Décret LPM : La Quadrature du Net dépose un recours devant le Conseil d'État

Décret LPM : La Quadrature du Net dépose un recours devant le Conseil d'État

 

 

(Communiqué de presse :La Quadrature du Net Paris, 18 février 2015

 

Aux côtés des fournisseurs d'accès associatifs de la fédération FFDN [1], La Quadrature du Net vient de déposer devant le Conseil d'État un recours contre le décret d'application de la Loi de programmation militaire (LPM) sur l'accès administratif aux données de connexion. À travers cette action contentieuse qui s'appuie sur une récente décision de la Cour de justice de l'Union européenne, c'est toute une partie de l'édifice juridique de la surveillance d'Internet qui est attaquée. Ce recours intervient alors que le gouvernement instrumentalise les événements sanglants du mois dernier pour aggraver les dérives actuelles, avec la présentation prochaine du projet de loi sur le renseignement. ***

 

En décembre 2013, le Parlement français adoptait la Loi de programmation militaire (LPM) [2], et avec elle plusieurs dispositions visant à parachever l'édifice juridique en matière de surveillance extra-judiciaire d'Internet : non seulement le nombre de services de police et de renseignement ayant accès aux données de connexion a été élargi, mais le champs des données concernées a lui aussi été étendu (la loi renvoie à l'ensemble des « informations et documents », « y compris » les métadonnées détenues à la fois par les fournisseurs d'accès et par les hébergeurs). Qui plus est, le dispositif ne s'accompagne d'aucun contrôle préalable de la CNCIS [3], l'autorité administrative indépendante dédiée au contrôle des interceptions administratives des communications, par ailleurs largement sous-dotée pour conduire à bien ses missions.

 

Enfin, la LPM prévoit qu'une telle surveillance des communications puisse être conduite en temps réel, « sur sollicitation du réseau » des opérateurs, cette fois avec un contrôle préalable de la CNCIS, laissant toutefois craindre une aspiration massive et directe des données.

 

À l'époque, en plein débat sur les révélations d'Edward Snowden et alors que le gouvernement a toujours refusé de faire la transparence sur les pratiques des services français en la matière, ces dispositions visant selon les dires de ses promoteurs à avaliser dans la loi des pratiques « alégales » (et donc illégales) avaient suscité une vive opposition de la société civile. En dépit des appels en ce sens, les parlementaires avaient cependant refusé [4] de saisir le Conseil constitutionnel pour évaluer la conformité de ces dispositions à la Constitution.

 

Le 24 décembre dernier, le gouvernement adoptait [5] en catimini le décret [6] d'application permettant la mise en œuvre de ces dispositions. La publication de ce décret est l'occasion pour La Quadrature du Net et les fournisseurs d'accès associatifs de la fédération FFDN d'attaquer l'ensemble de l'édifice juridique de la surveillance d'Internet qui s'est développé depuis les attentats du 11 septembre 2001.

 

Au travers de ce recours, c'est en effet le principe même d'une surveillance généralisée de la population qui est mis en cause. Le régime applicable s'appuie sur l'ensemble des acteurs de l'Internet — fournisseurs d'accès et hébergeurs situés sur le territoire français —, en les obligeant à conserver pendant une durée d'un an l'ensemble des données de connexion des utilisateurs d'Internet.

 

Ce régime avait été étendu à l'ensemble de l'Union européenne par une directive de 2006 [7] adoptée sous le coup de l'émotion suscitée par les attentats de Madrid et de Londres. Certaines lois nationales de transposition avaient été déclarées anti-constitutionnelles dans plusieurs États membres, dont l'Allemagne où un tel régime est demeuré inappliqué. Et le 8 avril 2014, la Cour de justice de l'Union européenne (CJUE) rendait une décision historique invalidant l'ensemble de la directive de 2006. Dans son arrêt Digital Rights c/ Irlande [8], la Cour indique clairement qu'un tel mécanisme de conservation des données est contraire aux droits fondamentaux. Selon la Cour :

 

« La directive 2006/24 concerne de manière globale l’ensemble des personnes faisant usage de services de communications électroniques, sans toutefois que les personnes dont les données sont conservées se trouvent, même indirectement, dans une situation susceptible de donner lieu à des poursuites pénales. Elle s’applique donc même à des personnes pour lesquelles il n’existe aucun indice de nature à laisser croire que leur comportement puisse avoir un lien, même indirect ou lointain, avec des infractions graves. En outre, elle ne prévoit aucune exception, de sorte qu’elle s’applique même à des personnes dont les communications sont soumises, selon les règles du droit national, au secret professionnel. » (§ 58)

 

Dans cet arrêt, c'est donc le principe d'une surveillance générale de la population qui est mis en cause, au profit d'une surveillance ciblée des personnes pour lesquelles il existe un intérêt légitime à attenter au droit à la vie privée.

 

Partout en Europe, dans le contexte du débat public suscité par les révélations d'Edward Snowden sur les dérives sécuritaires de l'après 11 septembre 2001, l'arrêt de la CJUE a déjà conduit à remettre en cause le droit et les pratiques actuelles en matière de surveillance d'Internet. En Autriche [9], en Roumanie [10], en Slovaquie [11] et en Slovénie [12], les cours constitutionnelles ont depuis lors suspendu ou annulé les lois nationales sur conservation des données. En Suède [13], aux Pays-Bas [14], au Royaume-Uni [15], d'importantes controverses sont en cours.

 

Dans le cadre de procédures détachées de l'arrêt de la CJUE, le GCHQ britannique vient également d'être condamné [16] pour ne pas avoir fait la transparence sur les échanges de données avec la NSA. Enfin, un recours dans lequel La Quadrature du Net intervient [17] au côté d'une coalition d'ONG est également porté contre les programmes du GCHQ devant la Cour européenne des droits de l'Homme (CEDH).

 

En France, le gouvernement a toujours refusé de tirer les leçons des révélations Snowden ou de l'arrêt de la CJUE. Au contraire, ces derniers mois ont vu l'adoption des nouvelles législations d'exception, avec non seulement la LPM mais aussi la loi de novembre 2014 de lutte contre le terrorisme. Alors que les crimes odieux au Moyen-Orient et en Afrique ou les attentats meurtriers des 7 et 9 janvier dernier sont actuellement l'objet d'une honteuse instrumentalisation sécuritaire [18], avec des appels à l'élargissement de la surveillance et à la criminalisation du chiffrement des communications, il est grand temps qu'en France aussi ce débat puisse avoir lieu, à la fois dans l'espace public et devant les juridictions.

 

La police et la justice doivent évidemment faire leur travail, mais de manière proportionnée et dans le respect de l'État de droit. C'est le sens de ce recours conjoint déposé aujourd'hui devant le Conseil d'État — le premier porté directement par La Quadrature du Net, dont les statuts [19] prévoient depuis 2013 qu'elle peut agir en justice pour défendre les droits fondamentaux des citoyens dans l'espace numérique. À terme, ce recours permettra non seulement de saisir le Conseil constitutionnel, puisque la LPM n'a fait l'objet d'aucun contrôle de constitutionnalité, mais également de confronter le droit français existant à la jurisprudence européenne du 8 avril 2014, ainsi qu'à celle de la CEDH.

 

 

* Références *

 

1. http://www.ffdn.org/

2. https://www.laquadrature.net/fr/lpm-promulguee-la-derive-du-politique-vers-la-surveillance-generalisee

3. https://fr.wikipedia.org/wiki/Commission_nationale_de_contr%C3%B4le_des_interceptions_de_s%C3%A9curit%C3%A9

4. https://www.laquadrature.net/fr/lpm-la-derive-du-politique-vers-la-surveillance-generalisee

5. http://www.nextinpact.com/news/91534-le-decret-l-article-20-lpm-publie-on-fait-point.htm

6. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029958091&dateTexte=&categorieLien=id

7. https://fr.wikipedia.org/wiki/Directive_2006/24/CE_sur_la_conservation_des_donn%C3%A9es

8. https://wiki.laquadrature.net/Jurisprudence_sur_la_communication_en_ligne#.2B.2BCJUE.2C_8_avril_2014.2C_Digital_Rights_Ireland_Ltd_c.2F_Minister_for_Communications.2C_Ireland

9. http://www.pcworld.com/article/2401520/austrian-court-axes-data-retention-law-following-eu-high-court-ruling.html

10. https://www.digitalrights.ie/romanian-constitutional-court-holds-data-retention-unconstitutional/

11. https://edri.org/slovak-constitutional-court-suspends-data-retention-legislation/

12. https://www.ip-rs.si/index.php?id=272&tx_ttnews%5Btt_news%5D=1256&cHash=2885f4a56e6ff9d8abc6f94da098f461

13. http://www.pcworld.com/article/2682732/swedish-isp-urges-european-commission-to-end-illegal-data-retention.html

14. https://blog.cyberwar.nl/2015/02/dutch-dpa-issues-advice-on-revision-of-telecommunications-data-retention-law/

15. https://www.dontspyonus.org.uk/problem

16. http://www.theguardian.com/uk-news/2015/feb/06/gchq-mass-internet-surveillance-unlawful-court-nsa

17. https://www.laquadrature.net/fr/la-quadrature-sengage-dans-la-lutte-juridictionnelle-contre-la-surveillance-de-masse

18. http://www.laquadrature.net/fr/instrumentaliser-la-terreur-pour-controler-les-communications-chiffrees-une-derive-dangereuse-et-ant

19. https://www.laquadrature.net/files/Statuts%20LQDN.pdf

 

 

** À propos de La Quadrature du Net **

 

La Quadrature du Net est une organisation de défense des droits et libertés des citoyens sur Internet. Elle promeut une adaptation de la législation française et européenne qui soit fidèle aux valeurs qui ont présidé au développement d'Internet, notamment la libre circulation de la connaissance. À ce titre, La Quadrature du Net intervient notamment dans les débats concernant la liberté d'expression, le droit d'auteur, la régulation du secteur des télécommunications ou encore le respect de la vie privée.*

 

Les entreprises françaises trop optimistes sur leur niveau de sécurité ?

Les entreprises françaises surestiment-elles leur maturité en cybersécurité ?


72 % sont persuadées d’être dotées d’un Next Generation Firewall alors qu’en réalité, elles seraient plutôt 30 % selon la dernière étude réalisée à la demande de Mc Afee (Intel Security)


(Source Corporate Communication) 16 octobre 2014 – McAfee, filiale d’Intel Security, annonce les résultats d’une étude réalisée
par Vanson Bourne. Cette dernière révèle que 48 % des entreprises françaises consacrent trop de temps à la gestion de leur sécurité réseau, plutôt que de s'occuper des menaces elles-mêmes.
De plus, près d'un tiers des décideurs informatiques (31 %) pensent que leur entreprise utilise trop de solutions de sécurité pour gérer les menaces, en constante évolution. Plus de la moitié (54 %) avouent même utiliser au moins cinq solutions de sécurité différentes au sein de leur réseau. Les entreprises ayant des solutions de sécurité multiples et par silo sont des cibles plus exposées en termes de vols de données. Selon l'étude, 41 % des décideurs informatiques français estiment que les solutions de sécurité ponctuelles, qui ne partagent pas l'information entre elles, peuvent laisser passer certaines menaces. 31 % d’entre eux ont également déclaré...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

BONUS: 

http://www.cyberisques.com/mots-cles-34-buisness-risk/360-les-couts-du-cybercrime-analyses-et-commentaires-apercu-version-complete-pour-les-abonnes

 Abonnement cyberisques.com: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

  

SI:Cadre juridique et institutionnel

Le cadre juridique et institutionnel


La place de la confiance est conditionnée par le cadre institutionnel[23], qui fixe en partie les règles du jeu[24].
Si on se limite à la thématique de la confiance numérique, quelques textes assez récents démontrent une réelle volonté gouvernementale de renforcer la confiance numérique.

Lire la suite...

23% des entreprises ont récemment échoué à un audit de sécurité selon une étude demandée à Ovum par Axway

Une étude révèle que de nombreuses entreprises se heurtent aux exigences de gouvernance et de sécurité des données ainsi qu'à des difficultés d'intégration
 

23% des entreprises ont récemment échoué à un audit de sécurité et 17% doutent de leur capacité à réussir un audit de conformité de sécurité
 

(Source Corporate Communication)  Axway et Ovum ont publié aujourd'hui les résultats d'une étude internationale portant sur les défis des entreprisesliés à la sécurité des données, 
lagouvernance et l'intégrationinformatique.

Menée par Ovum, cette enquête a mis en lumière deux problématiquesprincipales. La première illustre l'impact croissant desexigences en matière de gouvernance et de conformitésur les projetsd'intégration. La deuxièmeportesur les conséquences, sur le plan économique et sur l'image de l'entreprise, de la gestion séparée de l'intégration informatique et de la gouvernance d'entreprise. Sur 450personnes interrogées en Amérique du Nord, en Asie-Pacifique et dans la zoneEMEA, 23%déclarentque leur entreprise a échouéà un audit de sécurité au cours des trois dernières années, tandis que 17%doutentde leur capacité à réussir aujourd'hui un audit de conformitédes données.

L'étude a également révélé que le coût total moyen d'une atteinte à l'intégrité des données s'élevait à 3millions de dollars, soit près de 2,4 millions d'euros.
 

« Alors que le volume et le rythme des activités continuent de croître au sein des entreprises, celles-ci sont confrontées au risque de plus en plus élevé d'exposer leurs données sensibles...

...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS & CYBER RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.

 


Pour s'abonner: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolutions Business impact:

 

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

 

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

 

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

 

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

 

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolution Cadre réglementaire:

 

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolution Données et Cyberassurance :

 

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

 

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

 

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Evolutions de la perception des cyber-risques, le facteur humain:

 

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

 

Pour s'abonner: http://www.cyberisques.com/images/Bulletin-abonnement.png

 

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

 

 

Axway Ovum Gouvernance, Risques et Conformité Infographie par Axway.


 
 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires