L’utilisation de cookies constitue un traitement de données

 

 

 

La Commission nationale de l’informatique et des libertés (CNIL) a diligenté une mission de contrôle auprès de la société Editions Croque Futur, qui édite le site « www.challenges.fr ». Plusieurs manquements aux dispositions de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi CNIL) ayant été constatés à l’occasion de ce contrôle, la présidente de la CNIL a mis en demeure la société de se conformer, sous un délai de trois mois, à ces dispositions.

La société a répondu que le développement du site « www.challenges.fr » dépendait des moyens techniques du journal Nouvel observateur. Elle annonçait cependant qu’un état des mesures prises pour se conformer à la mise en demeure serait adressé avant l’expiration du délai de trois mois.

En l’absence de la réponse annoncée, un courrier de relance a été adressé à la société postérieurement à l’expiration du délai de mise en demeure. Aucune suite n’ayant été donnée à cette relance, la présidente de la CNIL a engagé une procédure de sanction et a infligé une sanction de 25.000 € à l’encontre de la société.

C’est l’occasion pour le Conseil d’Etat de revenir sur la procédure de sanction dont dispose la CNIL.

Cette sanction reposait sur la procédure prévue aux articles 45 et 59 de la loi CNIL qui impose l’envoi d’une mise en demeure avant le prononcé d’une sanction. Cette mise en demeure a pour objet de permettre à la personne mise en demeure de porter à la connaissance de la CNIL tous les éléments qui lui permettent si et dans quelle mesure il a été donné suite à ses injonctions dans le délai prévu. En effet, la CNIL restant libre de procéder à un nouveau contrôle ou non, il est impératif que la personne mise en demeure puisse justifier avoir fait le nécessaire pour remédier aux points litigieux.

Le Conseil d’Etat rappelle donc « qu’une procédure disciplinaire peut être légalement engagée au seul motif qu’à cette date, la personne mise en cause n’a transmis aucun élément suffisant permettant d’apprécier si et dans quelle mesure il a été remédié aux manquements constatés ».

En d’autres termes, en cas de procédure de sanction, la personne mise en cause doit expressément adresser à la CNIL les mesures correctrices apportées sans attendre que la CNIL n’engage une nouvelle instruction.

Le Conseil d’Etat rappelle ensuite les obligations reposant sur le responsable en matière d’utilisation de cookies.

L’article 32 de la loi CNIL institue une obligation d’information claire et complète des utilisateurs d’internet sur les témoins de connexion (« cookies ») qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs terminaux lorsqu’ils visitent un site, ces témoins de connexion et les informations qu’ils contiennent étant par la suite accessibles lors de connexions ultérieures à internet à l’aide du même terminal. Elles imposent :

  • une information des utilisateurs de services de communications électroniques, en particulier des utilisateurs d’internet, sur la finalité de ces « cookies » et les moyens dont ils disposent pour s’y opposer;

  • le recueil de leur consentement avant tout dépôt de « cookies » sur le terminal grâce auquel ils accèdent à ces services.

Mais, précise le Conseil d’Etat, « ne sont pas concernés par ces obligations les « cookies » qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. En revanche, le fait que certains « cookies » ayant une finalité publicitaire soient nécessaires à la viabilité économique d’un site ne saurait conduire à les regarder comme « strictement nécessaires à la fourniture » du service de communication en ligne ».

Surtout, le Conseil d’Etat considère que l‘éditeur du site est responsable des cookies :

« L’utilisation de « cookies » répondant aux caractéristiques définies au II de l’article 32 de la loi du 6 janvier 1978 constitue un traitement de données qui doit respecter les prescriptions de l’article 6 précité. Lorsque des « cookies » sont déposés par l’éditeur du site, il doit être considéré comme responsable de traitement au sens de la loi. Il en va de même lorsque l’éditeur sous-traite à des tiers la gestion de « cookies » mis en place pour son compte. Les autres tiers qui déposent des « cookies » à l’occasion de la visite du site d’un éditeur doivent être considérés comme responsables de traitement ».

Toutefois ajoute le Conseil d’Etat, « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels « cookies » par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement, alors même qu’ils ne sont pas soumis à l’ensemble des obligations qui s’imposent au tiers qui a émis le « cookie », notamment lorsque ce dernier conserve seul la maitrise du respect de sa finalité ou de sa durée de conservation ».

Il appartient donc à l’éditeur de site dans une telle hypothèse, de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des « cookies » qui ne respectent pas la règlementation applicable en France et celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.

Source : CE, 6 juin 2018, n° 412589

La sombre histoire du médecin pirate…

 

Le milieu médical ne fait pas exception. Comme ailleurs, le droit au secret des correspondances et à la protection des données est une donnée fondamentale de la relation médicale sur laquelle le juge pénal se montre intransigeant. C’est ce qu’a rappelé la chambre criminelle de la Cour de cassation, dans un arrêt publié au Bulletin.

 

LES FAITS : Le service informatique d’un centre hospitalier a découvert qu’un keylogger – dispositif permettant d’espionner la frappe du clavier et de récupérer tous les caractères tapés – avait été installé sur les ordinateurs de deux praticiens hospitaliers titulaires de l’établissement. Dans le cadre de l’enquête policière qui fut diligentée, une perquisition au domicile du docteur Y., praticien hospitalier contractuel de l’hôpital, a été diligenté. Il a été découvert un keylogger, une clef USB et un ordinateur portable dans lesquels figuraient des captures d’écran réalisées sur les ordinateurs professionnels des deux médecins titulaires. Le docteur Y. reconnaissait avoir acheté sur internet pour un prix modique un keylogger et l’avoir ensuite installé sur les ordinateurs de deux de ses confrères dans le but de récupérer des courriels susceptibles de lui être utiles dans le cadre du litige devant l’ordre des médecins, l’opposant à un professeur de médecine.

 

LA PROCEDURE : Le Docteur Y. est alors poursuivis des chefs d’accès frauduleux à tout ou partie d’un système de traitement automatisé de données, d’atteinte au secret des correspondances émises par voie électronique et de détention sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé. Les juges du fond le condamnent, et la Cour de cassation, saisie d’un pourvoi confirme pleinement les condamnations.

 

1er délit : Violation du secret des correspondances

On aurait pu s’attendre, s’agissant du milieu médical, que le fondement retenu soit, non pas le secret des correspondances, mais le secret médical ? Cependant, la qualification des poursuites est pertinente puisque, grâce au keylogger, le docteur Y. a eu connaissance des codes d’accès des praticiens à leurs messageries. Il a pu, ainsi, accéder à leur insu aux courriels qu’elles contenaient (qui ne sont pas nécessairement couverts par le secret médical). 

L’article 226-15 alinéa 2du Code pénal sanctionne le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions.

En l’espèce, l’élément matériel de l’infraction ne faisait pas de doute :

  • Le Docteur Y. avait installé un keylogger lui permettant d’espionner la frappe du clavier et de capter des données sur le matériel informatique de ses confrères ; Ce dispositif a pour principale finalité d’espionner électroniquement l’utilisateur d’un ordinateur.
  • Le Docteur Y. avait reconnu que ce keylogger lui avait permis de prendre connaissance des codes d’accès à la messagerie des deux médecins piégés ;
  • Le Docteur Y. a pu accéder aux courriels échangés entre les deux praticiens concernés, et les utiliser.

Concernant l’élément moral, le Docteur Y. entendait fermement le contester en soutenant avoir intercepté de bonne foi et pour un motif légitime les courriels à caractère professionnel échangés entre les deux médecins visés, seul moyen selon lui pour se défendre contre les manœuvres du professeur M. destinées à l’évincer de son poste. Mais la Cour de cassation ne se laisse pas séduire par l’argument du Docteur Y. Selon elle, « l’installation d’un dispositif destiné à espionner la frappe du clavier afin d’obtenir les codes d’accès aux messageries de deux confrères puis l’interception à leur insu de certains de leurs courriels caractérisent suffisamment la mauvaise foi de M. Y. ».

 

2ème délit : Accès frauduleux à un système de traitement automatique de données

La piraterie informatique est incriminée à l’article 323-1 du code pénal qui sanctionne le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données.

Pour le Docteur Y. la matérialité du délit n’était pas constituée dès lors que la seule installation d’un keylogger-matériel sur un clavier d’ordinateur, qui ne nécessite pas l’installation d’un logiciel, et ne permet que la récupération des différentes frappes réalisées sur les touches de ce clavier sans nullement permettre d’accéder aux données du terminal informatique lui-même, ne saurait consister en un accès au sens visé par le législateur.

Mais la Cour de cassation retient une définition très large de la notion d’accès. Elle conçoit l’accès comme le fait de pénétrer, de s’introduire dans un système sans y être autorisé. Une nouvelle fois, le fait que, selon le Docteur Y., les ordinateurs des médecins étaient accessibles à tous, ne séduit pas la Cour de cassation puisqu’elle relève que l’installation du keylogger permet d’accéder à des messageries privées.  En aucun cas en conséquence l’accès était ouvert pleinement au public. Elle pose alors un attendu de principe : « se rend coupable de l’infraction prévue à l’article 323-1 du code pénal la personne qui, sachant qu’elle n’y est pas autorisée, accède à l’insu des victimes, à un système de traitement automatisé de données ».

 

3ème délit : Détention sans motif légitime d’équipement, d’instrument de programme ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé

En complément de la 2ème  infraction, a été ajouté le délit de l’article 323-3-1 qui sanctionne une forme de complicité par fourniture de moyens permettant de réaliser les actes constitutifs du précédent délit. Il s’agit de sanctionner ceux qui recourent à des appareils conçus pour commettre les infractions portant atteinte aux systèmes de traitement automatisé de données.

Pour se défendre, le Docteur Y. invoquait la défense de sa situation professionnelle et sa réputation. La Cour de cassation balaye le moyen du revers de la main : puisque l’autorisation de détention prévue par l’article 323-3-1 du code pénal autorisant un tel équipement, se limite aux seules personnes habilitées à assurer la maintenance et la sécurité d’un parc informatique…

 

Le débat aurait peut-être été plus délicat, mais intéressant, si le Docteur Y. s’était fondé sur les droits de la défense pour justifier son acte, puisqu’il s’agissait manifestement de la finalité poursuivie lors de l’installation du keylogger. Or, la Cour de cassation ayant déjà rejeté des poursuites pour vols, lorsque les éléments volés permettaient d’assurer la défense, aurait-elle été aussi strict si ce fondement avait été invoqué ? La fin justifie-t-elle les moyens ??? La question reste ouverte…

 

 

Source : Crim. 16 janv. 2018, n° 16-87.168

Signalement des incidents graves de sécurité des systèmes d’information 

Aux termes de l’article L.1111-8-2 du code de santé publique, les établissements de santé et les organismes et services exerçant des activités de prévention, de diagnostic ou de soins sont tenus de signaler à l’agence régionale de santé les incidents graves de sécurité des systèmes d’information. Cette déclaration doit intervenir sur le portail de signalement des évènements sanitaires indésirables, au moyen d’un formulaire de déclaration. Un arrêté du 30 octobre 2017 fixe les modalités de transmission de cette déclaration et ses incidences.

En premier lieu, l’arrêté fixe le modèle de formulaire, qui contient les informations suivantes :

– les informations permettant d’identifier la structure concernée par l’incident ainsi que le déclarant ;

– la description de l’incident, notamment la date du constat, le périmètre de l’incident, les systèmes d’information et données concernées et l’état de la prise en charge ;

– la description de l’impact de l’incident sur les données, sur les personnes, sur les systèmes d’information et sur la structure ;

– les causes de l’incident, si celles-ci sont identifiées.

En second lieu, il souligne que l’ARS et l’ASIP analysent les informations transmises et les qualifient. Si la structure ayant réalisé les signalements en fait la demande, l’ASIP et l’ARS peuvent formuler des recommandations et notamment des mesures d’urgence pour limiter l’impact de celui-ci, des mesures de remédiation ainsi que des mesures destinées à améliorer la sécurité du ou des systèmes d’information concernés.

En troisième lieu, l’arrêté rappelle que l’ASIP est responsable du traitement de données à caractère personnel et que l’ARS prend les mesures nécessaires pour faire face aux conséquences éventuelles d’un incident grave de sécurité des systèmes d’information sur l’offre de soins de son territoire. Elle met en œuvre les mesures de sécurité destinées à garantir la confidentialité et l’intégrité de la conservation, de la sauvegarde et des transmissions de données à caractère personnel.

Source : Arrêté du 30 octobre 2017 relatif aux modalités de signalement et de traitement des incidents graves de sécurité des systèmes d’information, JO 8/11/2017