">

A l’occasion de la 10ème édition des Assises de la Sécurité, une trentaine de CIL Membres de l’AFCDP ont été invités à bénéficier des ateliers et séances plénières qui se sont déroulés dans le cadre prestigieux du Grimaldi Center, à Monaco.

En voici quelques moments choisis.

Entendu durant l’allocution de Président Alex Türk (plénière « Dix ans de risque informatique... un regard vers le futur immédiat ? »)

« Je suis plus pessimiste que l’an dernier…Je considère désormais que le plus grand danger potentiel vient de la géolocalisation… je la considère au sens large, par exemple en y incluant la vidéosurveillance… tout ce qui permet de savoir où vous êtes… Je vais essayer de convaincre Bruxelles que les traitements de géolocalisation devraient faire l’objet de demande d’autorisation préalable  ».

« Nos problématiques les plus importantes ? Par ordre décroissant, sont : la géolocalisation, la biométrie, la vidéosurveillance, les réseaux sociaux  »

« Le Cloud Computing m’inquiète… ça risque d’être une catastrophe en termes de durée de conservation… je crains la duplication et la dissémination des données… peut-on être vraiment sûrs qu’elles ont été purgées ?... ne risque-t-on pas, un jour où l’autre de les voir réapparaitre ? C’est ce que j’appelle les déchets info-actifs »

« L’une des solutions pour accompagner les entreprises est d’avancer sur la labellisation, j’ai demandé à mes services d’y aller pas à pas… nous commençons par le plus « facile », la formation et les audits… mais à pas comptés. »

« Nous sommes passés de 50 dossiers de demandes d’autorisations biométrie en 2005 à 4.000 dossiers cette année ! Le travail juridique sur les traitements biométrique, c’est de la dentelle ! Je me souviens d’un professeur hospitalier qui est venu nous expliquer pourquoi il avait absolument besoin d’une prise de l’empreinte des doigts, alors que nous souhaitions l’inciter à n’utiliser qu’une reconnaissance du réseau veineux. Il nous a convaincu que cette dernière approche n’était pas pertinente dans le cadre très spécifique de la pathologie sur laquelle son service était spécialisé »

« Nous avons fait un grand progrès en 2009 à Madrid. La difficulté maintenant, c’est d’arriver à convaincre les pouvoirs publics d’aller plus loin, d’élaborer une politique commune, d’aller vers une convention internationale. Ce ne sera pas facile. Je note par exemple que Google et Facebook ne bougent toujours pas d’un iota concernant l’applicabilité de la loi Informatique et Libertés. Nous allons déplacer le débat dans le champ du droit à la consommation…  »

« Le Juridique, c’est un train à vapeur, la Technique un TGV  »

Entendu lors de l’Atelier « Risques et menaces : de Darwin à la pratique de l’Evolution » (secteur Santé)

Lors de l’atelier a été décrite la démarche couronnée de succès de la CNAM, avec la mise en place d’un mini-questionnaire d’analyse de risques, permettant un début d’interaction entre les directions métiers, la MOA, la MOE et la DSI. La CNAM s’est inspirée d’EBIOS et a créé un rôle de « Manager de la sécurité du SI » au sein de chaque direction métier. Le mini questionnaire engage la responsabilité de la direction métier et est suivi d’un avis du RSSI.

Eric Grospeiller, qui a précisé que « Toute mesure de sécurité doit faire suite à une analyse des risques », a annoncé qu’un groupe de réflexion, piloté par la Direction de la Sécurité Sociale (en partenariat avec l’ASIP Santé et les organismes sous tutelle de cette direction), vise à s’inspirer de cette méthode et promeut la démarche par l’analyse des risques.

Pour Eric Grospeiller, fonctionnaire de sécurité des systèmes d’informations (FSSI) du Ministère de la Santé et des Sports, le CIL est un acteur idéal pour créer une interaction entre les directions métiers et la DSI et mettre en avant une démarche basée sur l’analyse des risques.

Il a appelé de ses vœux la désignation de Correspondants Informatique et Libertés, non seulement au sein des établissements de santé, mais également chez tous les acteurs de la chaîne de Santé. Comme le Ministère va continuer son « Tour de France » des ARS, il aura l’occasion de renforcer le message.

Signalons des désignations de CIL qui sont aussi RSSI, au CHU de Lille, au Mipih (Toulouse), au SIB (Rennes).

Lors du même Atelier, le Directeur général Adjoint de l’ANSI a indiqué que l’Agence allait soutenir le Ministère de la Santé dans la formalisation d’un RGS adapté au secteur santé. Pour Eric Grospeiller, il semble naturel de proposer que les données à caractère personnel soient positionnées au niveau le plus élevé d’exigence.

Concernant le même secteur Santé, une table ronde a réunit Michel Gagneux, Président de l’ASIP Santé, Jacques Lucas, Vice-président du CNOM et Yannick Motel, Délégué général du LESSIS.

« Certains textes, comme le décret confidentialité, sont difficilement applicables. Nous en avons pris acte…/… parmi les chantiers que nous avons lancé en partenariat avec le Ministère, celui de la mise à disposition des personnels d’une messagerie sécurisée » - Michel Gagneux.

« La sécurité informatique est une exigence déontologique » - Jacques Lucas

« Le décret confidentialité n’est pas réaliste. Heureusement la situation a évoluée dans le bon sens ces derniers temps, notamment sous l’impulsion de l’ASIP. Nous sommes plus inquiets sur les moyens, la France étant à la traine au niveau européen en termes d’investissement sur les systèmes d’information hospitaliers » - Yannick Motel

Signalons enfin la superbe intervention du Directeur des Systèmes d’Information du CHU d’Amiens, La Politique de Sécurité des Systèmes d’Information hospitaliers – La quadrature du cercle ? « Nous devons viser une sécurité informatique sans concession et compatible avec le quotidien des soignants. A nous d’inventer un juste compromis entre sécurité et utilisation. Ceci requiert des mots…mais surtout des actions » indique Monsieur Bruno Guizard. Pour illustrer l’un de ses propos, «  La sécurité se cache aussi dans les détails », il a fait développer pour son établissement une fonctionnalité d’effacement du dossier mobile sur iPAD, pour son SAMU/SMUR : si la tablette est perdue ou volée, elle ne contient aucun dossier médical.

Ses propos concernant l’implication de tous concernant la sensibilisation à la sécurité ont été également fort appréciés : « Comme pour l’hygiène, tout le monde est concerné, chacun doit être vigilant. De même qu’un hygiéniste doit sermonner un chirurgien qui ne se lave pas les mains, un agent de la DSI peut faire d’humbles remontrances à un chef de service qui note son mot de passe sur un Post-It. N’importe qui peut sensibiliser, accompagner, n’importe qui d’autre. La sécurité, dans son application, n’est le monopole de personne ». Les CIL transposeront avec profit ces propos à la sensibilisation des personnels à la culture « Informatique et Libertés.

Enfin Monsieur Guizard faisait très justement remarquer qu’il existait malgré tout un consensus large et fort sur les objectifs, malgré les apparentes divergences (ouverture vs sécurité) : « Directeurs, soignants, techniciens : eux-aussi sont potentiellement des patients !  ».

Notons à ce propos l’une des approches utilisées par l’un des CIL-RSSI Membre de l’AFCDP, pour entamer le débat avec les personnels d’un établissement de santé quant à la confidentialité des données personnelles de santé : il leur demande innocemment s’ils seraient prêts à se faire soigner dans leur propre établissement. Il arrive que certains personnels répondent par la négative, et expliquent cette position par leur crainte de voir leur dossier connu de tous…

Entendu lors du procès des réseaux sociaux (ou « Raizosocio à la barre ! »)

Un faux procès s’est tenu le dernier jour des Assises. Un internaute, membre d’un réseau social, avait déposé plainte après avoir été victimes d’usurpation d’identité, de collecte illégale de données, d’infractions en matière de STAD, d’atteintes à la vie privée.

Madame Myriam Quéméner, magistrate (qui nous avait fait l’honneur d’intervenir lors de l’Université AFCDP 2010) jouait le rôle du procureur, Maître Christiane Feral Schuhl celui de l’Avocat de la partie civile, Maître Eric Caprioli, celui de l’Avocat de la défense.

L’humour des intervenants a permis de mettre en lumière les différentes infractions : « C’est alors que la victime découvre l’étendue du machiavélisme de Monsieur Rézosocio. Il lui brandit sous le nez les conditions générales acceptées par lui d’un simple clic : Vous nous accordez le droit irrévocable, perpétuel, non exclusif, transférable et mondial (avec l’autorisation d’accorder une sous-licence) d’utiliser, copier, publier, diffuser, stocker, exécuter, transmettre, scanner, modifier, éditer, traduire, adapter, redistribuer n’importe quel contenu déposé sur le site…/… Rézosocio bafoue la loi en conservant les informations sans limite de temps alors même que la loi Informatique et Libertés impose une durée limitée et adéquate  » (extrait de la plaidoirie de Maître Christiane Feral Schuhl, évoquant les misères subies par la victime)

Madame Quéméner, dans le rôle du Procureur, n’est pas tendre pour Rézosocio et enfonce le clou, « Interplanétaire, pour ne pas dire sans domicile fixe, le prévenu va sans doute se présenter comme simple hébergeur, non tenu par les lois de notre pays. Or des internautes ont été victimes de leurs données personnelles, certains ont vu leur identité usurpée, on les a diffamé, on les a plumé… ». Elle souligne la valeur du bien confié au prévenu par les victimes : rien de moins que leur vie privée ! Elle rappelle également les difficultés qu’ont les internautes à obtenir l’effacement de leurs données. Ses dires sont confirmés par Monsieur Bernard Ourghanlian, Directeur Technique de Microsoft France, et Paul-Olivier Gibert, Président de l’AFCDP.

La défense, sereine, commence par souligner le caractère de Rézosocio éminemment philanthropique et qui relève d’un idéal démocratique salutaire, « Sa gratuité pour les membres en est la preuve ».

L’avocat souligne ensuite la diabolisation outrée de sa consœur et rappelle le droit applicable : l’utilisation des réseaux sociaux à partir d’un territoire donné ne rend pas le doit dudit territoire applicable. En d’autres termes, son client étant une société américaine, elle n’est en aucune façon tenue au respect de la loi Informatique et Libertés, « En conséquence, tous les griefs fondés sur la loi française relative aux données personnelles sont inopérants ».

Maître Eric Caprioli argue du fait que Rézosocio n’est qu’hébergeur : il n’est qu’un support, qu’un intermédiaire technique. C’est aux utilisateurs qu’il appartient de déterminer les contenus qu’ils souhaitent partager, de configurer de façon adéquate le niveau d’exposition de ces contenus, « Les faits reprochés à mon client ne procèdent que d’une confusion générale : confusion sciemment entretenue par les parties civiles pour les dédouaner de leurs propres responsabilités et trouver une cible solvable  ».

Concernant la durée de conservation des données, il s’agit là, pour la défense, d’un débat dépassé. Rézosocio, alors que son Etat d’origine n’impose aucune contrainte de durée de conservation, a fait preuve ici d’une capacité d’adaptation exemplaire. Mais nul besoin pour cela de le trainer en justice ! Il suffit de le contacter pour voir retirer un contenu affiché.

Dans le reste de sa plaidoirie savoureuse Maître Caprioli abordait aussi la question de la collecte de données personnelles, le droit de suppression et la divulgation des données traitées au secteur du Marketing. Il terminait son propos en soulignant que « Raizosocio ne divulgue ni ne révèle aucune facette de la vie privée de ses membres ! Ce sont ces derniers qui choisissent librement de la rendre en partie publiques. Divulguant de lui-même des informations, des photos, des vidéos concernant sa propre vie, il maîtrise la limite qu’il pose entre sa vie privée et sa vie publique. En cela, il s’agit d’un débat sociologique, et non juridique ». Il appelait le Président à la relaxe de son client… et invitait le plaignant à se détendre également.

Autres points pouvant intéresser les CIL

- Lors d’un Atelier, la cartographie « Qu’est-ce que l’identité numérique  » de Fred Cavazza a été signalée.

Pour ce consultant, «  l’identité numérique d’un individu est composée de données formelles (coordonnées, certificats…) et informelles (commentaires, notes, billets, photos…). Toutes ces bribes d’information composent une identité numérique plus globale qui caractérise un individu, sa personnalité, son entourage et ses habitudes. Ces petits bouts d’identité fonctionnent comme des gènes : ils composent l’ADN numérique d’un individu  ».

- Dans la partie exposition des Assises de nombreux éditeurs proposaient des solutions de DLP (Data Leakage Prevention, ou Data Loss Prevention). Les discours commerciaux allaient du « La loi va bientôt obliger toutes les entreprises à s’équiper de ce type de solution  » ( ?) à des approches beaucoup plus pragmatiques, « Il faut opter pour une approche très progressive, et tabler sur un ratio de 1 pour 3 entre le coût d’acquisition de l’outil et celui de sa mise en œuvre et de son exploitation, à commencer par la classification des documents et informations que l’on ne souhaite pas voir sortir du périmètre ». Interrogés, les éditeurs ont avoué la difficulté à classifier spécifiquement les données à caractère personnel.

- Les couloirs de cette partie de la manifestation bruissaient des commentaires au sujet du mouvement de consolidation qui semble enfin avoir commencé dans ce secteur très atomisé des offreurs de solutions en sécurité informatique. Ainsi IBM a confirmé le rachat de BigFix (gestion de vulnérabilités et de correctifs de sécurité) et Oracle vient d’avaler PassLogix (solution d’authentification unique). A qui le tour ?