200 likes | 309 Views
CISSP- Paris, le 24 avril 2007. Par M e André Meillassoux, BMH Avocats, 29, rue du Faubourg Saint Honoré 75008 Paris ameillassoux@bmhavocats.com http://www.bmhavocats.com. Sommaire. I – La conservation des fichiers de connexion : Une obligation nouvelle générale ou spécifique?
E N D
CISSP- Paris, le 24 avril 2007 Par Me André Meillassoux, BMH Avocats, 29, rue du Faubourg Saint Honoré 75008 Paris ameillassoux@bmhavocats.com http://www.bmhavocats.com
Sommaire I – La conservation des fichiers de connexion : Une obligation nouvelle générale ou spécifique? II –L’application aux documents électroniques des obligations préexistantes de conservation des documents officiels III – Les modalités de conservation des documents électroniques
I – La conservation des fichiers de connexion (logs): une obligation nouvelle générale ou spécifique? 1.1 L’origine de la conservation des logs 1.2 D’une mesure provisoire à une mesure définitive 1.3 Données et durée de conservation: le décret du 24 mars 2006 1.4 Les incertitudes quant au champ d’application de l’obligation légale de conservation 1.5 Une Directive sur la conservation des logs 1.6 La conservation des logs: une question en suspens
1.1 L’origine de la conservation des logs • Attentats du 11 septembre 2001 • Objectif: renforcer la lutte contre le terrorisme • Loi sur la sécurité quotidienne du 15 novembre 2001(LSQ): Art.29 Principe:“Les opérateurs de télécommunications […] sont tenus d’effacer ou de rendre anonyme toute donnée relative à une communication dès que celle-ci est achevée”. Exception: “Pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales, et dans le seul but de permettre en tant que de besoin, la mise à disposition de l’autorité judiciaire d’informations, il peut être différé pour une durée maximale d’un an aux opérations tendant à effacer ou à rendre anonymes certaines catégories de données techniques”.
1.2 D’une mesure provisoire à une mesure définitive • Le caractère provisoire des dispositions de l’article 29 de la LSQ: “Afin de disposer des moyens impérieusement nécessaires à la lutte contre le terrorisme […] les dispositions du présent chapitre sont adoptées pour une durée allant jusqu’au 31 décembre 2003” (Art.22) • Une mesure définitive depuis la loi pour la sécurité intérieure du 18 mars 2003
1.3 Le décret du 24 mars 2006 1.3.1 Données et durée de conservation • Catégories de données à conserver: - Informations permettant d’identifier l’utilisateur - Données relatives aux équipements terminaux de communication utilisés - Caractéristiques techniques, date, horaire et durée de chaque communication - Données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs - Données permettant d’identifier le ou les destinataires de la communication • Durée de conservation:1 an à compter de l’enregistrement
1.3.2 Un décret vivement critiqué • Un décret adopté 5 ans après la LSQ • Recours de l’AFA devant le CE • Contrairement à la loi (« certaines catégories de données techniques »), le décret prévoit une obligation de conservation de toutes les données qu’il vise • Alors que la loi prévoit une durée de conservation maximale d’1 an selon l’activité des opérateurs et la nature des communications, le décret fixe la durée de conservation à 1 an sans distinction
1.4 Incertitudes quant au champ d’application de l’obligation légale de conservation • Le cercle restreint des personnes soumises à l’obligation légale de conservation des logs • 2001: FAI uniquement • Depuis la loi relative à la lutte contre le terrorisme du 23 janvier 2006 (Art. 5): « Les personnes qui, au titre d’une activité professionnelle ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit » • L’arrêt de la Cour d’appel de Paris du 4 février 2005: les entreprises? - Affaire World Press Online c/ société BNP Paribas • La CA de Paris assimile BNP Paribas à un FAI
1.5 La Directive communautaire du 15 mars 2006 • Fin du délai de transposition: 15 septembre 2007 • Vise: « les fournisseurs de services de communications électroniques accessibles au public ou de réseaux publics de communications » • Durée de conservation: de 6 mois à 2 ans • Données à conserver, données permettant de: • Retrouver et identifier la source d’une communication • Identifier la destination d’une communication • Déterminer la date, l’heure et la durée de la communication • Déterminer le type de communication • Identifier le matériel de communication des utilisateurs • Localiser le matériel de communication mobile • Mesures de protection à prendre
1.6 La conservation des logs: une question en suspens • Saisine du Conseil d’Etat en cours • Suites de l’ arrêt de la Cour d’appel de Paris ? • Transposition à venir de la Directive communautaire 2006/24/CE du 15 mars 2006 (au plus tard le 15 sept. 2007)
II - L’application aux documents électroniques des obligations préexistantes de conservation des documents officiels 2.1 Documents concernés: • Civils et commerciaux • Comptables • Sociaux • Documents relatifs au personnel 2.2 Obligation légale ou simple recommandation • Conservation prévue par la loi • Conservation par précaution (contrôles, contentieux) 2.3 Durée de conservation variable: fixée par la loi ou selon délais de prescription ou contrôle
III – Les modalités de conservation des documents électroniques 3.1 Obligations légales à respecter en matière de preuve 3.2 Les apports des normes techniques: la création d’une référence 3.3 Nécessité d’un traitement particulier pour deux types de données
3.1 Obligations légales à respecter en matière de preuve • Article 1316-1 du Code civil: “L’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur le support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité”. • Garantir l’« identification » • Lors de la création et tout au long de la conservation et des échanges éventuels • Signature électronique • Garantir l’ « intégrité » • Ni destruction, ni altération, ni modification • Les normes techniques: une solution
3.2 Les apports des normes techniques: la création d’une référence • Les normes ISO et AFNOR • En France: la norme NF Z 42-013 • A l’international: projet de norme ISO • Les garanties • Traçabilité: nécessité pour répondre aux conditions d’identification et d’intégrité, enregistrement des données de tous traitements et événements survenus sur les documents (historique) • Durabilité et pérennité: caractère irréversible de la création du document, évolution technologique et obsolescence • Fidélité/Intégrité • Lisibilité
3.3 Nécessité d’un traitement particulier pour deux types de données 3.3.1 Données personnelles: obligation légale renforcée • Loi Informatique et Liberté 1978 modifiée en 2004 • « Traitement » de données personnelles: la conservation • « Donnée personnelle »: toute information relative à une personne physique identifiée ou qui peut l’être, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres (ex: adresse IP) • Principes à respecter: loyauté; légalité, proportionnalité • Régime de déclaration et d’autorisation auprès de la CNIL
3.3.2 Les documents “sensibles” et/ou “confidentiels” • Traitement obligatoire pour certaines professions:domaine de la justice, domaine médical • Traitement recommandé pour toutes les entreprises: opérations délicates, négociations, etc. • Précautions à prendre: accès restreint, cryptage, anonymisation et autres techniques (vieillissement, traduction, appauvrissement)