Le Règlement européen sur les données personnelles adopté ! [Edit du 4 mai 2016]

Le Règlement européen sur les données personnelles adopté ! [Edit du 4 mai 2016]

[Edit 4 mai 2016 : le règlement 2016/679 vient d’être publié ce jour au Journal Officiel de l’Union Européenne !]

Enfin !

Le Parlement européen a adopté, il y a quelques heures, le Règlement européen relatif à la protection des données à caractère personnel et à la libre circulation de ces données (dit aussi  « RGDP »). Pour applaudir et saluer cette adoption comme il se doit, il faut en comprendre la genèse.

Retour sur l’histoire de ce Règlement européen…

Souhaitant réformer la protection des données à caractère personnel pour aboutir à un ensemble de règles uniques, la Commission européenne a proposé un Règlement européen le 25 janvier 2012. Cette proposition a pour objectif de remplacer la Directive 95/46/CE du 24 octobre 1995 afin de mettre à jour les règles qu’elle prévoyait, de l’adapter aux nouveautés technologiques mais surtout de lutter contre la disparité des règles sur la protection des données à caractère personnel pouvant exister entre plusieurs pays européens, du fait de leur transposition. Rappelons en effet que (…)

J-7 / 3E Rencontres parlementaires de la Cybersécurité #RPCyber du 21 octobre 2015

J-7 / 3E Rencontres parlementaires de la Cybersécurité #RPCyber du 21 octobre 2015

Retrouvez notamment : Guillaume POUPARD, DG de l’ANSSI, le Préfet Jean-Yves LATOURNERIE, en charge de la lutte contre les cybermenaces au ministère de l’intérieur, Jean-Baptiste CARPENTIER, délégué interministériel à l’intelligence économique, Thierry DELVILLE, délégué ministériel aux industries de sécurité, l’ICA Frédéric VALETTE, Responsable du Pôle SSI à la DGA…
…et les parlementaires qui animeront les travaux : Jean-Marie BOCKEL, sénateur du Rhin, Francis HILLMEYER, député du Rhin, Eduardo RIHAN CYPEL, député de Seine-et-Marne, et Gwendal ROUILLARD, député du Morbihan.

Le Cabinet ATIPIC Avocat, partenaire de ces Rencontres, (…)

Jurisprudence vol de données : un train de retard ?

Jurisprudence vol de données : un train de retard ?

Le 20 mai 2015, la Cour de cassation a rendu un arrêt concernant la délicate question de la reconnaissance de la notion de « vol » appliquée à des données informatiques, donc immatérielles (merci à Marc Rees pour la mise à disposition de la décision).

Vous l’aurez reconnue, il s’agit bien sûr de « l’affaire Bluetouff ».

Avec cet arrêt, la Cour de cassation prend très clairement position : pour elle, une donnée peut être volée, c’est-à-dire que l’article 311-1 du Code pénal réprimant la « soustraction frauduleuse de la chose d’autrui » est pleinement applicable à la copie et l’exfiltration depuis un extranet de fichiers informatiques. Le vol est retenu car, selon les magistrats, Bluetouff a

« soustrait des données qu’il a utilisées sans le consentement de leur propriétaire »

Alors, est-on devant une évolution majeure du droit de la sécurité des systèmes d’information ?

Pas vraiment : cette décision arrive (…)

Protection du « secret d’affaires » : la contre-attaque du retour de la revanche ?

Protection du « secret d’affaires » : la contre-attaque du retour de la revanche ?

Le sujet de la protection du secret d’affaires – et la nécessité de lui accorder un sanctuaire législatif – s’est imposé crescendo à coup de proposition de loi, d’une directive, et finalement du rapport de la délégation parlementaire au renseignement, du 18 décembre 2014 mettant en lumière l’accroissement exponentiel de la prédation du patrimoine informationnel de nos entreprises.

Rappelons l’enjeu : protéger des actifs intellectuels considérés comme sensibles par l’entreprise via un cadre juridique permettant d’assurer leur confidentialité et de réprimer les atteintes, sachant que ces actifs ne peuvent être protégés en tant que tels par la propriété intellectuelle (comme le seraient des marques, des brevets, etc.).

Ce projet s’est toutefois heurté de plein fouet à la pression médiatique autour de la proposition de loi Macron.

Est-ce la fin pour cette législation cruciale ?

Heureusement non, en tout cas on peut l’espérer.

Mais pour connaître l’historique et deviner l’avenir de ces dispositions, il faut se plonger dans la lecture du « sujet du mois » du second numéro de la Newsletter ATIPIC, disponible gratuitement en cliquant ici.

Crédits photo : @alphaspirit – Fotolia.com 

Transformation digitale et risques juridiques: à découvrir sur butter-cake.com !

Transformation digitale et risques juridiques: à découvrir sur butter-cake.com !

Youmna Ovazza, grande expert des problématiques de transformation numérique et qui propose sur son blog, avec brio et entrain, des nourritures digitales pour l’esprit, s’est penchée sur le sujet de la cybersécurité dans le cadre de la transformation numérique. Elle a ainsi interviewé Diane Rambaldini et Hadi El Khoury, co-fondateurs du chapitre français de l’ISSA.

Elle a également interviewé François Coupez, Avocat à la Cour associé d’ATIPIC Avocat sur la transformation digitale et les risques juridiques.

A noter : les agences de notation auront prochainement un critère de notation lié au risque et aux mesures prises par les entreprises pour lutter contre la cyber criminalité. Une incitation à l’action certaine pour ceux qui ne sont pas encore sensibilisés au sujet !

Crédits photo : © Thomas R. – Fotolia.com

SMS présumés professionnels par la chambre commerciale: que dit la chambre sociale ?

SMS présumés professionnels par la chambre commerciale: que dit la chambre sociale ?

On parle beaucoup ces derniers jours de la décision de la Cour de cassation du 10 février 2015 dans l’affaire opposant deux sociétés de courtage financier (GFI Securities Limited et Newedge Group), concernant l’accusation de désorganisation de l’activité et de débauchage d’un grand nombre de salariés de la seconde par la première.

Dans cette affaire, la chambre commerciale a décidé que les SMS « envoyés ou reçus par le salarié au moyen du téléphone mis à sa disposition par l’employeur pour les besoins de son travail sont présumés avoir un caractère professionnel, en sorte que l’employeur est en droit de les consulter en dehors de la présence de l’intéressé, sauf s’ils sont identifiés comme étant personnels ». En l’espèce, n’étant pas identifiés comme personnels, les SMS présumés professionnels pouvaient être produits en justice par Newedge.

Question cependant : cette décision a été rendue par la Chambre commerciale de la Cour de cassation. Or, c’est la chambre sociale qui fixe ce type de principes. Peut-on anticiper une opposition de deux chambres et donc des solutions différentes en fonction des contentieux, comme cela a déjà pu arriver dans d’autres sujets ?

[edit] C’est la question qui est traitée dans « l’addition du mois » de la Newsletter ATIPIC de mars/avril 2015, qui vient de paraître.

Pour recevoir gratuitement ce numéro, il vous suffit (…)

Prochain évènement : #SecurityTuesday « Celui qui ne file pas Droit » – 17 mars 2015

Prochain évènement : #SecurityTuesday « Celui qui ne file pas Droit » – 17 mars 2015

Le 17 mars 2015 aura lieu à Paris le prochain Afterwork  #SecurityTuesday organisé par l’ISSA France : « Celui qui ne file pas Droit ».
Cet afterwork sera l’occasion de dissiper le flou entre les sphères privée et professionnelle : chartes, droits et obligations des salariés, « droit » à la déconnexion, …

Il sera animé par François Coupez, Avocat à la Cour, spécialiste en droit des nouvelles technologies et associé d’ATIPIC Avocat.

Le lieu sera (…)

Espionnage dans l’entreprise : le DSI prenait ses aises

Espionnage dans l’entreprise : le DSI prenait ses aises

Licencié pour faute grave, sera-t-il sauvé par le malentendu autour de la Norme simplifiée 46 en matière de sécurité des SI de l’entreprise ?

En matière de « cybersurveillance sur le lieu de travail » (mais on peut aussi parler de « cyberprotection de l’employeur »), on trouve de nombreuses décisions de justice sur les abus perpétrés d’un côté par les salariés mettant en danger la sécurité du SI de l’employeur ou abusant de son utilisation, et de l’autre côté par les employeurs dépassant les limites de leurs prérogatives de contrôle de l’activité du salarié pour l’accomplissement des tâches confiés. Quant aux administrateurs des systèmes informatiques, chargés en pratique s’assurer la sécurité et le bon fonctionnement des SI, s’il leur arrive d’être la cible de procès d’intention sur la façon dont ils exercent leur activité, certains d’entre eux abusent effectivement de leur droits d’accès privilégiés au SI, la plupart du temps dans leur propre intérêt.

Or, dans l’affaire tranchée par la Cour d’appel de Versailles le 4 février 2015, c’est à un DSI beaucoup trop curieux (à dire le moins) que les magistrats ont dû s’intéresser. Et si la décision renvoit de façon fréquente aux formalités « informatique et libertés » accomplies mais non respectées (en particulier la Norme Simplifiée 46), il est intéressant de noter tout le paradoxe de la situation : l’employeur sanctionne le salarié qui a violé une déclaration ne permettant aucun contrôle sérieux du SI… en effectuant des opérations techniques d’audit elles-mêmes non couvertes par ladite déclation… sachant que c’est ce salarié qui s’est occupé de la déclaration insuffisante ! Mais revenons au détail de l’affaire avant de (…)

Le règlement 97-02 abrogé… Vive l’arrêté du 3 novembre 2014 !

Après une vie longue et fructueuse, le désormais célèbre règlement du Comité de la réglementation bancaire et financière n° 97-02 du 21 février 1997 modifié relatif au contrôle interne des établissements de crédit et des entreprises d’investissement n’est plus.

Pour autant, ses principales dispositions lui survivront.

Elles sont ainsi reprises dans l’un des 7 arrêtés du 3 novembre 2014, celui « relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution« . Cet arrêté abroge donc l’ancien règlement (cf. son article 287)…

Must read : « 5 questions pour comprendre le déchiffrement SSL »

Reynald Fléchaux a publié sur silicon.fr un article très complet sur cette problématique déjà ancienne au sein des entreprises, aujourd’hui sous les feux de l’actualité, et qui recèle de très intéressantes questions juridiques : le déchiffrement des flux SSL. Le journaliste y interroge notamment François Coupez, associé d’ATIPIC Avocat, sur les aspects juridiques.

Pour lire cet article passionnant et tout comprendre de la problématique en 5 questions, cela se passe sur le site de silicon.fr.