Cloud ComputingContrats informatiquesNotification des failles de sécuritéProtection des données à caractère personnelSécurité des systèmes d'information

Nos anciens articles (avril 2016) – Le RGPD finalement adopté ! [Edit du 4 mai 2016]

[Edit 4 mai 2016 : le règlement 2016/679 vient d’être publié ce jour au Journal Officiel de l’Union Européenne !]

Enfin !

Le Parlement européen a adopté, il y a quelques heures, le Règlement européen relatif à la protection des données à caractère personnel et à la libre circulation de ces données (dit aussi  « RGDP »). Pour applaudir et saluer cette adoption comme il se doit, il faut en comprendre la genèse.

Retour sur l’histoire de ce Règlement européen…

Souhaitant réformer la protection des données à caractère personnel pour aboutir à un ensemble de règles uniques, la Commission européenne a proposé un Règlement européen le 25 janvier 2012. Cette proposition a pour objectif de remplacer la Directive 95/46/CE du 24 octobre 1995 afin de mettre à jour les règles qu’elle prévoyait, de l’adapter aux nouveautés technologiques mais surtout de lutter contre la disparité des règles sur la protection des données à caractère personnel pouvant exister entre plusieurs pays européens, du fait de leur transposition. Rappelons en effet que (…)

Read More
Commerce électroniqueContrats informatiquesDroit bancaire et nouvelles technologiesGénéralInterventions Level Up LegalLevel Up dans les médiasProtection des données à caractère personnel

Nos anciens articles (janvier 2016) – Prochain évènement : Les Rencontres Annuelles du Droit de l’Internet 2016 de CYBERLEX

Les Rencontres Annuelles du Droit de l’Internet 2016 de CYBERLEX se dérouleront le 18 janvier 2016 et auront pour thème :
« La Sharing Economy : Le droit et le défi de l’Economie Collaborative »

Des dirigeants d’entreprise du secteur, membres de la CNIL et de la DILA, universitaires, ingénieurs en informatique, avocats et responsables juridiques, acteurs et praticiens du droit de l’Internet participeront aux débats, qui se dérouleront sous la forme de deux tables rondes.

Il reste des places, inscrivez-vous vite !

Table Ronde 1 – Economie collaborative : le droit face au défi du partage (…)

Read More
Droit social et nouvelles technologiesProtection des données à caractère personnelSécurité des systèmes d'informationUncategorized

« Chartes informatiques » en entreprise : contre la cybercriminalité, le temps n’est (malheureusement) plus aux demi-mesures…

La cybercriminalité et la menace qu’elle fait peser sur les entreprises de toutes tailles s’inscrivent maintenant dans la réalité de la vie économique. Si, en France, certains chefs d’entreprise pouvaient se dire que les conséquences dramatiques des piratages de Target ou de Sony Entertainment Pictures ne les concernaient pas et qu’ils n’avaient pas à en tirer toutes les conséquences, le piratage de grande ampleur mené contre TV5 Monde a prouvé, a contrario, que la France n’était pas épargnée. Elle a surtout démontré que les attaques informatiques pouvaient avoir d’autres finalités que de subtiliser des secrets industriels ou des données personnelles, soit par exemple mettre à mal, voire détruire l’activité et l’outil industriel de l’entreprise.

Face à ces risques et aux piratages (…)

Read More
Droit social et nouvelles technologiesInterventions Level Up LegalProtection des données à caractère personnel

Nos anciens articles (juin 2015) – L’entreprise face aux objets connectés du salarié

L’objet de ce court billet n’est pas de traiter à nouveau en détail de la problématique, mais de synthétiser les ressources disponibles sur le blog concernant ce sujet et le BYOCL en général (« Bring Your Own Connected Life »), tout en mentionnant quelques nouvelles informations.

Pour une analyse du sujet et (…)

Read More
OIVSécurité des systèmes d'information

Nos anciens articles (mai 2015) – Jurisprudence vol de données : un train de retard ?

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de « vol » appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de « l’affaire Bluetouff ».

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

« soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

Read More
Cloud ComputingContrats informatiques

Nos anciens articles (mai 2015) – Note stratégique : anticiper les risques et adopter le cloud computing en toute sérénité

Le Cabinet de conseil en stratégie CEIS, le cabinet de conseil en risques et sécurité des SI Business Digital Security et le cabinet ATIPIC Avocat ont mis en commun leur expertise concernant les multiples problématiques soulevées par le Cloud, afin de développer le projet CUMULUS.

Le but est de permettre aux entreprises de profiter de tous les bienfaits du recours au Cloud, en apportant une parfaite visibilité des risques (gouvernance, contractuel, de sécurité ou liés au choix du prestataire lui-même) et surtout (…)

Read More
ContratsDématérialisationSignature électronique

Signature électronique : un reboot pour enfin trouver son public ?

Le Parlement européen et le Conseil ont adopté le 23 juillet 2014 le règlement dit « identification et service de confiance » ou encore « règlement eIDAS »(1). Non seulement ce règlement se substituera le 1er juillet 2016 à la directive 1999/93/CE dite « signature électronique »(2) qui sera abrogée le jour même, mais il remplacera surtout directement les règles existantes des pays membres sur les sujets qu’il traite(3).

Son objectif : accomplir ce que la directive « signature électronique » n’a pas réussi, en renforçant la sécurité juridique en matière de transaction électronique, afin d’accroître la confiance de ses multiples utilisateurs et parvenir à un marché numérique unique via l’interopérabilité(4).

Le règlement ne s’est pas seulement contenté de creuser le sujet original traité par la directive de 1999. Il aborde également, dans un chapitre II ad hoc, une problématique annexe : celle de l’identification électronique permettant d’accéder à un service en ligne fourni par un organisme du secteur public dans un État membre (et notamment les conditions de reconnaissance mutuelle transnationale du schéma d’identification). C’est une des raisons qui explique l’embonpoint certain du texte, qui a tout de même triplé de volume par rapport à la directive de 1999 : 28 considérants et 15 articles dans la directive, contre 77 considérants et 52 articles dans le règlement de 2014 !

Dans le cadre de ce focus, nous ne traiterons pas du volet « identification électronique dans le secteur public », pour nous concentrer sur les services de confiance et en particulier la signature électronique. Par ailleurs, devant l’ampleur du sujet, il nous a semblé plus utile de nous concentrer sur certains aspects du texte, plutôt que de nous livrer à une simple énumération du détail de chacune des nouvelles règles.

Les développements qui suivent seront donc l’occasion d’un état des lieux – et des conséquences – des principales modifications prévues l’année prochaine. Pour en rendre la lecture plus digeste, nous avons décidé de vous proposer l’ensemble sous la forme de questions-réponses sur (…)

Read More
Protection des données à caractère personnel

Nos anciens articles (mai 2015) – CNIL, anonymisation et décisions de justice : évitons la caricature !

Le 11 mars 2015, le Conseil d’Etat a enjoint la Commission Nationale Informatique et Libertés (CNIL) de procéder à l’anonymisation du nom d’une société citée dans une de ses décisions, la seule société E.[1], cette dernière n’ayant pas fait l’objet de la sanction prononcée : elle n’opérait qu’en tant que fournisseur de la solution technique dont l’utilisation était l’objet du litige.

Cette solution a pu provoquer un certain trouble, c’est peu de le dire, lié au fait que la CNIL dispense elle-même les règles à adopter en matière d’anonymisation des décisions de justice.

Mais est-ce aussi simple ? Et la décision du Conseil d’Etat est-elle aussi surprenante ? (…)

Read More
Droit social et nouvelles technologiesProtection des données à caractère personnel

Nos anciens articles (avril 2015) – Les data issues des objets connectés du salarié, objets de convoitise ?

Nous avions évoqué l’évolution de la notion du BYOD dans l’entreprise dans notre premier billet du triptyque, intitulé Les défis du BYOD face à la transition numérique de l’entreprise”. La pratique s’est surtout développée aux USA, où les entreprises y ont vu un élément d’attractivité et d’image auprès des plus jeunes candidats et collaborateurs, tout en comprenant les avantages financiers qu’elles pouvaient en tirer.
En revanche, l’intégration dans les entreprises françaises ne s’est pas véritablement opérée. Le plus souvent, le phénomène a mué vers le développement du COPE (“Corporate Owned, Personnaly Enabled”), en raison de contraintes culturelles, sociales, fiscales, sécuritaires.
Rien de révolutionnaire toutefois, puisque le COPE consiste simplement à agrandir le catalogue des terminaux informatiques fournis par l’entreprise et destinés à être connectés à son système d’information, tout en laissant une liberté plus grande au salarié concernant une utilisation faite à titre privé dudit terminal. 

Quel COPE pour les objets connectés ?

Si l’on étudie les conséquences de l’émergence prévisible des objets connectés dans l’entreprise (cf. notre second billet “Droit à la déconnexion et objets connectés”), la situation apparaît bien différente (…)

Read More
Secret d'affairesSécurité des systèmes d'information

Nos anciens articles (avril 2015) – Protection du secret des affaires : la contre-attaque du retour de la revanche ?

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

Read More