La mise en place de systèmes de détection d'intrusion (IDS) ou de prévention d'intrusion (IPS) est de plus en plus utilisé par les organisations. Pour autant, il semble que tout le monde ne respecte pas systématiquement les obligations CNIL liées à leur mise en œuvre.

Qu'on utilise Snort, Prélude ou autres, il est nécessaire de demander une autorisation à la CNIL, préalablement à leur exploitation, en raison du fait que ces outils traitent des données relatives à des infractions pénales (ex : l'IDS protège contre des accès frauduleux).

On comprend que la vie privée soit un enjeu important, mais est-ce qu'il ne faudrait pas simplifier un minimum les procédures dans un cas pareil ? Si à chaque fois qu'on met en place un IPS il faut attendre l'aval de la CNIL, on n'est pas prêt de mettre en place des protections efficaces. Déjà qu'on a du mal…

Contexte

Pour les élections prud'homales françaises de 2008, il a été décidé de tester le vote électronique par Internet pour Paris. Des cartes électorales permettant le vote par Internet ont été envoyées aux électeurs et comportaient un identifiant et un mot de passe numérique. Comme ces traitements font appel à des données personnelles, la CNIL s'est sentie compétente pour contrôler l'usage de ces données (à la différence des machines de vote) et a procédé à des contrôles pendant le déroulement du scrutin. Elle a relevé plusieurs irrégularités dans un rapport non diffusé au public mais qui a fuité samedi dernier sur le site Ordinateurs-de-vote.

Chefs de projets, passionnés d'informatique, vous montez un projet libre qui collecte des données personnelles et vous souhaitez vous éviter les foudres de la CNIL...

Le site web Données Personnelles met à disposition un schéma visuel (Flash) de l'ensemble des obligations à respecter et des principaux risques juridiques. Jurisprudence à l'appui, cette infographie permet de vérifier et valider pas à pas que toutes les étapes imposées par la loi sont respectées (déclaration CNIL ou demande d’autorisation, respect des obligations de sécurité, respect des principes essentiels, analyse du régime spécifique des données sensibles…). Enfin, il vous permet de réaliser une évaluation de ses principaux risques juridiques.

Trois bonnes raisons de vérifier sa conformité CNIL :

• ne pas avoir déclaré un traitement, même par négligence, est passible de 5 ans d’emprisonnement et 300.000 euros d’amende (article 226-16 du Code pénal) !
• les sanctions financières prononcées par la CNIL vont croissantes (affaire des Google cars – amende de 100.000 €) ;
• à l’heure du Cloud, le transfert de données personnelles en dehors de l’UE, hors cadre légal, est passible de lourdes sanctions pénales (sauf exceptions type « safe harbour »).

Dans deux décisions récentes liées au P2P, la Cour d'Appel de Paris considère que l'adresse IP de l'internaute n'est pas une donnée privée, attendu que l'on ne peut établir la correspondance entre cette adresse et l'identité de la personne que par une demande à son FAI, sous le contrôle du juge.

Nouveau revers pour la CNIL qui considère que l'adresse IP étant une donnée personnelle, il faut passer par elle pour mettre en place un système de traitement automatisé. On se rappellera que des refus d'autorisation par la CNIL de tels systèmes ont été annulés le mois dernier par le Conseil d'État. En principe, une telle annulation ne signifie pas une autorisation automatique, mais la décision pose de telles contraintes à la CNIL qu'on voit mal comment elle pourrait ne pas donner suite à une nouvelle demande d'autorisation.

Si la décision de la Cour d'Appel de Paris devait faire jurisprudence, de telles autorisations ne seraient donc même plus nécessaires. Mais pour cela, il faudrait qu'un pourvoi en cassation (dont je ne sais pas s'il a été formé) la confirme. La Cour de Cassation est cependant réputée plutôt favorable aux industries des médias comme l'illustre, par exemple, sa décision Mulholland Drive. Cependant son président de l'époque, Guy Canivet, dont la doctrine dit qu'il a eu une part prépondérante dans cette orientation, a depuis été nommé au Conseil Constitutionnel.

NdM : pour mémoire, voici un petit historique de l'affaire couramment appelée « Mulholland drive ». Un client, via l'association UFC Que Choisir, mécontent de ne pouvoir copier un DVD, a attaqué les producteurs et distributeurs de ce DVD pour faire interdire ce type de protection. Le Tribunal de Grande Instance de Paris lui a donné tort en avril 2004. La Cour d'appel de Paris infirma ce premier jugement en avril 2005. Et enfin, la première chambre civile de la Cour de cassation cassa l'arrêt de la cour d'appel en février 2006 (http://www.courdecassation.fr/article8777.html).

La Commission Nationale Informatique et Libertés vient de rendre publics les résultats de l'opération « boîte à spams » lancée il y a déjà un certain temps dans le but de quantifier l'ampleur du phénomène en France. Au final, des résultats sans surprise, mais aussi... des procès, signe probable d'une volonté d'action réelle.