7 questions pour comprendre le renforcement juridique et technique de la sécurité des paiements en ligne

Article co-écrit avec Me Jocelyn Pitet, Avocat à la Cour le 5 janvier 2021.

L’utilisation des solutions de paiement en ligne et l’accès aux espaces bancaires sur Internet a toujours dû assurer un équilibre subtil entre sécurisation nécessaire et facilité d’utilisation. 

Leur sécurité a dû être conçue tant pour la connexion par smartphone que par accès web, depuis des lieux de connexion habituels ou en déplacement, ce qui rendait difficile l’utilisation des moyens de sécurisation les plus efficaces (certificats électroniques sur supports matériels, etc.).

Aujourd’hui, la réglementation, par la voie de la directive DSP 2, impose (…)

Lire la suite

La CNIL sanctionne une agence marketing d’une amende de 4% de son CA – et ce n’est que le début… (article rédigé en janvier 2021)

Après les sanctions de la CNIL visant des PME et TPE en 2019, 2020 semblait inverser la tendance et avait vu des amendes de plusieurs dizaines de millions d’euros pleuvoir sur Carrefour, Google ou encore Amazon.

Les petites entreprises auraient pu se croire à l’abri et que la CNIL ne les contrôlerait plus. C’était sans compter sur les derniers jours de 2020, année décidément à nulle autre pareil. Le 7 décembre dernier, la CNIL a ainsi sanctionné une TPE de deux salariés réalisant 182 672 € de chiffres d’affaires (sur 2019) à une amende d’un montant de 4% de son chiffre d’affaires, soit 7300 euros, ainsi qu’une astreinte de 1 000  par jour de retard à l’issue d’un délai de deux mois.

La société condamnée est une agence marketing chargée, pour le compte d’annonceurs, de l’envoi de leur campagne publicitaires à des prospects. À ce titre, elle détient notamment une base de données de 20 millions de courriels de prospects, qu’elle indique avoir constituée à partir d’achats effectués auprès d’une autre société en 2014 et 2015, avant la liquidation de cette dernière en 2017.

En 2019, l’association Signal SPAM avait adressé un signalement à la CNIL en lui indiquant que cette agence apparaissait régulièrement en tête du classement des sociétés émettant le plus de messages signalés comme spam par les internautes français. 163 126 personnes s’étaient ainsi plaintes auprès de l’association en seulement 5 mois et 11 jours !

Un contrôle (…)

Lire la suite

La CNIL réécrit sa délibération sur les cookies : ce qui change… (article rédigé le 22 septembre 2020)

La CNIL vient d’abroger, dans une délibération du 17 septembre 2020, sa délibération du 4 juillet 2019 adoptant des lignes directrices sur l’usage des « cookies et autres traceurs ». Ces modifications tirent les conséquences de la décision du Conseil d’État du 19 juin 2020 sur le sujet, qui avait partiellement invalidé cette première délibération.

Notre objectif ici n’est pas de rappeler par le menu les nouvelles règles posées, mais d’analyser les évolutions apportées par ce nouveau texte au regard de l’ancien (…).

Lire la suite

Open Data des décisions de justice : et à la fin, on y parvient ? (article rédigé le 7 juillet 2020)

Le décret n° 2020-797 du 29 juin 2020 relatif à la mise à la disposition du public des décisions des juridictions judiciaires et administratives tant attendu vient finalement d’être publié !

Rappelons que ce décret prévoit les modalités selon lesquelles les décisions de justice seront accessibles librement en open data, sous forme électronique et gratuite, sur un portail internet placé sous la responsabilité du garde des Sceaux (« open data »).

Faut-il s’en réjouir ? Bien sûr !

Faut-il sabler le champagne ? Oui, si l’on sait remettre le bouchon après sur la bouteille.

Car le diable se cache dans les détails, en l’occurrence (…)

Lire la suite

L’acte authentique électronique fait sa révolution pour ses vingt ans ! (Article rédigé en avril 2020)

À l’occasion de la publication ces derniers jours [fin mars 2020] de textes juridiques d’exception du fait de la crise sanitaire sans précédent que nous traversons, de multiples domaines du droit sont fortement concernés. Or, cet impact s’opère aussi bien par les 25 premières ordonnances du 25 mars 2020 que par des textes parfois moins médiatisés. Là encore, des opportunités se dessinent, voire de véritables révolutions juridiques s’articulent. Celles-ci, longtemps ralenties ou entravées par des considérations pratiques, doctrinales ou économiques, s’imposent aujourd’hui devant les nécessités impérieuses causées par la situation actuelle.

Ainsi en est-il concernant l’acte authentique (ou « notarié ») établi et conservé (…)

Lire la suite

Nos anciens articles (février 2019) – RGPD : phase II

Pour ceux qui en douteraient encore, la toute récente décision de sanction de Google LLC (la société américaine, non sa filiale française) par la CNIL en raison du non-respect des règles du RGPD démontre bien que nous sommes aujourd’hui entrés dans la phase 2 de l’ère RGPD. La définition des données personnelles étant très large, le texte concerne la majorité des bases de données que les entreprises ou les entités du secteur public sont amenées à constituer.

Si les fortes sanctions pouvaient inciter à une mise en conformité rapide, certains auguraient qu’elles ne seraient jamais appliquées à ce niveau (…)

Lire la suite

Nos anciens articles (janvier 2019) – La prise en compte du RGPD dans les contrats des fournisseurs IT Santé : peut mieux faire ?

La protection du SI des établissements de santé suppose que l’ensemble des éléments intégrés dans le SI ou des acteurs qui y interviennent, quand ils sont le fait de tiers, soient soumis à des engagements contractuels stricts. Si des progrès ont été faits, notamment grâce au RGPD, de nombreux points d’attention demeurent.

Depuis l’entrée en application du Règlement Général sur la Protection des Données – que le grand public connaît mieux sous le nom de RGPD – le 25 mai 2018, il devient plus facile pour les entreprises clientes de prestations IT d’obtenir de leurs fournisseurs des engagements stricts, clairs et détaillés quant à la sécurité des prestations qu’ils fournissent.En effet, pour autant que les prestations consistent (…)

Lire la suite

Nos anciens articles (mai 2016) – Hackers éthiques, défaut de sécurité et République numérique

Le sujet des lanceurs d’alerte occupe le devant de la scène médiatique. Qu’en est-il quand des white hats ou hackers éthiques alertent de l’existence d’un défaut de sécurité ?

Les magistrats avaient pourtant déjà répondu à cette question en traçant des lignes claires (cf. notre commentaire de l’affaire Bluetouff), mais le projet de loi Lemaire ne pouvait décemment pas être adopté sans aborder (aussi) cette question.

C’est l’objet de l’article 20 septies du projet de loi dont le contenu a été profondément remanié au Sénat.

Contrairement à la rédaction proposé par l’Assemblée nationale en première lecture, En insérant un nouvel article L. 2321-4[1] à la suite de ces dispositions, les sénateurs prévoient ainsi non seulement des conditions très claires de « lancement de l’alerte » en matière de SSI, mais surtout un point d’entrée unique en insérant un nouvel article L. 2321-4[1] dans le Code de la défense.. En synthèse, cet article ouvre la possibilité d’avertir l’ANSSI de l’existence de vulnérabilités affectant un système d’information. Si le white hat est de bonne foi et n’a pas préalablement rendu l’information publique, l’ANSSI se charge alors de préserver son identité confidentielle, ainsi que les conditions d’obtention de l’information, et avertit l’hébergeur, l’opérateur ou le responsable du système d’information de la menace, une fois le risque caractérisé.

Comment et pourquoi en est-on arrivé là ? Vous trouverez toutes les réponses à ces questions dans notre chronique publiée sur silicon.fr.

Lire la suite

Nos anciens articles (mai 2015) – Jurisprudence vol de données : un train de retard ?

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de “vol” appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de “l’affaire Bluetouff”.

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la “soustraction frauduleuse de la chose d’autrui” est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

soustrait des données qu’il a utilisées sans le consentement de leur propriétaire”

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

Lire la suite

Nos anciens articles (mai 2015) – CNIL, anonymisation et décisions de justice : évitons la caricature !

Le 11 mars 2015, le Conseil d’Etat a enjoint la Commission Nationale Informatique et Libertés (CNIL) de procéder à l’anonymisation du nom d’une société citée dans une de ses décisions, la seule société E.[1], cette dernière n’ayant pas fait l’objet de la sanction prononcée : elle n’opérait qu’en tant que fournisseur de la solution technique dont l’utilisation était l’objet du litige.

Cette solution a pu provoquer un certain trouble, c’est peu de le dire, lié au fait que la CNIL dispense elle-même les règles à adopter en matière d’anonymisation des décisions de justice.

Mais est-ce aussi simple ? Et la décision du Conseil d’Etat est-elle aussi surprenante ? (…)

Lire la suite