Décisions de justice à l’heure du RGPD : délicat équilibre entre liberté de la presse et vie privée

Jusqu’à maintenant, la jurisprudence favorise habituellement – mais pas toujours –
le droit à l’information en cas de différends sur la publication de données issues de comptes-rendus de procès ou de décisions de justice. Depuis l’entrée en vigueur du RGPD, la recherche d’un juste équilibre s’impose.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) s’applique aussi aux comptesrendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès. Le RGPD confie aux Etats membres de l’Union européenne le soin de concilier « […] par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire » (1).

Jurisprudence et droit à l’information
De même, le RGPD prévoit des règles similaires pour le « traitement et l’accès du public aux documents officiels » (2) afin de concilier les intérêts liés à la communication au public des documents administratifs et la protection des données à caractère personnel. Cela changera-t-il la jurisprudence qui jusqu’alors favorise habituellement – mais pas toujours – le droit à l’information ? Six mois après l’entrée en vigueur du RGPD, un arrêt de la cour d’appel de Paris daté du 28 novembre 2018 a confirmé une décision du président du tribunal de grande instance de Paris disant qu’il n’y avait pas lieu à référé concernant une demande de déréférencement à l’encontre de Google France de liens pointant vers un article publié sur le site Internet d’un journal – en l’occurrence Le Parisien (3). Les juges ont retenu que « l’information donnée au public sur la mise en cause pénale d’une personne et sa condamnation définitive participe du droit à l’information, particulièrement lorsqu’il s’agit d’infractions pénales sérieuses ». Elle a également relevé que « l’information communiquée quant à la mise en examen (…) ne constitu[ait] pas une atteinte à [la] vie privée s’agissant de la relation de faits publics et particip[ait] du droit du public à être informé ». Les juges, qui procèdent à une analyse de contexte pour apprécier l’intérêt de l’information sur un sujet d’actualité pour le public, en ont conclu que le demandeur « ne justifi[ait] pas de raisons prépondérantes et légitimes prévalant sur le droit d’expression et d’information ».
Toujours après la promulgation du RGPD, mais cette fois huit mois après, la Cour européenne des droits de l’homme (CEDH) s’est prononcée – dans un arrêt du 10 janvier 2019 – sur une décision par laquelle les juges allemands avaient interdit la publication dans la presse d’une photographie représentant une célébrité suisse alors incarcérée. La CEDH a précisé qu’il convenait d’apprécier « la notoriété de [l’intéressé], la contribution de la photo à un débat d’intérêt général, les circonstances dans lesquelles la photo litigieuse a été prise, le comportement antérieur de [l’intéressé] vis-à-vis des médias, la forme, le contenu et les répercussions pour [l’intéressé] de la publication de la photo litigieuse ainsi que la gravité de la sanction prononcée à l’encontre des requérantes ». Elle a notamment considéré en l’espèce que la photo litigieuse « n’avait pas de valeur informative supplémentaire par rapport à celle du texte de l’article », relatant « un fait connu du public depuis longtemps ». Il n’y avait « dès lors aucun motif d’en rendre compte de nouveau ». La CEDH a ainsi considéré qu’elle n’avait « aucune raison sérieuse de substituer son avis à celui des juridictions allemandes ».
Publier ou ne pas publier dans un contexte judiciaire : telle est la question au regard de la vie privée. La Cour de cassation, dans un arrêt du 12 mai 2016, a ainsi rejeté la demande de deux personnes ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et Libertés », la suppression d’informations identifiantes les concernant sur le moteur de recherche du site Internet d’un journal, en l’occurrence Lesechos.fr (4), qui donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre il y a plusieurs années. La Cour a considéré que « le fait d’imposer à un organe de presse […] de supprimer du site Internet dédié à l’archivage de ses articles […] l’information elle-même contenue dans l’un de ces articles […] privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».

Article en ligne et intimité de la vie privée
La notion d’« actualité » s’apprécie au cas par cas, à l’exemple de cette ordonnance de référé du 8 janvier 2016 (5) : le tribunal de grande instance de Paris a également rejeté la demande de suppression des nom et prénom d’une personne condamnée pour violence aggravée, dans un article paru en 2004 dans le quotidien 20 Minutes et toujours en ligne dix ans après les faits incriminés. Après avoir procédé à une analyse du contexte, le juge a notamment considéré « qu’il n’est donc nullement illégitime, dans ce contexte, pour la société 20 Minutes France, de mentionner l’identité du demandeur ». Donc « que dans ces conditions, il n’apparaît pas, avec l’évidence requise en matière de référé, que (le requérant) puisse se prévaloir d’une quelconque atteinte à l’intimité de sa vie privée ».

Actualité, intérêt légitime et droit à l’oubli
De même, s’agissant d’une demande de déréférencement de plusieurs liens sur Google Images pointant sur des articles faisant état de la condamnation du requérant, le juge a constaté en 2017 que le refus du moteur de recherche était fondé dès lors qu’il s’agissait d’une information exacte sur un sujet d’actualité récent (6). Ce parti pris n’est pas nouveau puisque, dans une affaire concernant la publication dans un journal d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu. Ce dernier avait sollicité du directeur de la publication l’insertion d’un droit de réponse. Le journal s’était contenté de mettre à jour l’article. L’individu en cause l’a assigné aux fins de voir supprimer l’article. Les juges ont considéré en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime « tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants », et qu’aucun abus de la liberté de la presse n’était établi (7). C’est le même raisonnement qui conduit des juridictions étrangères à refuser le retrait de résultats affichés sur des moteurs de recherche.
Parfois, les juges considèrent que le droit au déréférencement doit obéir au principe de proportionnalité. Certaines décisions – surtout étrangères – visent à concilier les intérêts de la personne concernée par le traitement de données personnelles avec les intérêts des autres parties en présence, et donc le droit du public à avoir accès à l’information en cause. En quelque sorte, le juge recherche un équilibre entre le droit au respect de la vie privée et aux données à caractère personnel et le droit à la liberté d’expression et à l’information. Deux arrêts américains assez anciens sont également particulièrement éclairants sur ce point. Le premier arrêt rendu par la Cour suprême des Etats- Unis en 1989 concernait un journaliste qui demanda au FBI (9) l’accès aux documents concernant les arrestations, inculpations et condamnations visant quatre individus. Pour le seul survivant des quatre individus ciblés par le journaliste, le FBI refusa de transmettre l’information qu’il détenait sous forme compilée, estimant que la communication porterait atteinte à la vie privée des individus en question. La Cour suprême soutint à l’unanimité cette argumentation (10). Elle rejeta l’argument retenu par la cour d’appel, selon lequel il n’y a plus de Privacy Interest en présence d’informations déjà rendues publiques. Pour la Cour, il y a une importante différence entre une communication « éparpillée » de fragments d’information et la divulgation de l’information dans son ensemble (11). Le second arrêt est issu de la cour d’appel de l’Etat de Californie (12) qui a considéré en 1994 que « c’est la nature agrégée de l’information qui lui donne de la valeur aux yeux du défendeur ; c’est la même qualité qui rend sa diffusion constitutionnellement dangereuse ».
De même, un arrêt de la Cour de cassation belge du 29 avril 2016 retient l’attention. Dans cette affaire, le demandeur, médecin de profession, avait provoqué un grave accident de la circulation ayant entraîné la mort de deux personnes, alors qu’il se trouvait sous l’emprise d’alcool. Ce fait avait été relaté dans l’édition papier du quotidien Le Soir, en 1994. L’article avait été ensuite rendu accessible en ligne non anonymisé. La Cour de cassation a confirmé tout d’abord que la mise en ligne de cet article doit être assimilée à « une nouvelle divulgation du passé judiciaire du défendeur portant atteinte à son droit à l’oubli ». Par ailleurs, elle a relevé que si l’article 10 de la CEDH confère aux organes de presse écrite le droit de mettre en ligne des archives et au public celui d’accéder à ces archives, ces droits ne sont pas absolus et qu’ils doivent, le cas échéant et dans certaines circonstances, céder le pas à d’autres droits également respectables. Aussi, la Haute juridiction a-t-elle considéré que l’arrêt attaqué a justifié léga-lement sa décision en considérant que « le maintien en ligne de l’article litigieux non anonymisé, de très nombreuses années après les faits qu’il relate, est de nature à […] causer un préjudice disproportionné [au médecin] par rapport aux avantages liés au respect strict de la liberté d’expression [de l’éditeur] » (13).

Cas particulier de déréférencement du lien
En France, on relève une ordonnance du tribunal de grande instance de Paris en date du 19 décembre 2014 qui a admis les « raisons prépondérantes et légitimes prévalant sur le droit à l’information » invoquées par la demanderesse (14). Le juge a considéré que la nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant – et l’absence de mention de la condamnation au casier judiciaire de l’intéressée justifiaient le déréférencement du lien renvoyant à un article de 2006. @

* Christiane Féral-Schuhl, présidente du Conseil national des
barreaux (CNB), est ancien bâtonnier du Barreau de Paris, et
auteure de « Cyberdroit », paru aux éditions Dalloz.

Consentement des internautes : cookies et autres traceurs sont dans le viseur de la Cnil, Europe oblige

Sont parues le 19 juillet au Journal Officiel les lignes directrices de la Cnil concernant les « opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) », en attendant ses recommandations pour début 2020, et le futur règlement « ePrivacy » européen.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

L’utilisation des cookies et a u t re s t raceurs est actuellement encadrée par la directive européenne dite « ePrivacy » (1), plusieurs fois modifiée, notamment par la directive de 2009 renforçant l’obligation d’information des internautes et leur consentement (2). Si cette dernière a vocation à être abrogée et remplacée par le règlement européen « ePrivacy » (3), celui-ci est toujours en discussion devant les instances européennes. Toutefois, l’entrée en vigueur en mai 2018 du RGPD – règlement général sur la protection des données du 27 avril 2016 – a permis un premier pas vers la modernisation des règles entourant l’utilisation de traceurs et cookies.

Le consentement doit être « éclairé »
Dans cette lignée, la Commission nationale de l’informatique et des libertés (Cnil) a d’ores et déjà anticipé les changements à venir, forçant ainsi les acteurs du secteur de la publicité en ligne à prévoir une évolution très prochaine de leurs pratiques. Pour se mettre en conformité avec le RGPD, l’ordonnance du 12 décembre 2018 a abrogé l’article 32-II de la loi relative à l’informatique, aux fichiers et aux libertés (la fameuse loi de 1978, modifiée depuis) au profit du nouvel article 82 remplaçant le terme « accord » par celui de « consentement » tenant ainsi compte de la nouvelle terminologie consacrée par le RGPD.
Résultat, vis-à-vis de l’internaute : « Ces accès [à des informations déjà stockées dans son équipement terminal] ou inscriptions [des informations dans cet équipement] ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » (4). Le 21 mars 2019, l’avocat général de la Cour de justice de l’Union européenne (CJUE) présentait, dans l’affaire « Planet49 » des conclusions répondant à plusieurs questions préjudicielles posées par la cour fédérale de justice allemande sur l’encadrement du recours aux cookies et l’application du RGPD. L’avocat général rappelle notamment que pour être valide le consentement doit être « éclairé ». Cela implique que l’internaute doit être informé de la durée de fonctionnement des cookies, ainsi que de l’identité des tiers qui ont accès à ses informations par ce biais (5). Cette position est conforme aux recommandations du groupe de travail « Article 29 », devenu le Comité européen de la protection des données (CEPD), qui place le consentement au coeur du régime des données personnelles. Le CEPD précise que « la notion de consentement telle que présentée dans le projet de règlement “ePrivacy” reste liée à la notion de consentement au sens du RGPD » (6).
Prenant acte de ces évolutions et dans la continuité de son plan d’action 2019-2020 sur le ciblage publicitaire en ligne, publié en juin dernier, la Cnil a fait évoluer ses recommandations, anticipant elle aussi les évolutions du futur règlement « ePrivacy » qui remplacera la directive de 2002 et dont la dernière version du projet officiel a été publiée le 22 février dernier (7). L’autorité de contrôle française a ainsi adopté le 4 juillet dernier une délibération afin de remplacer les lignes directrices promulguées par la délibération de 2013 encadrant jusqu’à présent l’utilisation des cookies (8).
Elle montre sa volonté de faire du renforcement de l’encadrement du ciblage publicitaire une priorité et de mettre fin à des pratiques encore très répandues dans ce secteur. Ces nouvelles lignes directrices permettent ainsi d’apporter de premières explications sur l’application concrète du nouvel article 82 de la loi « Informatique et Libertés » (9).

Cookies « http », cookies « flash », etc.
Il ne s’agit que d’une première étape, puisque la Cnil a déjà annoncé qu’elle publierait d’autres recommandations sectorielles, notamment « au premier trimestre 2020 » une recommandation qui « précisera les modalités pratiques de recueil du consentement » (10), lesquelles feront suite à une consultation publique et une concertation avec les professionnels du secteur. « Des groupes de travail se tiendront au second semestre 2019 entre les services de la Cnil et chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, représentants de la société civile), par l’intermédiaire de leurs organisations professionnelles représentatives » (11). La Cnil revoit sa position et renforce les règles applicables aux cookies et autres traceurs. Les nouvelles lignes directrices de 2019 apportent des changements majeurs par rapport à ses recommandations antérieures de 2013.

Révision et renforcement des règles
A titre préliminaire, l’autorité de contrôle prend soin de préciser que le champ d’application de cette délibération est très large, puisqu’elle vise tous types de terminaux – notamment, smartphones, ordinateurs, consoles de jeux – et porte non seulement sur (12) : les cookies dit « http » (« par lesquels ces actions sont le plus souvent réalisées ») mais également sur les cookies dit « flash » (« local shared objects », ou objets locaux partagés), le « local storage » (ou stockage local) mis en oeuvre au sein du HTML5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non) et les identifiants matériels (adresses MAC, numéros de série, …).
La Cnil réitère le principe selon lequel le consentement doit être manifesté par l’utilisateur « de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif » (13), conformément aux dispositions du RGPD (Article 7 concernant « les conditions applicables au consentement » du RGPD). L’autorité de contrôle française détaille les contours de ce principe par des illustrations. Ainsi, elle affirme sans ambiguïté que les « cookies walls », à savoir la pratique consistant à bloquer l’accès à un site Internet ou un service pour « qui ne consent à être suivi » est contraire à l’exigence d’un consentement libre.
De même, le consentement doit être spécifique, ce qui signifie que l’acceptation globale de conditions générales d’utilisation « ne peut être une modalité valable de recueil du consentement » qui doit être donné de manière distincte pour chaque finalité. Un simple renvoi vers des conditions générales d’utilisation ne saurait non plus suffire à répondre à l’exigence d’un consentement « éclairé » qui requiert qu’une information complète, visible, accessible et aisément compréhensible soit mise à disposition de l’utilisateur au moment du recueil de son consentement. Enfin, l’un des changements les plus contraignants pour les acteurs du secteur de la publicité en ligne reste la suppression de la pratique dite du « soft opt-in », consacrée par la Cnil en 2013, consistant à considérer que la poursuite de la navigation sur un site Internet ou une application mobile valait consentement. Le caractère « univoque » du consentement requis par le RGPD exige à présent que l’internaute procède à une action positive pour recueillir son accord. Il ne sera plus non plus possible de se référer aux paramètres du navigateur de l’internaute, puisque la Cnil considère, conformément à la jurisprudence du Conseil d’Etat (14) que les « nombreux réglages » mis à disposition par les navigateurs web ne « permettent pas d’assurer un niveau suffisant d’information préalable des personnes », ni de « distinguer les cookies en fonction de leurs finalités ».
L’ensemble des exigences ne visent, néanmoins, que les cookies et traceurs pour lesquels un consentement est requis. De fait, la Cnil a réaffirmé le principe d’exemption pour certains cookies, notamment ceux dédiés aux mesures d’audience ou ceux destinés à « permettre ou faciliter la communication par voie électronique » ou « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (par exemple, les cookies d’identification).

Mais cette exception confirme la règle : continuer sa navigation ou scroller, autrement dit, faire défiler la page vers le bas de l’écran à l’aide de la molette d’une souris, d’un pavé tactile, mais également sur un écran tactile de téléphone portable ou de tablette à l’aide d’un doigt, n’est plus suffisant pour recueillir le consentement de l’internaute. Il faudra entreprendre les changements nécessaires pour assurer d’isoler le consentement de l’internaute et de rendre visibles les informations exigées. La preuve d’avoir recueilli, de manière conforme, le consentement de l’utilisateur, devra en outre être apportée et conservées par ses acteurs, lesquels devront pour ce faire mettre en place certainement de nouveaux outils, comme ceux d’historisation.

Délai accordé d’environ un an
Il est à noter que pour les opérateurs en conformité avec la délibération de 2013, la Cnil a concédé une période transitoire d’adaptation d’un an environ (six mois après la publication de la future recommandation prévue en 2020), laissant ainsi à ceux-ci le temps de mettre en oeuvre les mesures opérationnelles qui s’imposent. Mais l’autorité a déjà prévenu que « cette période d’adaptation n’empêchera pas la Cnil de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes ». @

Consentement préalable aux cookies : la Cnilmet les éditeurs en ligne en infraction avec le RGPD

« Faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair », prévient le groupe des « Cnil » européennes (G29) dans ses lignes directrices sur le consentement préalable avant tout cookie. Pourtant, la France continue de tolérer cette pratique interdite.

« En poursuivant votre navigation sur ce site web, vous acceptez l’utilisation de cookies pour vous offrir une meilleure expérience utilisateur »… Autrement dit, en reprenant le modèle de bandeau d’information préalable recommandé par la Cnil elle-même (1) : «En poursuivant votre navigation, vous acceptez que des traceurs soient déposés dans votre terminal afin de vous proposer des publicités ciblées et adaptées à vos centres d’intérêts, et pour réaliser des statistiques de visites » (2).

Un « scroll », et c’est le « cookie » !
Quel internaute n’a pas été confronté à ce message intrusif lors de sa première visite sur un site web français ? Il suffit d’un « scroll », c’est-à-dire l’action de faire défiler le contenu à l’écran (3), pour que l’éditeur considère avoir obtenu ainsi le consentement de l’internaute – sur le smartphone, l’ordinateur ou la tablette duquel il se permettra de déposer des cookies. Ces traceurs, ou mouchards, sont de petits fichiers enregistreurs de tous les faits et gestes du visiteur lors de sa navigation sur le site web en question. Le problème est que ce type de « bandeau cookie » proposant un « soft » opt-in – situé entre l’opt-in (consentement préalable) et l’opt-out (consentement implicite) – n’est pas conforme au règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018. Le consentement préalable obligatoire (opt-in clair et net (4)) y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (5).
Or, justement, de l’avis même des « Cnil » européennes réunies au sein du groupe dit G29 qui le précise dans ses lignes directrices révisées le 10 avril 2018 sur le consentement à la lumière du RGPD, « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ». Pour la simple raison, poursuit le G29, que « la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque » (6). Pourtant, malgré l’interdiction de cette pratique douteuse, les éditeurs de sites web et de presse en ligne continuent d’y recourir sans scrupule. Et ce, en France, avec l’aval de la Cnil qui va la considérer durant encore un an comme « acceptable » – dixit la Cnil le 28 juin (7). Sa présidente, Marie-Laure Denis (photo), a en effet profité de l’assemblée générale du Groupement des éditeurs de contenus et de services en ligne (Geste) – le 25 juin dernier – pour accorder aux éditeurs du Net un nouveau moratoire d’un an, soit jusqu’en juillet 2020. C’est donc après la publication de « nouvelles lignes directrices » – publication que la Cnil annonce pour juillet en vue de remplacer l’an prochain seulement en les abrogeant ses recommandations du 5 décembre 2013 parues au Journal Officiel (8) – que courra cette nouvelle « période transitoire » de douze mois pour laisser les médias « se mettre en conformité », a indiqué Marie-Laure Denis. La Cnil publiera « sa recommandation, pour consultation publique, fin 2019 ou, au plus tard, début 2020 », mais n’exclue pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement. La pratique dite du « cookies wall », forçant quelque peu le consentement de l’internaute, sera alors proscrite. Ce moratoire est une aubaine pour les éditeurs en ligne, qui doivent investir dans une Consent Management Platform (CMP) et qui craignent de voir bon nombre d’internautes refuser d’être « espionnés » à des fins publicitaires. « Pendant cette période de transition, explique le Geste qui rassemble de nombreux sites de presse en ligne (TF1.fr, Leparisien.fr, Lefigaro.fr, BFMtv.com, 20minutes.fr, Latribune.fr, Mediapart.fr, etc.), la poursuite de la navigation comme expression du consentement sera ainsi considérée comme acceptable. Sur cette question, la Cnil a récemment rappelé que l’action positive, comme le scroll et/ou le clic sur un élément de la page visitée après un bandeau d’information, suffit à recueillir valablement un consentement internaute ».

Mieux que le RGPD, l’ePrivacy en 2020
Cette position de la Cnil est propre à la France en Europe, qui prend donc le risque de permettre aux éditeurs de jouer les prolongations jusqu’à mi-2020 avec leurs « bandeaux cookies » non conformes au RGPD, alors que se profile déjà pour l’an prochain un autre règlement européen encore plus redouté par les éditeurs, celui appelé « ePrivacy » (9) (*) (**) (***), sur la protection de la vie privée et des données personnelles. @

Charles de Laubier

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier