des opérateurs télécoms. Maintenant, les agences récupèrent les données directement chez les hébergeurs et les sites.
Mais la surveillance de masse est faite par les géants du web et pas la NSA. Ces entreprises bénéficient aux États-Unis d’une absence, ou d’une quasi-absence, de réglementation concernant le respect de la vie privée.

 

Cette évolution constitue une opportunité pour les offres de Cloud computing qui se multiplient en Europe.
O.I : Oui, mais à deux conditions. Premièrement, il faut une alternative européenne, car les offres françaises ne sont de taille à contrer Microsoft et Google notamment. Deuxièmement, il faut aussi que les citoyens et les entreprises soient demandeurs d’une telle offre. Cette prise de conscience commence à arriver à maturité. Cette évolution du rapport des forces et du business pourrait faire reculer les géants du web.

Il y a quelques mois, Orange a été victime de deux attaques informatiques qui ont entrainé le vol massif de données personnelles. Dans un billet publié sur votre blog en juin 2013, vous indiquiez que le juriste a aussi des bonnes pratiques à faire valoir. En un mot, les réponses à des cyberattaques ne doivent pas être uniquement techniques ?
O.I : Elle est d’abord technique, ensuite organisationnelle et, enfin, juridique. Il n’y a pas de statistiques publiques, mais beaucoup d’attaques viennent de l’entreprise. Il faut donc mettre en place des procédures renforçant la gestion des droits et des identités et mieux sensibiliser tous les salariés… La situation va évoluer avec la loi. En 2011, le législateur a intégré en droit français l’obligation de notification des failles de sécurité lorsqu’il y a une violation des données à caractère personnel. Cela concerne les fournisseurs de communications électroniques. Sa portée pourrait devenir plus large. Nous avons de plus en plus de dossiers judiciaires dans lesquels des organisations portent plainte parce que des contenus ont été vus, commentés et téléchargés alors que ces données étaient sur le web à cause d’erreurs et de failles de sécurité. Or, de plus en plus souvent, les juges disent que l’entreprise a failli à la sécurité des données et qu’elle ne bénéficie donc pas de la protection de la loi.

Ces entreprises ne se rendent pas compte non plus qu’elles peuvent passer de “victimes” à “accusées” pour n’avoir pas pris les précautions utiles pour protéger les données à caractère personnel.
O.I : On peut être en effet être victime et responsable. C’est une situation qui devient assez courante, car les entreprises gèrent mal leur sécurité. Résultat, elles sont amenées à dédommager alors qu’elles sont pourtant victimes. Néanmoins, nous constatons qu’il y a une prise de conscience des directions générales, mais nous sommes qu’au début. Par ailleurs, il convient de rappeler que la sécurité doit rester une affaire de la direction générale et qu’elle ne devrait pas donner lieu à de la sous-traitance. C’est pourtant une pratique qui se développe.

On parle de plus en plus de l’Internet des objets. Des données commencent à être récupérées de façon automatique, sans que les personnes le sachent précisément…
O.I : Il y a peut-être un problème que nous n’avons pas encore perçu avec pertinence. Il s’agit de la dichotomie entre les données à caractère personnel – et que nous pouvons qualifier d’ »ordinaires » – et les données, considérées comme “sensibles” (race, activité syndicale, religion…) qui sont a priori interdites à la collecte. Or, il y a une troisième catégorie de données qui mériteraient une attention particulière, mais qui ne sont pas considérées comme “sensibles” selon la Loi informatique et libertés : les informations concernant la santé. Avec la multiplication des appareils mesurant différentes données physiques, il y a en effet un risque qu’elles ne tombent entre les mains de personnes qui ne sont pas “amicales” ou qui n’ont pas conscience de l’impact de leur divulgation.

En mai dernier, la Cour de Justice européenne a imposé que Google supprime de son moteur, à la demande d’internautes européens, des résultats de recherche jugés comme n’étant plus pertinents. Depuis la fin juin, le géant américain commence à supprimer des résultats. Le Droit à l’oubli devient enfin une réalité ?
O.I : Notre cabinet a déposé des demandes auprès de Google concernant des données que l’on retrouve derrière le moteur de recherche et qui, normalement, ne devraient pas être en ligne. Mais nous n’avons pas encore de réponses (NDLR : entretien réalisé début juillet). Cet arrêt européen montre que c’est le juge qui est le régulateur d’internet. Par ailleurs, les géants du web ont pris conscience qu’ils ne pourront pas continuer à récupérer et à analyser des milliards de données des internautes sans leur accord. Leurs dernières acquisitions montrent que leur modèle économique commence à évoluer.

En attendant, les géants du web continuent à récupérer des données pour leur marketing prédictif. Nous avons le sentiment qu’il y a un vide juridique.
O.I : ce n’est pas un sentiment, c’est une réalité ! Les Européens ont d’une certaine manière concouru au monopole de Google et des autres sites américains. Nous avons peut-être fabriqué notre propre malheur en promulguant en Europe des lois très contraignantes sur le plan des données à caractère personnel, interdisant toute éclosion de concurrent européenne à Google. Mais il y a un mouvement aux États-Unis qui grandit et qui considère que cette surveillance va trop loin.

 

 

BIO EXPRESS
Maître Olivier ITEANU est également chargé d’enseignement à l’Université de Paris XI (Faculté Jean Monet), dans les Master 2 (DESS) du droit du numérique, du droit des activités spatiales et des télécommunications, de la gestion de l’information ainsi qu’à l’Université de Paris I Sorbonne dans le Master droit de l’administration électronique.
Fondateur et dirigeant de la société d’Avocats, la Selarl ITEANU, il est aussi administrateur et responsable de la commission juridique de l’ASP Forum devenu Eurocloud France depuis 2004.