-
Le décret d'application relatif aux conditions d'application de conservation des données personnelles vient d'être publiée. Ce texte publié le 26 mars 2006 intervient près de 5 ans après la loi sur la sécurité au quotidien qui date du 15 novembre 2001, dont elle fixe les modalités d'application en ce qui concerne la conservation des données. Mais, à peine vient-il d'être publié que ce décret paraît déjà périmé. En effet, la clé de voûte de ce dispositif c'est la durée de la conservation des données qui est fixée par le décret à un an.Or, la directive européenne relative à la lutte contre le terrorisme qui a été adoptée le 21 février dernier, dans la foulée des attentats de Madrid et de Londres, a fixé à deux ans la durée de conservation des informations en matière de "terrorisme et de crime organisé". La durée de conservation prévue par ce décret devrait donc être revue à la hausse pour cause d'harmonisation.
Deux options s'offriront alors au législateur.Dans la première, il distinguerait les procédures de "droit commun" pour lesquelles la durée de conservation serait maintenue à un an, et celles relatives "au terrorisme et au crime organisé" dans lesquelles cette durée serait être portée deux ans par transposition de la directive européenne.
Dans la seconde, il pourrait fixer une durée unique de conservation de données à deux ans. La difficulté d'identifier a priori les données pouvant intéresser "les procédures relatives au terrorisme et au crime organisée" des autres, rend cette option plus réaliste. Cette dernière hypothèse pourrait néanmoins se heurter au principe de proportionnalité qui postule que les contraintes imposées pour la défense de l'ordre public soient proportionnées et différenciées au regard des objectifs poursuivis.Quoi qu'il en soit, le choix entre ces deux options sera déterminant dans la mesure où il emporte des conséquences plus ou moins lourdes pour le respect de la vie privée et les charges financières et techniques qui pèseront sur les opérateurs appelés à gérer les données ainsi conservées.
La publication "tardive" et " prématurée" de ce décret, ajoutée au spectacle piteux de l'adoption de la loi DADVSI donne en tous cas, un véritable sentiment de cafouillage et d'incapacité des pouvoirs publics à se mettre au diapason des mutations imposées par la société de l'information... Publier un décret en l'état au journal officieldémontre soit que le législateur n'en avait pas connaissance de la directive européenne (ce qui me paraît invraisemblable, soit qu'il n'en a pas tenu compte. Dans tous les cas cela ne fait pas sérieux !
votre commentaire
-
Le décret d'application relatif aux conditions d'application de conservation des données personnelles a été publié au journal officiel le 26 mars dernier.
Ce texte pris en application de la loi sur la sécurité au quotidien du 26 novembre 2001, modifie et complète la partie réglementaire du Code des postes et communication électroniques relative à "Protection de la vie privée des utilisateurs de réseaux et services de communications électroniques".1.- L'article R 10-12 pose la définition de la notion de données qui conditionne l'application de cette réglementation :
" Pour l'application des II et III de l'article L. 34-1, les données relatives au trafic s'entendent des informations rendues disponibles par les procédés de communication électronique, susceptibles d'être enregistrées par l'opérateur à l'occasion des communications électroniques dont il assure la transmission et qui sont pertinentes au regard des finalités poursuivies par la loi".
2.- L'article R 10-13 qui contient 4 paragraphes définit les modalités de l'obligation de conservation en relation avec une procédure pénale
2.1.- paragraphe I énumère les données objet de l'obligation de conservation :
" En application du II de l'article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
« a) Les informations permettant d'identifier l'utilisateur ;
« b) Les données relatives aux équipements terminaux de communication utilisés ;
« c) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
« d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
« e) Les données permettant d'identifier le ou les destinataires de la communication.
2.2.- Le paragraphe II ajoute les données supplémentaires conservées par les opérateurs de téléphonie mobile :
« II.-Pour les activités de téléphonie l'opérateur conserve les données mentionnées au I et, en outre, celles permettant d'identifier l'origine et la localisation de la communication.
2.3.- Le paragraphe III fixe la durée de la conservation des données
« III. - La durée de conservation des données mentionnées au présent article est d'un an à compter du jour de l'enregistrement.
2.4.- Le paragraphe IV fixe les modalités de financements des surcoûts résultant de l'obligation de conservation des données.
« IV. - Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l'article R. 213-1 du code de procédure pénale.
3. L'article R. 10-14. – fixe les modalités de la faculté de conservation des données par les opérateurs pour les besoins de leurs activités.
3.1.- Le paragraphe I énumère les données que les opérateurs peuvent conserver
« I. - En application du III de l'article L. 34-1 les opérateurs de communications électroniques sont autorisés à conserver pour les besoins de leurs opérations de facturation et de paiement les données à caractère technique permettant d'identifier l'utilisateur ainsi que celles mentionnées aux b, c et d du I de l'article R. 10-13.
3.2.- Le paragraphe II énumère les données supplémentaires que les opérateurs de téléphonie peuvent conserver :
« II. - Pour les activités de téléphonie, les opérateurs peuvent conserver, outre les données mentionnées au I, les données à caractère technique relatives à la localisation de la communication, à l'identification du ou des destinataires de la communication et les données permettant d'établir la facturation.
3.3.- Le paragraphe III fixe les limites de la faculté de conservation :
« III. - Les données mentionnées aux I et II du présent article ne peuvent être conservées que si elles sont nécessaires à la facturation et au paiement des services rendus. Leur conservation devra se limiter au temps strictement nécessaire à cette finalité sans excéder un an.
3.4.- Le paragraphe IV fixe les conditions de conservation des données nécessaires à la sécurité des réseaux :
« IV. - Pour la sécurité des réseaux et des installations, les opérateurs peuvent conserver pour une durée n'excédant pas trois mois :
« a) Les données permettant d'identifier l'origine de la communication ;
« b) Les caractéristiques techniques ainsi que la date, l'horaire et la durée de chaque communication ;
« c) Les données à caractère technique permettant d'identifier le ou les destinataires de la communication ;
« d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs. » votre commentaire
-
Dans l'édition de son journal de 20 heures d'hier, France 2 a révélé une nouvelle affaire d'utilisation déviante et abusive des blogs impliquant cette fois-ci des mineurs.
En l'espèce, quatre jeunes lycéens de terminale S dans Lycée de Toulon avaient publié sur un blog qu'ils animaient des informations à caractère insultantes, homophobes et racistes visant leur Professeur de Physique-Chimie.Outre les imputations sur son homosexualité, les auteurs du blog auraient également fait des allusions tendancieuses sur l'origine africaine du compagnon de ce dernier. Le Professeur ainsi que le Proviseur du Lycée ont déposé une plainte auprès du Parquet du Procureur de la République de Toulon.
Cette nouvelle affaire me donne l'occasion d'évoquer à nouveau la question de "blog et responsabilité".
Je ne vais pas enfoncer des portes ouvertes, sur la question de la responsabilité des blogueurs, de nombreux billets forts intéressants (dont je recommande la lecture) ont déjà été publiés sur le sujet par d'éminents blgueurs.Il me suffira ici d'en rappeler les grandes lignes pour les besoins de la problématique originale que pose cette nouvelle affaire, à savoir, la responsabilbilté des "blog kiddies" ou "bloguéditeurs*" mineurs.
1.- En bref, par assimilation le propriétaire d'un blog est considéré comme Directeur de la publication de son blog dans la mesure où il est considéré comme responsable du contenu éditorial de son site. A ce titre, il est soumis aux obligations prévues par la loi de 1881 sur la presse en cas de publication de contenu injurieux, diffamatoire (Voir l'Affaire Monputeaux.com).
2.- Il également considéré comme éditeur de son blog et doit à ce titre satisfaire aux obligations prévues par la loi pour la confiance dans l'économie numérique, notamment en matière de traçabilité et de modération des des commentaires laissés sur son blog. Il doit veiller à la licéité de leur contenu.
3.- Dans un cas comme dans l'autre, il est susceptible d'engager aussi bien sa responsabilité pénale que civile.
Si pour les personnes majeurs, donc juridiquement présumées capables de discernement ces obligations ne posent pas de problèmes particuliers, on peut douter lorsqu'il s'agit de mineurs.
Leur capacité à discerner des notions aussi subtiles que droit de réponse, commentaires modérés ou autres exceptio veritatis me paraît pour le moins ténu pour ne pas dire inexistante...
En effet, la vague du blog submerge toute la société jusque, y compris dans les préau (Voir Blog de titeuf).
D'ailleurs mon fils qui a 11 ans édite un blog que fréquente ses potes d'école, où il commente ses matchs de foot, ses jeux vidéo, et ses musiques...Ca fait branché, Ca fait in...
Quid donc de la responsabilité des blogs édités par des mineurs adolescents ou pré-adolescents ?
Sur le plan pénal, en principe, si l'on tient compte des principes généraux de la responsabilité, sous réserve des ajustements liés à l'individualisation de la sanction, ces mineurs (s'ils ont plus de 13 ans) peuvent parfaitement engager leur responsabilité pénale et être condamnés comme tel par un tribunal pour enfants.
En revanche, sur le plan civil, ce sont leurs parents, en leur qualité de civilement responsables de leurs enfants mineurs qui devront en assumer les conséquences financières.
Et, c'est là que ça me pose un problème (pas seulement en tant que père d'un "blog kiddy", mais simplement en tant que juriste).
La responsabilité des parents du fait de leurs enfants mineurs est avant tout fondée sur une présomption. Présomption de défaillance des parents dans l'éducation, dans la formation ou la surveillance qui est à l'origine de l'infraction... Même si, c'est vrai, aujourd'hui avec le développement de l'assurance, l'idée de garantie et de responsabilité sans faute tend à se substituer progressivement à cette présomption initiale.
Or, en l'espèce, compte tenu même de la nature des blogs ceux-ci parfaitement échapper à la vigilance et à la surveillance des parents, dans la mesure où ils peuvent être éditer et animer de n'importe où et notamment à partir de salle informatique scolaire ou de cybercafés.
En outre, il y a à mon sens, au départ une véritable incongruité juridique à faire assumer à des enfants ou des adolescents une responsabilité juridique pour laquelle ils n'ont pas nécessairement les moyens intellectuels et dont ils ne mesurent pas toujours toutes les implications.
Il ne faut tout de même pas oublier, qu'avant tout, à la base de l'ouverture d'un blog, il y a nécessairement un contrat (même gratuit) entre un fournisseur de service internet et le blogueur.
Lorsque ce contrat est passé par un mineur non émancipé, il est juridiquement entaché de nullité, du seul fait de l'incapacité juridique du mineur à contracter. La majorité civile marque, l'âge de raison, celui auquel on devient juridiquement et socialement capable de responsabilité.
Il y a donc une inconséquence, ou à tout le moins, un risque juridique évident, à mettre à la disposition d'un mineur, civilement irresponsable, un outil générateur de responsabilité civile et financière.
Il semble bien que certains FSI spécialisés dans le blog pour ado et pré-ado aient fait le choix de courir ce risque, en permettant l'ouverture de blogs à des mineurs, sans accord des parents civilement responsables.
Dans ce cas, qu'ils l'assument donc entièrement, y compris au niveau des conséquences pécuniaires qui peuvent en résulter.
Je rappelle que dans la loi pour la confiance dans l'économie numérique, l'irresponsabilité FAI et PSI du fait des contenu illicites publiés des sites hébergés ou référencés par eux, repose essentiellement sur le fait que ceux-ci ne peuvent pas être considéré comme responsable des contenus, en ce sens qu'ils n'ont aucune obligation de contrôle a priori des contenus qu'ils publient ou hébergent.
Et, c'est heureux pour la liberté d'expression...
En revanche, ce n'est pas de cela qu'il s'agit ici. Il s'agit de la responsabilité qui découle d'un risque commercial et juridique pris en connaissance de cause, celui de valider sans précaution (autorisation parentale notamment) un contrat, juridiquement irrégulier, parceque conclu avec un sujet juridiquement incapable.
Et, le dommage subi par la ou les victimes procéde de la réalisation de ce risque...Il ne serait donc pas anormal à mon sens que sur le plan civil il puisse, en terme de réparation assumer responsabilité du risque qu'ils prennent en s'adressant à une cible civilement et financièrement irresponsable... En toute hypothèse, il serait intéressant de voir la décision qui interviendra dans cette affaire caractéristique...
LKM
Notes
* Blog kiddy : Néologisme par lequel je me propose de désigner les blogueurs mineurs qui éditent des blogs, sans forcément mesurer la portée des obligations et devoirs que cela implique et qui peuvent de ce fait se révéler dangereux aussi bien pour eux-mêmes que pour autrui.
Obtenu par association allusive au terme script kiddy qui désigne le "Petit morveux tout juste capable de faire tourner une poignée de scripts pouvant lui donner un accès non autorisé à un système, sans comprendre ce qui se passe réellement, mais se vantant d'être un vrai hacker. Il a tendance à être bête et méchant, et est de ce fait relativement dangereux" (Le jargon français).* Bloguéditeur : Editeur de Blog, néologisme employé par Eolas (le journal d'un avocat) pour désigner l'éditeur de Blog, Eolas "Blogueurs et responsabilité"
votre commentaire
-
Pour démanteler les gangs d'arnaques par phishing, l'éditeur apporte son expertise technique aux forces de l'ordre en les formant aux astuces des escrocs. Après les Etats-Unis, cette collaboration s'ouvre à l'Europe, où il va déposer aussi des plaintes.Microsoft élargit à l'Europe son offensive contre le phishing, lancée aux États-Unis, pour laquelle il apporte son expertise technologique aux forces de l'ordre enquêtant sur ce type de délit.
L'éditeur veut mettre la main sur les escrocs qui copient ses sites pour arnaquer des internautes par la technique du phishing.
Ils les invitent, par e-mail, à aller sur des sites web frauduleux ayant l'apparence de ceux de Microsoft, par exemple MSN et Hotmail. Les victimes doivent alors saisir des données confidentielles, sans se douter du piège.
Des plaintes dans cinq pays européens
D'ores et déjà, Microsoft prévoit d'ici à la fin mars le dépôt de 53 plaintes contre des personnes suspectées dans 9 pays: France, Espagne, Allemagne, Autriche, Suède, au Royaume-Uni, ainsi qu'en Turquie, Maroc et Egypte. Un nombre qui devrait atteindre la centaine d'ici juin, a annoncé l'éditeur à Bruxelles lors d'une réunion organisée à Bruxelles par l'association européenne des fournisseurs d'accès (EISPA), et qu'il parrainait avec Interpol.
Les personnes seront poursuivies par l'entreprise pour violation de copyright. «Le phishing est un délit. Il nuit à la confiance que les consommateurs ont dans l'internet, et freine les efforts des politiques européens et industriels visant à accroître l'adoption par le public de services internet innovants et utiles», s'est insurgé Neil Holloway, président de Microsoft EMEA (Europe, Moyen-Orient et Afrique).
Déjà 4.744 sites de phishing fermés
En apportant son expertise et ses ressources techniques à la police, Microsoft a déjà contribué à la fermeture de 4.744 sites utilisés pour le phishing dans le monde.
En janvier, un gang, qui avait imité son portail MSN pour duper ses utilisateurs, a ainsi été démantelé en Bulgarie. Bernard Otupal, de la cellule d'Interpol spécialisée sur les délits dans le monde high-tech et la finance, a salué cette coopération. Grâce à elle, les enquêteurs sont formés aux subterfuges employés pour le phishing.
Mais il faut aller plus loin: «Les forces de l'ordre ne peuvent pas, seules, régler le problème. Il est temps qu'elles collaborent aussi avec les fournisseurs d'accès internet, les constructeurs et éditeurs de logiciels», a-t-il recommandé.
Les sites de Microsoft ne sont pas les seuls utilisés pour les arnaques par phishing. Les escrocs imitent à la perfection les sites de banques, notamment, pour soutirer à leurs clients des données sensibles. Sur la seule période de décembre, 7.197 sites web ont été repérés, du jamais vu selon l'Anti-Phishing Working Group qui les recense.
Source : Zdnet.fr
votre commentaire
-
Quinze jours seulement après l'attaque contre le Crédit Lyonnais, c'est autour de la BNP-Parisbas, d'essuyer les ardeurs des forcenés de cette arnaque phare...La clientèle du groupe bancaire BNP-Paribas a en effet été la cible dimanche 19 mars d'une attaque de type "phishing".
Cette technique vise à attirer un client, via l'envoi d'un e-mail, sur un site web factice pour qu'il y saisisse ses codes d'accès et coordonnées bancaires. Prétextant une «mise à jour de logiciel», l'e-mail reçu par les clients de BNP-Paribas leur demandait ainsi de cliquer sur un lien renvoyant vers un site ressemblant à celui de la banque.
La banque a publié dès lundi matin un message d'alerte sur son portail. Elle y explique le problème et livre la marche à suivre: contacter le centre de relations clients (au 0 820 820 001) ou un conseiller en agence pour faire réinitialiser ses codes d'accès.
Le site indépendant Secuser, spécialiste de la sécurité informatique, conseille aux victimes du piège de modifier au plus vite ces codes. Il n'a pas été possible de joindre lundi le responsable sécurité du système d'information de la banque. Laquelle indique cependant avoir «réagi très rapidement, alertée par les clients notamment via son centre de contact». Des clients «de plus en plus informés sur ces questions, et qui n'ont pas répondu à l'e-mail».
La banque, avec d'autres établissements, a déjà subi une attaque de ce type l'été dernier qui n'avait pas fait de victime. BNPP compte près de 6 millions de clients particuliers.
Source : Zdnet.fr
votre commentaire
Suivre le flux RSS des articles Suivre le flux RSS des commentaires
|
 Créer mon blog |
Créer mon compte |